juniper secure analytics configuring dsms guide · 8/8/2016 · appwall.....713...
TRANSCRIPT
-
Juniper Secure Analytics
Configuring DSMs Guide
Release
2014.7
Modified: 2016-08-08
Copyright 2016, Juniper Networks, Inc.
-
Juniper Networks, Inc.1133 InnovationWaySunnyvale, California 94089USA408-745-2000www.juniper.net
Copyright 2016, Juniper Networks, Inc. All rights reserved.
Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.
Juniper Secure Analytics Configuring DSMs GuideCopyright 2016, Juniper Networks, Inc.All rights reserved.
The information in this document is current as of the date on the title page.
YEAR 2000 NOTICE
Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related limitations through theyear 2038. However, the NTP application is known to have some difficulty in the year 2036.
ENDUSER LICENSE AGREEMENT
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditions ofthat EULA.
Copyright 2016, Juniper Networks, Inc.ii
http://www.juniper.net/support/eula.html
-
Table of Contents
About the Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Documentation and Release Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Documentation Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Documentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xli
Requesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii
Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii
Opening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii
Part 1 Juniper Secure Analytics Configuring DSMs
Chapter 1 Event collection from third-party devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Adding a DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Adding a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Adding bulk log sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Adding a log source parsing order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Chapter 2 3Com Switch 8800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Configuring your 3COM Switch 8800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Chapter 3 AhnLab Policy Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Chapter 4 Akamai Kona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Chapter 5 Amazon AWS CloudTrail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Enabling communication between JSA and AWS CloudTrail . . . . . . . . . . . . . . . . . 19
Chapter 6 Ambiron TrustWave ipAngel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Chapter 7 APC UPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Configuring your APC UPS to forward syslog events . . . . . . . . . . . . . . . . . . . . . . . 24
Chapter 8 Apache HTTP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Configuring Apache HTTP Server with syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Configuring a Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuring Apache HTTP Server with syslog-ng . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Chapter 9 Apple Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configuring a Mac OS X log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Configuring syslog on your Apple Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Chapter 10 Application Security DbProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Installing the DbProtect LEEF Relay Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Configuring the DbProtect LEEF Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Configuring DbProtect alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
iiiCopyright 2016, Juniper Networks, Inc.
-
Chapter 11 Arbor Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Arbor Networks Peakflow SP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Supported event types for Arbor Networks Peakflow SP . . . . . . . . . . . . . . . . 38
Configuring a remote syslog in Arbor Networks Peakflow SP . . . . . . . . . . . . . 38
Configuring global notifications settings for alerts in Arbor Networks
Peakflow SP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Configuring alert notification rules in Arbor Networks Peakflow SP . . . . . . . . 39
Configuring an Arbor Networks Peakflow SP log source . . . . . . . . . . . . . . . . 40
Arbor Networks Pravail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Configuring your Arbor Networks Pravail system to send events to JSA . . . . . 42
Chapter 12 Arpeggio SIFT-IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuring a SIFT-IT agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Configuring a Arpeggio SIFT-IT log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Additional information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Chapter 13 Array Networks SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Chapter 14 Aruba Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Aruba ClearPass Policy Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Configuring Aruba ClearPass Policy Manager to communicate with JSA . . . 50
Aruba Mobility Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Configuring your Aruba Mobility Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Chapter 15 Avaya VPN Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Avaya VPN Gateway DSM integration process . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Configuring your Avaya VPN Gateway system for communication with JSA . . . . 54
Configuring an Avaya VPN Gateway log source in JSA . . . . . . . . . . . . . . . . . . . . . . 54
Chapter 16 BalaBit IT Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
BalaBIt IT Security for Microsoft Windows Events . . . . . . . . . . . . . . . . . . . . . . . . . 57
Configuring the Syslog-ng Agent event source . . . . . . . . . . . . . . . . . . . . . . . . 58
Configuring a syslog destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Restarting the Syslog-ng Agent service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
BalaBit IT Security for Microsoft ISA or TMG Events . . . . . . . . . . . . . . . . . . . . . . . . 61
Configure the BalaBit Syslog-ng Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Configuring the BalaBit Syslog-ng Agent file source . . . . . . . . . . . . . . . . . . . . 62
Configuring a BalaBit Syslog-ng Agent syslog destination . . . . . . . . . . . . . . . 63
Filtering the log file for comment lines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Configuring a BalaBit Syslog-ng PE Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Copyright 2016, Juniper Networks, Inc.iv
Juniper Secure Analytics Configuring DSMs Guide
-
Chapter 17 Barracuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Barracuda Spam & Virus Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Configuring syslog event forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
BarracudaWeb Application Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Configuring BarracudaWeb Application Firewall to send syslog events to
JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Configuring BarracudaWeb Application Firewall to send syslog events to
JSA for devices that do not support LEEF . . . . . . . . . . . . . . . . . . . . . . . . . 71
Barracuda Web Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Configuring syslog event forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Chapter 18 Bit9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Bit9 Parity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Bit9 Security Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Configuring Bit9 Security Platform to communicate with JSA . . . . . . . . . . . . 77
Carbon Black . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Configuring Carbon Black to communicate with JSA . . . . . . . . . . . . . . . . . . . 79
Chapter 19 BlueCat Networks Adonis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Supported event types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Event type format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuring BlueCat Adonis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Configuring a log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Chapter 20 Blue Coat SG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Creating a custom event format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Creating a log facility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Enabling access logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Configuring Blue Coat SG for FTP uploads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Configuring a Blue Coat SG Log Source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Configuring Blue Coat SG for syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Creating extra custom format key-value pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
Chapter 21 Blue Coat Web Security Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Configuring Blue Coat Web Security Service to communicate with JSA . . . . . . . . 96
Chapter 22 Bridgewater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuring Syslog for your Bridgewater Systems Device . . . . . . . . . . . . . . . . . . . . 97
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Chapter 23 Brocade Fabric OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Configuring syslog for Brocade Fabric OS appliances . . . . . . . . . . . . . . . . . . . . . . 99
vCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Chapter 24 CA Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
CA ACF2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Integration of CA ACF2 with JSA by using Juniper Networks Security
zSecure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Before You begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Creating a log source for ACF2 in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Integrate CA ACF2 with JSA by using audit scripts . . . . . . . . . . . . . . . . . . . . . 106
Configuring CA ACF2 to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
CA SiteMinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Configuring Syslog-ng for CA SiteMinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
CA Top Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Integrate CA Top Secret with JSA by using IBM Security zSecure . . . . . . . . . . 117
Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Configuring a CA Top Secret log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
Integrate CA Top Secret with JSA by using audit scripts . . . . . . . . . . . . . . . . . 121
Configuring CA Top Secret to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . 122
Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Chapter 25 Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Integration of Check Point by using OPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Check Point configuration overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Adding a Check Point Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Creating an OPSEC Application Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Locating the log source SIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Configuring an OPSEC/LEA log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . 134
Edit your OPSEC communications configuration . . . . . . . . . . . . . . . . . . . . . . 136
Change your Check Point Custom Log Manager (CLM) IP address . . . . 136
Updating your Check Point OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . 137
Changing the default port for OPSEC LEA communication . . . . . . . . . . . . . . 137
Configuring OPSEC LEA for unencrypted communications . . . . . . . . . . . . . 138
Configuring JSA to receive events from a Check Point device . . . . . . . . 138
Integrate Check Point by using syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
Integration of Check Point Firewall events from external syslog
forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Configuring a log source for Check Point forwarded events . . . . . . . . . . 142
Check Point Multi-Domain Management (Provider-1) . . . . . . . . . . . . . . . . . . . . . 144
Integrating syslog for Check Point Multi-Domain Management
(Provider-1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Configuring OPSEC for Check Point Multi-Domain Management
(Provider-1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Configuring an OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
Copyright 2016, Juniper Networks, Inc.vi
Juniper Secure Analytics Configuring DSMs Guide
-
Chapter 26 Cilasoft QJRN/400 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuring Cilasoft QJRN/400 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Configuring a Cilasoft QJRN/400 log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Chapter 27 Cisco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Cisco ACE Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Configuring Cisco ACE Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
Cisco Aironet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Cisco ACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Configuring Syslog for Cisco ACS v5.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Creating a Remote Log Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Configuring global logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
Configuring Syslog for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
Configuring syslog forwarding for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . 160
Configuring a log source for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Configuration of the Cisco ACS for the Adaptive Log Exporter . . . . . . . . . . . 162
Configuring Cisco ACS to log events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Cisco ASA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Integrate Cisco ASA Using Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
Integrate Cisco ASA for NetFlow by using NSEL . . . . . . . . . . . . . . . . . . . . . . 165
Configuring NetFlow Using NSEL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Cisco CallManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
Cisco CatOS for Catalyst Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Configuring syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Cisco CSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Configuring syslog for Cisco CSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Cisco FireSIGHT Management Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Creating FireSIGHT Management Center 4.x certificates . . . . . . . . . . . . . . . . 175
Creating Cisco FireSIGHT Management Center 5.x certificates . . . . . . . . . . . 176
Importing a Cisco FireSIGHT Management Center certificate to JSA . . . . . . 177
Configuring a log source for Cisco FireSIGHTManagement Center
events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Cisco FWSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Configuring Cisco FWSM to forward syslog events . . . . . . . . . . . . . . . . . . . . 179
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Cisco IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Cisco IronPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Configuring IronPort mail log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
viiCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
IronPort web content filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
Cisco IOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Configuring Cisco IOS to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Cisco Identity Services Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
Supported event logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
Configuring a Cisco ISE log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
Creating a remote logging target in Cisco ISE . . . . . . . . . . . . . . . . . . . . . . . . 190
Configuring Cisco ISE logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Cisco NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Configuring Cisco NAC to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Cisco Nexus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
Configuring Cisco Nexus to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
Cisco Pix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Configuring Cisco Pix to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
Cisco VPN 3000 Concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
Cisco Wireless Services Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Configuring CiscoWiSM to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Cisco Wireless LAN Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Configuring syslog for Cisco Wireless LAN Controller . . . . . . . . . . . . . . . . . . 201
Configuring a syslog log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Configuring SNMPv2 for Cisco Wireless LAN Controller . . . . . . . . . . . . . . . . 202
Configuring a trap receiver for Cisco Wireless LAN Controller . . . . . . . . . . . 203
Configuring a log source for the CiscoWireless LAN Controller that uses
SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
Chapter 28 Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Citrix NetScaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Configuring a Citrix NetScaler log source . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
Citrix Access Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
Configuring a Citrix Access Gateway log source . . . . . . . . . . . . . . . . . . . . . . 209
Chapter 29 Cloudera Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Configuring Cloudera Navigator to communicate with JSA . . . . . . . . . . . . . . . . . . 212
Chapter 30 CloudPassage Halo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Configuring CloudPassage Halo for communication with JSA . . . . . . . . . . . . . . . 214
Configuring a CloudPassage Halo log source in JSA . . . . . . . . . . . . . . . . . . . . . . . 216
Chapter 31 CloudLock Cloud Security Fabric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
Configuring CloudLock Cloud Security Fabric to communicate with JSA . . . . . . . 218
Chapter 32 Correlog Agent for IBM z/OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Configuring your CorreLog Agent system for communication with JSA . . . . . . . . 222
Copyright 2016, Juniper Networks, Inc.viii
Juniper Secure Analytics Configuring DSMs Guide
-
Chapter 33 CRYPTOCard CRYPTO-Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Configuring syslog for CRYPTOCard CRYPTO-Shield . . . . . . . . . . . . . . . . . . . . . 224
Chapter 34 CyberArk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
CyberArk Privileged Threat Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Configuring CyberArk Privileged Threat Analytics to communicate with
JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuring syslog for CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
Configuring a log source for CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Chapter 35 CyberGuard Firewall/VPN Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Configuring syslog events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Chapter 36 Damballa Failsafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Configuring syslog for Damballa Failsafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
Chapter 37 DG Technology MEAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
Configuring your DG Technology MEAS system for communication with JSA . . . 234
Chapter 38 Digital China Networks (DCN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Configuring a DCN DCS/DCRS Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Chapter 39 Enterprise-IT-Security.com SF-Sherlock . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Configuring Enterprise-IT-Security.com SF-Sherlock to communicate with
JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Chapter 40 Epic SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Configuring Epic SIEM to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 244
Chapter 41 Exabeam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Configuring Exabeam to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 248
Chapter 42 Extreme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Extreme 800-Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Configuring your Extreme 800-Series Switch . . . . . . . . . . . . . . . . . . . . . . . . 249
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Extreme Dragon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Creating an Alarm Tool Policy for SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Creating a Policy for Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Configure the EMS to forward syslog messages . . . . . . . . . . . . . . . . . . . . . . 256
Configuring syslog-ng Using Extreme Dragon EMS v7.4.0 and later . . . . . . . 257
Configuring syslogd Using Extreme Dragon EMS v7.4.0 and below . . . . . . . 257
Extreme HiGuard Wireless IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Configuring Enterasys HiGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
ixCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Extreme HiPath Wireless Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
Configuring your HiPath Wireless Controller . . . . . . . . . . . . . . . . . . . . . . . . . 260
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Extreme Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
Extreme Matrix K/N/S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262
Extreme NetSight Automatic Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 263
Extreme NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
Extreme stackable and stand-alone switches . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Extreme Networks ExtremeWare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Extreme XSR Security Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Chapter 43 F5 Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
F5 Networks BIG-IP AFM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
Configuring a logging pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Creating a high-speed log destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
Creating a formatted log destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Creating a log publisher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Creating a logging profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Associating the profile to a virtual server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
F5 Networks BIG-IP APM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
Configuring Remote Syslog for F5 BIG-IP APM 11.x . . . . . . . . . . . . . . . . . . . . 276
Configuring a Remote Syslog for F5 BIG-IP APM 10.x . . . . . . . . . . . . . . . . . . 276
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuring F5 Networks BIG-IP ASM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
F5 Networks BIG-IP LTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
Configuring syslog forwarding in BIG-IP LTM . . . . . . . . . . . . . . . . . . . . . . . . 280
Configuring Remote Syslog for F5 BIG-IP LTM 11.x . . . . . . . . . . . . . . . . . . . . 280
Configuring Remote Syslog for F5 BIG-IP LTM 10.x . . . . . . . . . . . . . . . . . . . . 281
Configuring Remote Syslog for F5 BIG-IP LTM 9.4.2 to 9.4.8 . . . . . . . . . . . . . 281
F5 Networks FirePass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Configuring syslog forwarding for F5 FirePass . . . . . . . . . . . . . . . . . . . . . . . . 282
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Chapter 44 Fair Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
Chapter 45 Fidelis XPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Configuring Fidelis XPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
Chapter 46 FireEye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
Configuring your FireEye system for communication with JSA . . . . . . . . . . . . . . . 292
Configuring a FireEye log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
Copyright 2016, Juniper Networks, Inc.x
Juniper Secure Analytics Configuring DSMs Guide
-
Chapter 47 ForeScout CounterACT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Configuring the ForeScout CounterACT Plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . 296
Configuring ForeScout CounterACT Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Chapter 48 Fortinet FortiGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299
Configuring a syslog destination on your Fortinet FortiGate device . . . . . . . . . . 300
Configuring a syslog destination on your Fortinet FortiAnalyzer device . . . . . . . 300
Chapter 49 Foundry FastIron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Configuring syslog for Foundry FastIron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303
Chapter 50 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
Configuring your FreeRADIUS device to communicate with JSA . . . . . . . . . . . . . 306
Chapter 51 Generic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Generic Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configuring event properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Generic Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
Configuring event properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
Chapter 52 genua genugate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Configuring genua genugate to send events to JSA . . . . . . . . . . . . . . . . . . . . . . . 318
Chapter 53 Great Bay Beacon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Configuring syslog for Great Bay Beacon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319
Chapter 54 HBGary Active Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Configuring HBGary Active Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
Chapter 55 Honeycomb Lexicon File Integrity Monitor (FIM) . . . . . . . . . . . . . . . . . . . . . 323
Supported Honeycomb FIM event types logged by JSA . . . . . . . . . . . . . . . . . . . . 323
Configuring the Lexicon mesh service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
Configuring a Honeycomb Lexicon FIM log source in JSA . . . . . . . . . . . . . . . . . . . 324
Chapter 56 Hewlett Packard (HP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
HP ProCurve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
HP Tandem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
Hewlett Packard UNIX (HP-UX) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
xiCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Chapter 57 Huawei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Huawei AR Series Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331
Configuring Your Huawei AR Series Router . . . . . . . . . . . . . . . . . . . . . . . . . . 332
Huawei S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333
Configuring Your Huawei S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 334
Chapter 58 HyTrust CloudControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337
Configuring HyTrust CloudControl to communicate with JSA . . . . . . . . . . . . . . . 338
Chapter 59 IBM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
IBM AIX DSMs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
IBM AIX Server DSM overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
Configuring your IBM AIX Server device to send syslog events to JSA . . 341
IBM AIX Audit DSM overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
Configuring IBM AIX Audit DSM to send syslog events to JSA . . . . . . . . 343
Configuring IBM AIX Audit DSM to send log file protocol events to
JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344
IBM AS/400 iSeries DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
Configuring IBM i to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Pulling Data Using Log File Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
Configuring Townsend Security Alliance LogAgent to integrate with JSA . . 350
IBM Bluemix Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
Configuring Bluemix Platform to communicate with JSA . . . . . . . . . . . . . . . 352
Integrating Bluemix Platform with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . 353
Configuring a Bluemix log source to use Syslog . . . . . . . . . . . . . . . . . . . 353
Configuring a Bluemix log source with TLS Syslog . . . . . . . . . . . . . . . . . 353
IBM CICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
Integration of IBM DB2 with LEEF Events . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
Creating a log source for IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
Integrating IBM DB2 Audit Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Extracting audit data: DB2 v9.5 and later . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
Extract audit data: DB2 v8.x to v9.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Creating a log source for IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
IBM Federated Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
Configuring IBM Federated Directory Server to monitor security events . . . 369
IBM Guardium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Creating a syslog destination for events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
Configuring policies to generate syslog events . . . . . . . . . . . . . . . . . . . . . . . 372
Installing an IBM Guardium Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Creating an event map for IBM Guardium events . . . . . . . . . . . . . . . . . . . . . 374
Modifying the event map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Copyright 2016, Juniper Networks, Inc.xii
Juniper Secure Analytics Configuring DSMs Guide
-
IBM IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Configuring IBM IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
IBM Informix Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
IBM Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Setting Up SNMP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
Starting the Domino Server Add-in Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Configuring SNMP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
Configuring your IBM Lotus Domino device to communicate with JSA . . . . 384
IBM Privileged Session Recorder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
Configuring a log source for IBM Privileged Session Recorder . . . . . . . . . . . 386
IBM Proventia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
IBM Proventia Management SiteProtector . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
IBM ISS Proventia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
IBM RACF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Integrate IBM RACF with JSA Using IBM Security zSecure . . . . . . . . . . . . . . . 391
Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Creating an IBM RACF Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
Integrate IBM RACF with JSA by using audit scripts . . . . . . . . . . . . . . . . . . . 396
Configuring IBM RACF to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 396
Create an IBM RACF log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
IBM Security Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
IBM Security Directory Server integration process . . . . . . . . . . . . . . . . . . . . 404
Configuring an IBM Security Directory Server log source in JSA . . . . . . 404
IBM Security Identity Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Configuring JSA tocommunicatewith your IBMSecurity IdentityGovernance
database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
IBM Security Network Protection (XGS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
Configuring IBM Security Network Protection (XGS) Alerts . . . . . . . . . . . . . 408
Configuring a Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
IBM Security Trusteer Apex Advanced Malware Protection . . . . . . . . . . . . . . . . 409
Configuring IBM Security Trusteer Apex Advanced Malware Protection to
send syslog events to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Configuring a Flat File Feed service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414
IBM Security Trusteer Apex Local Event Aggregator . . . . . . . . . . . . . . . . . . . . . . . 414
Configuring syslog for Trusteer Apex Local Event Aggregator . . . . . . . . . . . . 415
IBM Sense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
IBM Tivoli Access Manager for e-business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417
Configure Tivoli Access Manager for e-business . . . . . . . . . . . . . . . . . . . . . . 417
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
IBM Tivoli Endpoint Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Configuring IBM WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
Customizing the Logging Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
IBM WebSphere DataPower . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Configuring IBM WebSphere DataPower to communicate with JSA . . . . . . 426
IBM z/OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
xiiiCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
IBM z/Secure Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
IBM zSecure Alert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Chapter 60 ISC Bind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
Chapter 61 Imperva SecureSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Configuring an alert action for Imperva SecureSphere . . . . . . . . . . . . . . . . . . . . 438
Configuring a system event action for Imperva SecureSphere . . . . . . . . . . . . . . 440
Chapter 62 Infoblox NIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Chapter 63 iT-CUBE agileSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Configuring agileSI to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445
Configuring an agileSI log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
Chapter 64 Itron Smart Meter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
Chapter 65 Juniper Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Juniper Networks AVT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
Configuring JSA to receive events from a Juniper Networks AVT device . . . 452
Juniper Networks DDoS Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Juniper Networks DX Application Acceleration Platform . . . . . . . . . . . . . . . . . . . 454
Configuring JSA to receiveevents froma JuniperDXApplicationAcceleration
Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Juniper Networks EX Series Ethernet Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Configuring JSA to receive events from a Juniper EX Series Ethernet
Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Juniper Networks IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456
Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Juniper Networks Infranet Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Juniper Networks Firewall and VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457
Configuring JSA to receive events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Juniper Networks Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Juniper Networks Network and Security Manager . . . . . . . . . . . . . . . . . . . . 460
Configuring Juniper Networks NSM to export logs to syslog . . . . . . . . . 460
Configuring a log source for Juniper Networks NSM . . . . . . . . . . . . . . . . 461
Configuring JSA to receive events from a Juniper Junos OS Platform
device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Configure the PCAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
Configuring a New Juniper Networks SRX Log Source with PCAP . . . . . . . . 462
Juniper Networks Secure Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Using the WELF:WELF format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
Configuring JSA to receive events from the Juniper Networks Secure Access
device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Using the syslog format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Juniper Networks Security Binary Log Collector . . . . . . . . . . . . . . . . . . . . . . . . . . 466
Configuring the Juniper Networks Binary Log Format . . . . . . . . . . . . . . . . . . 467
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Copyright 2016, Juniper Networks, Inc.xiv
Juniper Secure Analytics Configuring DSMs Guide
-
Juniper Networks Steel-Belted Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Configuring Juniper Steel-Belted Radius for the Adaptive Log Exporter . . . 470
Configuring Juniper Steel-Belted Radius for syslog . . . . . . . . . . . . . . . . . . . . 471
Juniper Networks vGW Virtual Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Juniper Networks Junos WebApp Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
Configuring event logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Juniper Networks WLC Series Wireless LAN Controller . . . . . . . . . . . . . . . . . . . . 476
Configuring a syslog server from the Juniper WLC user interface . . . . . . . . . 477
Configuring a syslog server with the command-line interface for Juniper
WLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Chapter 66 Kaspersky Security Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Creating a Database View for Kaspersky Security Center . . . . . . . . . . . . . . . . . . . 481
Configuring the log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Chapter 67 Kisco Information Systems SafeNet/i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487
Configuring Kisco Information Systems SafeNet/i to communicate with JSA . . 488
Chapter 68 Lastline Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
Configuring Lastline Enterprise to communicate with JSA . . . . . . . . . . . . . . . . . 492
Chapter 69 Lieberman Random Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Chapter 70 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Linux DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
Linux IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Configuring IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498
Configuring syslog on Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499
Configuring syslog-ng on Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Configuring Linux OS to send audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500
Chapter 71 LOGbinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503
LOGbinder EX event collection from Microsoft Exchange Server . . . . . . . . . . . . 503
Configuring your LOGbinder EX system to send Microsoft Exchange event
logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504
LOGbinder SP event collection fromMicrosoft SharePoint . . . . . . . . . . . . . . . . . 505
Configuring your LOGbinder SP system to sendMicrosoft SharePoint event
logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506
LOGbinder SQL event collection fromMicrosoft SQL Server . . . . . . . . . . . . . . . . 507
Configuring your LOGbinderSQLsystemtosendMicrosoftSQLServer event
logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
xvCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Chapter 72 McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
McAfee Application / Change Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
McAfee ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
Configuring a McAfee ePO log source by using the JDBC protocol . . . . . . . . 513
Configuring ePO to forward SNMP events . . . . . . . . . . . . . . . . . . . . . . . . . . . 515
Adding a registered server to McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 515
Configuring SNMP notifications on McAfee ePO . . . . . . . . . . . . . . . . . . 516
Configuring a McAfee ePO log source by using the SNMP protocol . . . . 518
Installing the Java Cryptography Extension on McAfee ePO . . . . . . . . . 519
Installing the Java Cryptography Extension on JSA . . . . . . . . . . . . . . . . . 519
McAfee Firewall Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520
Configuring McAfee Firewall Enterprise to communicate with JSA . . . . . . . . 521
McAfee Intrushield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521
Configuring alert events for McAfee Intrushield V2.x - V5.x . . . . . . . . . . . . . . 521
Configuring alert events for McAfee Intrushield V6.x and V7.x . . . . . . . . . . . 523
Configuring fault notification events for McAfee Intrushield V6.x and
V7.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524
McAfee Web Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
McAfee Web Gateway DSM integration process . . . . . . . . . . . . . . . . . . . . . . 527
Related tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527
Configuring McAfee Web Gateway to communicate with JSA (syslog) . . . . 527
Importing the Syslog Log Handler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528
Configuring McAfeeWeb Gateway to communicate with JSA (log file
protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529
Pulling data by using the log file protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Creation of an event map for McAfee Web Gateway events . . . . . . . . . . . . . 531
Discovering unknown events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Modifying the event map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
Chapter 73 MetaInfo MetaIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Chapter 74 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Microsoft DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535
Microsoft Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
Creating a database view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538
Microsoft SQL Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Microsoft SQL Server preparation for communication with JSA . . . . . . . . . 542
Creating a Microsoft SQL Server auditing object . . . . . . . . . . . . . . . . . . 542
Creating a Microsoft SQL Server audit specification . . . . . . . . . . . . . . . 542
Creating a Microsoft SQL Server database view . . . . . . . . . . . . . . . . . . 543
Configuring a Microsoft SQL Server log source . . . . . . . . . . . . . . . . . . . . . . . 543
Microsoft Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546
Configuring Microsoft Exchange Server to communicate with JSA . . . . . . . 547
Configuring OWA logs on your Microsoft Exchange Server . . . . . . . . . . 547
Enabling SMTP logs on your Microsoft Exchange Server 2003, 2007,
and 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
Copyright 2016, Juniper Networks, Inc.xvi
Juniper Secure Analytics Configuring DSMs Guide
-
Enabling SMTP logs on your Microsoft Exchange Server 2013, and
2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Configuring MSGTRK logs for Microsoft Exchange 2003, 2007, and
2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
Configuring MSGTRK logs for Exchange 2013 and 2016 . . . . . . . . . . . . 550
Configuring a log source for Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . 550
Microsoft Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551
Microsoft Hyper-V DSM integration process . . . . . . . . . . . . . . . . . . . . . . . . . 552
Related tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Configuring a Microsoft Hyper-V log source in JSA . . . . . . . . . . . . . . . . . . . . 552
Microsoft IAS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Microsoft IIS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553
Configuring Microsoft IIS by using the IIS Protocol . . . . . . . . . . . . . . . . . . . . 554
Configuring the Microsoft IIS Protocol in JSA . . . . . . . . . . . . . . . . . . . . . . . . . 555
Configuring Microsoft IIS Using a Snare Agent . . . . . . . . . . . . . . . . . . . . . . . 556
Configuring Your Microsoft IIS Server for Snare . . . . . . . . . . . . . . . . . . . . . . . 557
Configure the Snare Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Configuring a Microsoft IIS log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558
Configuring Microsoft IIS by using Adaptive Log Exporter . . . . . . . . . . . . . . 559
Microsoft ISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Microsoft Office 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Configuring Microsoft Office 365 to communicate with JSA . . . . . . . . . . . . 564
Microsoft Operations Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566
Microsoft SharePoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
Configuring a database view to collect audit events . . . . . . . . . . . . . . . . . . 569
Configuring Microsoft SharePoint audit events . . . . . . . . . . . . . . . . . . . . . . . 570
Creating a database view for Microsoft SharePoint . . . . . . . . . . . . . . . . . . . 570
Configuring a SharePoint log source for a database view . . . . . . . . . . . . . . . 571
Configuring a SharePoint log source for predefined database queries . . . . . 574
Microsoft System Center Operations Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 576
Microsoft Windows Security Event Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Enabling MSRPC on Windows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Enabling a Snare Agent onWindows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . 583
Enabling WMI on Windows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
Chapter 75 Motorola Symbol APMotorola Symbol AP . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589
Configure syslog events for Motorola Symbol AP . . . . . . . . . . . . . . . . . . . . . . . . 590
Chapter 76 Name Value Pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591
Chapter 77 NetApp Data ONTAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Chapter 78 Netskope Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
Configuring JSA to collect events from your Netskope Active system . . . . . . . . . 598
Chapter 79 Niksun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
xviiCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Chapter 80 Nokia Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Integration with a Nokia Firewall by using syslog . . . . . . . . . . . . . . . . . . . . . . . . . 603
Configuring IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Configuring syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604
Configuring the logged events custom script . . . . . . . . . . . . . . . . . . . . . . . . 605
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605
Integration with a Nokia Firewall by using OPSEC . . . . . . . . . . . . . . . . . . . . . . . . 606
Configuring a Nokia Firewall for OPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606
Configuring an OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607
Chapter 81 Nominum Vantio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Configure the Vantio LEEF Adapter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610
Chapter 82 Nortel Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Nortel Multiprotocol Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611
Nortel Application Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614
Nortel Contivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615
Nortel Ethernet Routing Switch 2500/4500/5500 . . . . . . . . . . . . . . . . . . . . . . . 616
Nortel Ethernet Routing Switch 8300/8600 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616
Nortel Secure Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617
Nortel Secure Network Access Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619
Nortel Switched Firewall 5100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620
Integrating Nortel Switched Firewall by using syslog . . . . . . . . . . . . . . . . . . 620
Integrate Nortel Switched Firewall by using OPSEC . . . . . . . . . . . . . . . . . . . 621
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Nortel Switched Firewall 6000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622
Configuring syslog for Nortel Switched Firewalls . . . . . . . . . . . . . . . . . . . . . 622
Configuring OPSEC for Nortel Switched Firewalls . . . . . . . . . . . . . . . . . . . . . 623
Reconfiguring the Check Point SmartCenter Server . . . . . . . . . . . . . . . . . . . 623
Nortel Threat Protection System (TPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Nortel VPN Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Chapter 83 Novell eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Configure XDASv2 to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627
Load the XDASv2 Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629
Loading the XDASv2 on a Linux Operating System . . . . . . . . . . . . . . . . . . . . . . . 629
Loading the XDASv2 on a Windows Operating System . . . . . . . . . . . . . . . . . . . . 629
Configure event auditing using Novell iManager . . . . . . . . . . . . . . . . . . . . . . . . . 630
Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Chapter 84 Observe IT JDBC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
Chapter 85 Okta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637
Chapter 86 Onapsis Security Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
Configuring Onapsis Security Platform to communicate with JSA . . . . . . . . . . . 642
Chapter 87 OpenBSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
Configuring syslog for OpenBSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644
Copyright 2016, Juniper Networks, Inc.xviii
Juniper Secure Analytics Configuring DSMs Guide
-
Chapter 88 Open LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Configuring IPtables for multiline UDP syslog events . . . . . . . . . . . . . . . . . . . . . . 647
Configuring event forwarding for Open LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 648
Chapter 89 Open Source SNORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Configuring Open Source SNORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
Chapter 90 OpenStack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
Configuring OpenStack to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . 657
Chapter 91 Oracle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Oracle Acme Packet Session Border Controller . . . . . . . . . . . . . . . . . . . . . . . . . . 661
Supported Oracle Acme Packet event types that are logged by JSA . . . . . . 662
Configuring an Oracle Acme Packet SBC log source . . . . . . . . . . . . . . . . . . . 662
Configuring SNMP to syslog conversion on Oracle Acme Packet SBC . . . . . 663
Enabling syslog settings on the media manager object . . . . . . . . . . . . . . . . 664
Oracle Audit Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
Configuring Oracle audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665
Improving performance with large audit tables . . . . . . . . . . . . . . . . . . . . . . 667
Oracle Audit Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669
Oracle BEA WebLogic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Enabling event logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670
Configuring domain logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Configuring application logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Configuring an audit provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672
Oracle DB Listener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674
Collecting events by using the Oracle Database Listener Protocol . . . . . . . 674
Collecting Oracle database events by using Perl . . . . . . . . . . . . . . . . . . . . . . 676
Configuring the Oracle Database Listener within JSA. . . . . . . . . . . . . . . . . . 678
Oracle Enterprise Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678
Oracle Fine Grained Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
Oracle OS Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
Configuring the log sources within JSA for Oracle OS Audit . . . . . . . . . . . . . 685
Chapter 92 OSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687
Configuring OSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 688
Chapter 93 Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689
Creating a syslog destination on your Palo Alto device . . . . . . . . . . . . . . . . . . . . 690
Creating a forwarding policy on your Palo Alto device . . . . . . . . . . . . . . . . . . . . . 692
Creating ArcSight CEF formatted Syslog events on your Palo Alto Networks
Firewall device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692
Chapter 94 Pirean Access: One . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695
xixCopyright 2016, Juniper Networks, Inc.
Table of Contents
-
Chapter 95 PostFix Mail Transfer Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699
Configuring syslog for PostFix Mail Transfer Agent . . . . . . . . . . . . . . . . . . . . . . . 699
Configuring a PostFix MTA log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700
Configuring IPtables for multiline UDP syslog events . . . . . . . . . . . . . . . . . . . . . . 701
Chapter 96 ProFTPd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
Configuring ProFTPd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704
Chapter 97 Proofpoint Enterprise Protection and Enterprise Privacy . . . . . . . . . . . . . . 705
Configuring Proofpoint Enterprise Protection and Enterprise Privacy DSM to
communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706
Configuring a Proofpoint Enterprise Protection and Enterprise Privacy log
source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707
Chapter 98 Radware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
Radware AppWall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711
Configuring Radware AppWall to communicate with JSA . . . . . . . . . . . . . . . 712
Increasing the maximum TCP Syslog payload length for Radware
AppWall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713
Radware DefensePro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714
Chapter 99 Raz-Lee iSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
Configuring Raz-Lee iSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
Chapter 100 Redback ASE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Configuring Redback ASE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721
Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722
Chapter 101 Resolution1 CyberSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723
Configuring your Resolution1 CyberSecurity device to communicate with JSA . . 724
Resolution1 CyberSecurity log source on your JSA Console . . . . . . . . . . . . . . . . . 724
Chapter 102 Riverbed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727
Riverbed SteelCentral NetProfiler (Cascade Profiler) Audit . . . . . . . . . . . . . . . . . 727
CreatingaRiverbedSteelCentralNetProfiler report templateandgenerating
an audit file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728
Riverbed SteelCentral NetProfiler (Cascade Profiler) Alert . . . . . . . . . . . . . . . . . 729
Configuring your Riverbed SteelCentral NetProfiler system to enable
communication with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731
Chapter 103 RSA Authentication Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733
Configuration of syslog for RSA Authentication Manager 6.x, 7.x and 8.x . . . . . . 733
Configuring Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .