juniper secure analytics configuring dsms guide · 8/8/2016 · appwall.....713...

Juniper Secure Analytics

Configuring DSMs Guide

Release

2014.7

Modified: 2016-08-08

Copyright 2016, Juniper Networks, Inc.

Juniper Networks, Inc.1133 InnovationWaySunnyvale, California 94089USA408-745-2000www.juniper.net

Copyright 2016, Juniper Networks, Inc. All rights reserved.

Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.

Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.

Juniper Secure Analytics Configuring DSMs GuideCopyright 2016, Juniper Networks, Inc.All rights reserved.

The information in this document is current as of the date on the title page.

YEAR 2000 NOTICE

Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related limitations through theyear 2038. However, the NTP application is known to have some difficulty in the year 2036.

ENDUSER LICENSE AGREEMENT

The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditions ofthat EULA.

Copyright 2016, Juniper Networks, Inc.ii

http://www.juniper.net/support/eula.html

Table of Contents

About the Documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix

Documentation and Release Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix

Documentation Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix

Documentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xli

Requesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii

Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii

Opening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii

Part 1 Juniper Secure Analytics Configuring DSMs

Chapter 1 Event collection from third-party devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Adding a DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Adding a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Adding bulk log sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Adding a log source parsing order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Chapter 2 3Com Switch 8800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Configuring your 3COM Switch 8800 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Chapter 3 AhnLab Policy Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Chapter 4 Akamai Kona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Chapter 5 Amazon AWS CloudTrail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Enabling communication between JSA and AWS CloudTrail . . . . . . . . . . . . . . . . . 19

Chapter 6 Ambiron TrustWave ipAngel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Chapter 7 APC UPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Configuring your APC UPS to forward syslog events . . . . . . . . . . . . . . . . . . . . . . . 24

Chapter 8 Apache HTTP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Configuring Apache HTTP Server with syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Configuring a Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Configuring Apache HTTP Server with syslog-ng . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Chapter 9 Apple Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Configuring a Mac OS X log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Configuring syslog on your Apple Mac OS X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Chapter 10 Application Security DbProtect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Installing the DbProtect LEEF Relay Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Configuring the DbProtect LEEF Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Configuring DbProtect alerts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

iiiCopyright 2016, Juniper Networks, Inc.

Chapter 11 Arbor Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Arbor Networks Peakflow SP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Supported event types for Arbor Networks Peakflow SP . . . . . . . . . . . . . . . . 38

Configuring a remote syslog in Arbor Networks Peakflow SP . . . . . . . . . . . . . 38

Configuring global notifications settings for alerts in Arbor Networks

Peakflow SP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Configuring alert notification rules in Arbor Networks Peakflow SP . . . . . . . . 39

Configuring an Arbor Networks Peakflow SP log source . . . . . . . . . . . . . . . . 40

Arbor Networks Pravail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Configuring your Arbor Networks Pravail system to send events to JSA . . . . . 42

Chapter 12 Arpeggio SIFT-IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Configuring a SIFT-IT agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Configuring a Arpeggio SIFT-IT log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Additional information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

Chapter 13 Array Networks SSL VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Chapter 14 Aruba Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Aruba ClearPass Policy Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Configuring Aruba ClearPass Policy Manager to communicate with JSA . . . 50

Aruba Mobility Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Configuring your Aruba Mobility Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

Chapter 15 Avaya VPN Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Avaya VPN Gateway DSM integration process . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Configuring your Avaya VPN Gateway system for communication with JSA . . . . 54

Configuring an Avaya VPN Gateway log source in JSA . . . . . . . . . . . . . . . . . . . . . . 54

Chapter 16 BalaBit IT Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

BalaBIt IT Security for Microsoft Windows Events . . . . . . . . . . . . . . . . . . . . . . . . . 57

Configuring the Syslog-ng Agent event source . . . . . . . . . . . . . . . . . . . . . . . . 58

Configuring a syslog destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Restarting the Syslog-ng Agent service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60


BalaBit IT Security for Microsoft ISA or TMG Events . . . . . . . . . . . . . . . . . . . . . . . . 61

Configure the BalaBit Syslog-ng Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Configuring the BalaBit Syslog-ng Agent file source . . . . . . . . . . . . . . . . . . . . 62

Configuring a BalaBit Syslog-ng Agent syslog destination . . . . . . . . . . . . . . . 63

Filtering the log file for comment lines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Configuring a BalaBit Syslog-ng PE Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64


Copyright 2016, Juniper Networks, Inc.iv

Juniper Secure Analytics Configuring DSMs Guide

Chapter 17 Barracuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Barracuda Spam & Virus Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Configuring syslog event forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67


BarracudaWeb Application Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Configuring BarracudaWeb Application Firewall to send syslog events to

JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Configuring BarracudaWeb Application Firewall to send syslog events to

JSA for devices that do not support LEEF . . . . . . . . . . . . . . . . . . . . . . . . . 71

Barracuda Web Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Configuring syslog event forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72


Chapter 18 Bit9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Bit9 Parity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Bit9 Security Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Configuring Bit9 Security Platform to communicate with JSA . . . . . . . . . . . . 77

Carbon Black . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Configuring Carbon Black to communicate with JSA . . . . . . . . . . . . . . . . . . . 79

Chapter 19 BlueCat Networks Adonis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Supported event types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Event type format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Configuring BlueCat Adonis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Configuring a log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

Chapter 20 Blue Coat SG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Creating a custom event format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Creating a log facility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Enabling access logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Configuring Blue Coat SG for FTP uploads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Configuring a Blue Coat SG Log Source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Configuring Blue Coat SG for syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

Creating extra custom format key-value pairs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Chapter 21 Blue Coat Web Security Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Configuring Blue Coat Web Security Service to communicate with JSA . . . . . . . . 96

Chapter 22 Bridgewater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

Configuring Syslog for your Bridgewater Systems Device . . . . . . . . . . . . . . . . . . . . 97

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Chapter 23 Brocade Fabric OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Configuring syslog for Brocade Fabric OS appliances . . . . . . . . . . . . . . . . . . . . . . 99

vCopyright 2016, Juniper Networks, Inc.

Table of Contents

Chapter 24 CA Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

CA ACF2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Integration of CA ACF2 with JSA by using Juniper Networks Security

zSecure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Before You begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Creating a log source for ACF2 in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Integrate CA ACF2 with JSA by using audit scripts . . . . . . . . . . . . . . . . . . . . . 106

Configuring CA ACF2 to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

CA SiteMinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114


Configuring Syslog-ng for CA SiteMinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

CA Top Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Integrate CA Top Secret with JSA by using IBM Security zSecure . . . . . . . . . . 117

Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

Configuring a CA Top Secret log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Integrate CA Top Secret with JSA by using audit scripts . . . . . . . . . . . . . . . . . 121

Configuring CA Top Secret to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . 122


Chapter 25 Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Check Point . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Integration of Check Point by using OPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Check Point configuration overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Adding a Check Point Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Creating an OPSEC Application Object . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Locating the log source SIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Configuring an OPSEC/LEA log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . 134

Edit your OPSEC communications configuration . . . . . . . . . . . . . . . . . . . . . . 136

Change your Check Point Custom Log Manager (CLM) IP address . . . . 136

Updating your Check Point OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . 137

Changing the default port for OPSEC LEA communication . . . . . . . . . . . . . . 137

Configuring OPSEC LEA for unencrypted communications . . . . . . . . . . . . . 138

Configuring JSA to receive events from a Check Point device . . . . . . . . 138

Integrate Check Point by using syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Integration of Check Point Firewall events from external syslog

forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Configuring a log source for Check Point forwarded events . . . . . . . . . . 142

Check Point Multi-Domain Management (Provider-1) . . . . . . . . . . . . . . . . . . . . . 144

Integrating syslog for Check Point Multi-Domain Management

(Provider-1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

Configuring OPSEC for Check Point Multi-Domain Management

(Provider-1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

Configuring an OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

Copyright 2016, Juniper Networks, Inc.vi


Chapter 26 Cilasoft QJRN/400 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Configuring Cilasoft QJRN/400 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

Configuring a Cilasoft QJRN/400 log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Chapter 27 Cisco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Cisco ACE Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Configuring Cisco ACE Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154


Cisco Aironet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155


Cisco ACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Configuring Syslog for Cisco ACS v5.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Creating a Remote Log Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Configuring global logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158


Configuring Syslog for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Configuring syslog forwarding for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . 160

Configuring a log source for Cisco ACS v4.x . . . . . . . . . . . . . . . . . . . . . . . . . . 161

Configuration of the Cisco ACS for the Adaptive Log Exporter . . . . . . . . . . . 162

Configuring Cisco ACS to log events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Cisco ASA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Integrate Cisco ASA Using Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163


Integrate Cisco ASA for NetFlow by using NSEL . . . . . . . . . . . . . . . . . . . . . . 165

Configuring NetFlow Using NSEL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166


Cisco CallManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168


Cisco CatOS for Catalyst Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Configuring syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170


Cisco CSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Configuring syslog for Cisco CSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171


Cisco FireSIGHT Management Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Creating FireSIGHT Management Center 4.x certificates . . . . . . . . . . . . . . . . 175

Creating Cisco FireSIGHT Management Center 5.x certificates . . . . . . . . . . . 176

Importing a Cisco FireSIGHT Management Center certificate to JSA . . . . . . 177

Configuring a log source for Cisco FireSIGHTManagement Center

events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Cisco FWSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

Configuring Cisco FWSM to forward syslog events . . . . . . . . . . . . . . . . . . . . 179


Cisco IDS/IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

Cisco IronPort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183

Configuring IronPort mail log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183


viiCopyright 2016, Juniper Networks, Inc.

Table of Contents

IronPort web content filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

Cisco IOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Configuring Cisco IOS to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185


Cisco Identity Services Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Supported event logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

Configuring a Cisco ISE log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189

Creating a remote logging target in Cisco ISE . . . . . . . . . . . . . . . . . . . . . . . . 190

Configuring Cisco ISE logging categories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Cisco NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

Configuring Cisco NAC to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191


Cisco Nexus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Configuring Cisco Nexus to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . 193


Cisco Pix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Configuring Cisco Pix to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194


Cisco VPN 3000 Concentrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196


Cisco Wireless Services Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

Configuring CiscoWiSM to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . 197


Cisco Wireless LAN Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

Configuring syslog for Cisco Wireless LAN Controller . . . . . . . . . . . . . . . . . . 201

Configuring a syslog log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Configuring SNMPv2 for Cisco Wireless LAN Controller . . . . . . . . . . . . . . . . 202

Configuring a trap receiver for Cisco Wireless LAN Controller . . . . . . . . . . . 203

Configuring a log source for the CiscoWireless LAN Controller that uses

SNMPv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204

Chapter 28 Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Citrix NetScaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

Configuring a Citrix NetScaler log source . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

Citrix Access Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

Configuring a Citrix Access Gateway log source . . . . . . . . . . . . . . . . . . . . . . 209

Chapter 29 Cloudera Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Configuring Cloudera Navigator to communicate with JSA . . . . . . . . . . . . . . . . . . 212

Chapter 30 CloudPassage Halo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Configuring CloudPassage Halo for communication with JSA . . . . . . . . . . . . . . . 214

Configuring a CloudPassage Halo log source in JSA . . . . . . . . . . . . . . . . . . . . . . . 216

Chapter 31 CloudLock Cloud Security Fabric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

Configuring CloudLock Cloud Security Fabric to communicate with JSA . . . . . . . 218

Chapter 32 Correlog Agent for IBM z/OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

Configuring your CorreLog Agent system for communication with JSA . . . . . . . . 222

Copyright 2016, Juniper Networks, Inc.viii


Chapter 33 CRYPTOCard CRYPTO-Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223


Configuring syslog for CRYPTOCard CRYPTO-Shield . . . . . . . . . . . . . . . . . . . . . 224

Chapter 34 CyberArk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

CyberArk Privileged Threat Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

Configuring CyberArk Privileged Threat Analytics to communicate with

JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226

CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Configuring syslog for CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

Configuring a log source for CyberArk Vault . . . . . . . . . . . . . . . . . . . . . . . . . . 228

Chapter 35 CyberGuard Firewall/VPN Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

Configuring syslog events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229


Chapter 36 Damballa Failsafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

Configuring syslog for Damballa Failsafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231


Chapter 37 DG Technology MEAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Configuring your DG Technology MEAS system for communication with JSA . . . 234

Chapter 38 Digital China Networks (DCN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235


Configuring a DCN DCS/DCRS Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

Chapter 39 Enterprise-IT-Security.com SF-Sherlock . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

Configuring Enterprise-IT-Security.com SF-Sherlock to communicate with

JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

Chapter 40 Epic SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243

Configuring Epic SIEM to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 244

Chapter 41 Exabeam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

Configuring Exabeam to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 248

Chapter 42 Extreme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Extreme 800-Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

Configuring your Extreme 800-Series Switch . . . . . . . . . . . . . . . . . . . . . . . . 249


Extreme Dragon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Creating an Alarm Tool Policy for SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Creating a Policy for Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254


Configure the EMS to forward syslog messages . . . . . . . . . . . . . . . . . . . . . . 256

Configuring syslog-ng Using Extreme Dragon EMS v7.4.0 and later . . . . . . . 257

Configuring syslogd Using Extreme Dragon EMS v7.4.0 and below . . . . . . . 257

Extreme HiGuard Wireless IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258

Configuring Enterasys HiGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258


ixCopyright 2016, Juniper Networks, Inc.

Table of Contents

Extreme HiPath Wireless Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

Configuring your HiPath Wireless Controller . . . . . . . . . . . . . . . . . . . . . . . . . 260


Extreme Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Extreme Matrix K/N/S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262

Extreme NetSight Automatic Security Manager . . . . . . . . . . . . . . . . . . . . . . . . . . 263

Extreme NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265


Extreme stackable and stand-alone switches . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

Extreme Networks ExtremeWare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267


Extreme XSR Security Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

Chapter 43 F5 Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

F5 Networks BIG-IP AFM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

Configuring a logging pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

Creating a high-speed log destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272

Creating a formatted log destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

Creating a log publisher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

Creating a logging profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

Associating the profile to a virtual server . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274


F5 Networks BIG-IP APM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

Configuring Remote Syslog for F5 BIG-IP APM 11.x . . . . . . . . . . . . . . . . . . . . 276

Configuring a Remote Syslog for F5 BIG-IP APM 10.x . . . . . . . . . . . . . . . . . . 276


Configuring F5 Networks BIG-IP ASM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277


F5 Networks BIG-IP LTM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279


Configuring syslog forwarding in BIG-IP LTM . . . . . . . . . . . . . . . . . . . . . . . . 280

Configuring Remote Syslog for F5 BIG-IP LTM 11.x . . . . . . . . . . . . . . . . . . . . 280

Configuring Remote Syslog for F5 BIG-IP LTM 10.x . . . . . . . . . . . . . . . . . . . . 281

Configuring Remote Syslog for F5 BIG-IP LTM 9.4.2 to 9.4.8 . . . . . . . . . . . . . 281

F5 Networks FirePass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Configuring syslog forwarding for F5 FirePass . . . . . . . . . . . . . . . . . . . . . . . . 282


Chapter 44 Fair Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

Chapter 45 Fidelis XPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

Configuring Fidelis XPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287


Chapter 46 FireEye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Configuring your FireEye system for communication with JSA . . . . . . . . . . . . . . . 292

Configuring a FireEye log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

Copyright 2016, Juniper Networks, Inc.x


Chapter 47 ForeScout CounterACT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295


Configuring the ForeScout CounterACT Plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . 296

Configuring ForeScout CounterACT Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Chapter 48 Fortinet FortiGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299

Configuring a syslog destination on your Fortinet FortiGate device . . . . . . . . . . 300

Configuring a syslog destination on your Fortinet FortiAnalyzer device . . . . . . . 300

Chapter 49 Foundry FastIron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

Configuring syslog for Foundry FastIron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303


Chapter 50 FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Configuring your FreeRADIUS device to communicate with JSA . . . . . . . . . . . . . 306

Chapter 51 Generic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Generic Authorization Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Configuring event properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309


Generic Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

Configuring event properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313


Chapter 52 genua genugate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317

Configuring genua genugate to send events to JSA . . . . . . . . . . . . . . . . . . . . . . . 318

Chapter 53 Great Bay Beacon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319

Configuring syslog for Great Bay Beacon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319


Chapter 54 HBGary Active Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321

Configuring HBGary Active Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321


Chapter 55 Honeycomb Lexicon File Integrity Monitor (FIM) . . . . . . . . . . . . . . . . . . . . . 323

Supported Honeycomb FIM event types logged by JSA . . . . . . . . . . . . . . . . . . . . 323

Configuring the Lexicon mesh service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324

Configuring a Honeycomb Lexicon FIM log source in JSA . . . . . . . . . . . . . . . . . . . 324

Chapter 56 Hewlett Packard (HP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

HP ProCurve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327


HP Tandem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328

Hewlett Packard UNIX (HP-UX) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329

xiCopyright 2016, Juniper Networks, Inc.

Table of Contents

Chapter 57 Huawei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

Huawei AR Series Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331


Configuring Your Huawei AR Series Router . . . . . . . . . . . . . . . . . . . . . . . . . . 332

Huawei S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333


Configuring Your Huawei S Series Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 334

Chapter 58 HyTrust CloudControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Configuring HyTrust CloudControl to communicate with JSA . . . . . . . . . . . . . . . 338

Chapter 59 IBM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

IBM AIX DSMs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

IBM AIX Server DSM overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

Configuring your IBM AIX Server device to send syslog events to JSA . . 341

IBM AIX Audit DSM overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

Configuring IBM AIX Audit DSM to send syslog events to JSA . . . . . . . . 343

Configuring IBM AIX Audit DSM to send log file protocol events to

JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344

IBM AS/400 iSeries DSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Configuring IBM i to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

Pulling Data Using Log File Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350

Configuring Townsend Security Alliance LogAgent to integrate with JSA . . 350

IBM Bluemix Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351

Configuring Bluemix Platform to communicate with JSA . . . . . . . . . . . . . . . 352

Integrating Bluemix Platform with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . 353

Configuring a Bluemix log source to use Syslog . . . . . . . . . . . . . . . . . . . 353

Configuring a Bluemix log source with TLS Syslog . . . . . . . . . . . . . . . . . 353

IBM CICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354

Creating a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358

Integration of IBM DB2 with LEEF Events . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Before You Begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Creating a log source for IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

Integrating IBM DB2 Audit Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Extracting audit data: DB2 v9.5 and later . . . . . . . . . . . . . . . . . . . . . . . . . . . 363

Extract audit data: DB2 v8.x to v9.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Creating a log source for IBM DB2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

IBM Federated Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368

Configuring IBM Federated Directory Server to monitor security events . . . 369

IBM Guardium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

Creating a syslog destination for events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

Configuring policies to generate syslog events . . . . . . . . . . . . . . . . . . . . . . . 372

Installing an IBM Guardium Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373


Creating an event map for IBM Guardium events . . . . . . . . . . . . . . . . . . . . . 374

Modifying the event map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

Copyright 2016, Juniper Networks, Inc.xii


IBM IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376

Configuring IBM IMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376


IBM Informix Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

IBM Lotus Domino . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Setting Up SNMP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382

Starting the Domino Server Add-in Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Configuring SNMP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

Configuring your IBM Lotus Domino device to communicate with JSA . . . . 384

IBM Privileged Session Recorder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

Configuring a log source for IBM Privileged Session Recorder . . . . . . . . . . . 386

IBM Proventia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

IBM Proventia Management SiteProtector . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Configuring a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

IBM ISS Proventia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

IBM RACF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Integrate IBM RACF with JSA Using IBM Security zSecure . . . . . . . . . . . . . . . 391

Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

Creating an IBM RACF Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

Integrate IBM RACF with JSA by using audit scripts . . . . . . . . . . . . . . . . . . . 396

Configuring IBM RACF to integrate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . 396

Create an IBM RACF log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

IBM Security Directory Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403

IBM Security Directory Server integration process . . . . . . . . . . . . . . . . . . . . 404

Configuring an IBM Security Directory Server log source in JSA . . . . . . 404

IBM Security Identity Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404

Configuring JSA tocommunicatewith your IBMSecurity IdentityGovernance

database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

IBM Security Network Protection (XGS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

Configuring IBM Security Network Protection (XGS) Alerts . . . . . . . . . . . . . 408

Configuring a Log Source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

IBM Security Trusteer Apex Advanced Malware Protection . . . . . . . . . . . . . . . . 409

Configuring IBM Security Trusteer Apex Advanced Malware Protection to

send syslog events to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

Configuring a Flat File Feed service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414

IBM Security Trusteer Apex Local Event Aggregator . . . . . . . . . . . . . . . . . . . . . . . 414

Configuring syslog for Trusteer Apex Local Event Aggregator . . . . . . . . . . . . 415

IBM Sense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415

IBM Tivoli Access Manager for e-business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417

Configure Tivoli Access Manager for e-business . . . . . . . . . . . . . . . . . . . . . . 417


IBM Tivoli Endpoint Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

IBM WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

Configuring IBM WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

Customizing the Logging Option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422


IBM WebSphere DataPower . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Configuring IBM WebSphere DataPower to communicate with JSA . . . . . . 426

IBM z/OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

xiiiCopyright 2016, Juniper Networks, Inc.

Table of Contents

IBM z/Secure Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

Before you begin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431

IBM zSecure Alert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

Chapter 60 ISC Bind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433


Chapter 61 Imperva SecureSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437

Configuring an alert action for Imperva SecureSphere . . . . . . . . . . . . . . . . . . . . 438

Configuring a system event action for Imperva SecureSphere . . . . . . . . . . . . . . 440

Chapter 62 Infoblox NIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443


Chapter 63 iT-CUBE agileSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

Configuring agileSI to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445

Configuring an agileSI log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446

Chapter 64 Itron Smart Meter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449

Chapter 65 Juniper Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

Juniper Networks AVT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

Configuring JSA to receive events from a Juniper Networks AVT device . . . 452

Juniper Networks DDoS Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453

Juniper Networks DX Application Acceleration Platform . . . . . . . . . . . . . . . . . . . 454

Configuring JSA to receiveevents froma JuniperDXApplicationAcceleration

Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454

Juniper Networks EX Series Ethernet Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454

Configuring JSA to receive events from a Juniper EX Series Ethernet

Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Juniper Networks IDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456

Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

Juniper Networks Infranet Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

Juniper Networks Firewall and VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457

Configuring JSA to receive events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458

Juniper Networks Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458

Juniper Networks Network and Security Manager . . . . . . . . . . . . . . . . . . . . 460

Configuring Juniper Networks NSM to export logs to syslog . . . . . . . . . 460

Configuring a log source for Juniper Networks NSM . . . . . . . . . . . . . . . . 461

Configuring JSA to receive events from a Juniper Junos OS Platform

device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Configure the PCAP Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462

Configuring a New Juniper Networks SRX Log Source with PCAP . . . . . . . . 462

Juniper Networks Secure Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463

Using the WELF:WELF format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464

Configuring JSA to receive events from the Juniper Networks Secure Access

device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Using the syslog format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465

Juniper Networks Security Binary Log Collector . . . . . . . . . . . . . . . . . . . . . . . . . . 466

Configuring the Juniper Networks Binary Log Format . . . . . . . . . . . . . . . . . . 467


Copyright 2016, Juniper Networks, Inc.xiv


Juniper Networks Steel-Belted Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Configuring Juniper Steel-Belted Radius for the Adaptive Log Exporter . . . 470

Configuring Juniper Steel-Belted Radius for syslog . . . . . . . . . . . . . . . . . . . . 471

Juniper Networks vGW Virtual Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472

Juniper Networks Junos WebApp Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473

Configuring syslog forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473

Configuring event logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474


Juniper Networks WLC Series Wireless LAN Controller . . . . . . . . . . . . . . . . . . . . 476

Configuring a syslog server from the Juniper WLC user interface . . . . . . . . . 477

Configuring a syslog server with the command-line interface for Juniper

WLC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

Chapter 66 Kaspersky Security Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

Creating a Database View for Kaspersky Security Center . . . . . . . . . . . . . . . . . . . 481

Configuring the log source in JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

Chapter 67 Kisco Information Systems SafeNet/i . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

Configuring Kisco Information Systems SafeNet/i to communicate with JSA . . 488

Chapter 68 Lastline Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491

Configuring Lastline Enterprise to communicate with JSA . . . . . . . . . . . . . . . . . 492

Chapter 69 Lieberman Random Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493

Chapter 70 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495

Linux DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495


Linux IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496

Configuring IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496


Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

Configuring syslog on Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499

Configuring syslog-ng on Linux OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500

Configuring Linux OS to send audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500

Chapter 71 LOGbinder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

LOGbinder EX event collection from Microsoft Exchange Server . . . . . . . . . . . . 503

Configuring your LOGbinder EX system to send Microsoft Exchange event

logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504

LOGbinder SP event collection fromMicrosoft SharePoint . . . . . . . . . . . . . . . . . 505

Configuring your LOGbinder SP system to sendMicrosoft SharePoint event

logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

LOGbinder SQL event collection fromMicrosoft SQL Server . . . . . . . . . . . . . . . . 507

Configuring your LOGbinderSQLsystemtosendMicrosoftSQLServer event

logs to JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508

xvCopyright 2016, Juniper Networks, Inc.

Table of Contents

Chapter 72 McAfee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

McAfee Application / Change Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

McAfee ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512

Configuring a McAfee ePO log source by using the JDBC protocol . . . . . . . . 513

Configuring ePO to forward SNMP events . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

Adding a registered server to McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . 515

Configuring SNMP notifications on McAfee ePO . . . . . . . . . . . . . . . . . . 516

Configuring a McAfee ePO log source by using the SNMP protocol . . . . 518

Installing the Java Cryptography Extension on McAfee ePO . . . . . . . . . 519

Installing the Java Cryptography Extension on JSA . . . . . . . . . . . . . . . . . 519

McAfee Firewall Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

Configuring McAfee Firewall Enterprise to communicate with JSA . . . . . . . . 521

McAfee Intrushield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521

Configuring alert events for McAfee Intrushield V2.x - V5.x . . . . . . . . . . . . . . 521

Configuring alert events for McAfee Intrushield V6.x and V7.x . . . . . . . . . . . 523

Configuring fault notification events for McAfee Intrushield V6.x and

V7.x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524

McAfee Web Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526

McAfee Web Gateway DSM integration process . . . . . . . . . . . . . . . . . . . . . . 527

Related tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

Configuring McAfee Web Gateway to communicate with JSA (syslog) . . . . 527

Importing the Syslog Log Handler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528

Configuring McAfeeWeb Gateway to communicate with JSA (log file

protocol) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529

Pulling data by using the log file protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . 530

Creation of an event map for McAfee Web Gateway events . . . . . . . . . . . . . 531

Discovering unknown events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

Modifying the event map . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

Chapter 73 MetaInfo MetaIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533

Chapter 74 Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535

Microsoft DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535

Microsoft Endpoint Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536

Creating a database view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537


Microsoft SQL Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541

Microsoft SQL Server preparation for communication with JSA . . . . . . . . . 542

Creating a Microsoft SQL Server auditing object . . . . . . . . . . . . . . . . . . 542

Creating a Microsoft SQL Server audit specification . . . . . . . . . . . . . . . 542

Creating a Microsoft SQL Server database view . . . . . . . . . . . . . . . . . . 543

Configuring a Microsoft SQL Server log source . . . . . . . . . . . . . . . . . . . . . . . 543

Microsoft Exchange Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546

Configuring Microsoft Exchange Server to communicate with JSA . . . . . . . 547

Configuring OWA logs on your Microsoft Exchange Server . . . . . . . . . . 547

Enabling SMTP logs on your Microsoft Exchange Server 2003, 2007,

and 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548

Copyright 2016, Juniper Networks, Inc.xvi


Enabling SMTP logs on your Microsoft Exchange Server 2013, and

2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549

Configuring MSGTRK logs for Microsoft Exchange 2003, 2007, and

2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549

Configuring MSGTRK logs for Exchange 2013 and 2016 . . . . . . . . . . . . 550

Configuring a log source for Microsoft Exchange . . . . . . . . . . . . . . . . . . . . . 550

Microsoft Hyper-V . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 551

Microsoft Hyper-V DSM integration process . . . . . . . . . . . . . . . . . . . . . . . . . 552

Related tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552

Configuring a Microsoft Hyper-V log source in JSA . . . . . . . . . . . . . . . . . . . . 552

Microsoft IAS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Microsoft IIS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

Configuring Microsoft IIS by using the IIS Protocol . . . . . . . . . . . . . . . . . . . . 554

Configuring the Microsoft IIS Protocol in JSA . . . . . . . . . . . . . . . . . . . . . . . . . 555

Configuring Microsoft IIS Using a Snare Agent . . . . . . . . . . . . . . . . . . . . . . . 556

Configuring Your Microsoft IIS Server for Snare . . . . . . . . . . . . . . . . . . . . . . . 557

Configure the Snare Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

Configuring a Microsoft IIS log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558

Configuring Microsoft IIS by using Adaptive Log Exporter . . . . . . . . . . . . . . 559

Microsoft ISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

Microsoft Office 365 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

Configuring Microsoft Office 365 to communicate with JSA . . . . . . . . . . . . 564

Microsoft Operations Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566

Microsoft SharePoint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569

Configuring a database view to collect audit events . . . . . . . . . . . . . . . . . . 569

Configuring Microsoft SharePoint audit events . . . . . . . . . . . . . . . . . . . . . . . 570

Creating a database view for Microsoft SharePoint . . . . . . . . . . . . . . . . . . . 570

Configuring a SharePoint log source for a database view . . . . . . . . . . . . . . . 571

Configuring a SharePoint log source for predefined database queries . . . . . 574

Microsoft System Center Operations Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 576

Microsoft Windows Security Event Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Enabling MSRPC on Windows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Enabling a Snare Agent onWindows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . 583

Enabling WMI on Windows hosts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

Chapter 75 Motorola Symbol APMotorola Symbol AP . . . . . . . . . . . . . . . . . . . . . . . . . . 589


Configure syslog events for Motorola Symbol AP . . . . . . . . . . . . . . . . . . . . . . . . 590

Chapter 76 Name Value Pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591

Chapter 77 NetApp Data ONTAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595

Chapter 78 Netskope Active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597

Configuring JSA to collect events from your Netskope Active system . . . . . . . . . 598

Chapter 79 Niksun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601


xviiCopyright 2016, Juniper Networks, Inc.

Table of Contents

Chapter 80 Nokia Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603

Integration with a Nokia Firewall by using syslog . . . . . . . . . . . . . . . . . . . . . . . . . 603

Configuring IPtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603

Configuring syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604

Configuring the logged events custom script . . . . . . . . . . . . . . . . . . . . . . . . 605


Integration with a Nokia Firewall by using OPSEC . . . . . . . . . . . . . . . . . . . . . . . . 606

Configuring a Nokia Firewall for OPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 606

Configuring an OPSEC log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607

Chapter 81 Nominum Vantio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609

Configure the Vantio LEEF Adapter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609


Chapter 82 Nortel Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

Nortel Multiprotocol Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

Nortel Application Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614

Nortel Contivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

Nortel Ethernet Routing Switch 2500/4500/5500 . . . . . . . . . . . . . . . . . . . . . . . 616

Nortel Ethernet Routing Switch 8300/8600 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 616

Nortel Secure Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617

Nortel Secure Network Access Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

Nortel Switched Firewall 5100 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620

Integrating Nortel Switched Firewall by using syslog . . . . . . . . . . . . . . . . . . 620

Integrate Nortel Switched Firewall by using OPSEC . . . . . . . . . . . . . . . . . . . 621



Nortel Switched Firewall 6000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 622

Configuring syslog for Nortel Switched Firewalls . . . . . . . . . . . . . . . . . . . . . 622

Configuring OPSEC for Nortel Switched Firewalls . . . . . . . . . . . . . . . . . . . . . 623

Reconfiguring the Check Point SmartCenter Server . . . . . . . . . . . . . . . . . . . 623

Nortel Threat Protection System (TPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624

Nortel VPN Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

Chapter 83 Novell eDirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

Configure XDASv2 to forward events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627

Load the XDASv2 Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629

Loading the XDASv2 on a Linux Operating System . . . . . . . . . . . . . . . . . . . . . . . 629

Loading the XDASv2 on a Windows Operating System . . . . . . . . . . . . . . . . . . . . 629

Configure event auditing using Novell iManager . . . . . . . . . . . . . . . . . . . . . . . . . 630

Configure a log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631

Chapter 84 Observe IT JDBC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633

Chapter 85 Okta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637

Chapter 86 Onapsis Security Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641

Configuring Onapsis Security Platform to communicate with JSA . . . . . . . . . . . 642

Chapter 87 OpenBSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643


Configuring syslog for OpenBSD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 644

Copyright 2016, Juniper Networks, Inc.xviii


Chapter 88 Open LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645


Configuring IPtables for multiline UDP syslog events . . . . . . . . . . . . . . . . . . . . . . 647

Configuring event forwarding for Open LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

Chapter 89 Open Source SNORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651

Configuring Open Source SNORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651


Chapter 90 OpenStack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655

Configuring OpenStack to communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . 657

Chapter 91 Oracle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

Oracle Acme Packet Session Border Controller . . . . . . . . . . . . . . . . . . . . . . . . . . 661

Supported Oracle Acme Packet event types that are logged by JSA . . . . . . 662

Configuring an Oracle Acme Packet SBC log source . . . . . . . . . . . . . . . . . . . 662

Configuring SNMP to syslog conversion on Oracle Acme Packet SBC . . . . . 663

Enabling syslog settings on the media manager object . . . . . . . . . . . . . . . . 664

Oracle Audit Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665

Configuring Oracle audit logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665

Improving performance with large audit tables . . . . . . . . . . . . . . . . . . . . . . 667

Oracle Audit Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668


Oracle BEA WebLogic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670

Enabling event logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670

Configuring domain logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Configuring application logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Configuring an audit provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671


Oracle DB Listener . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674

Collecting events by using the Oracle Database Listener Protocol . . . . . . . 674

Collecting Oracle database events by using Perl . . . . . . . . . . . . . . . . . . . . . . 676

Configuring the Oracle Database Listener within JSA. . . . . . . . . . . . . . . . . . 678

Oracle Enterprise Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

Oracle Fine Grained Auditing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680


Oracle OS Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684

Configuring the log sources within JSA for Oracle OS Audit . . . . . . . . . . . . . 685

Chapter 92 OSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687

Configuring OSSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687


Chapter 93 Palo Alto Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689

Creating a syslog destination on your Palo Alto device . . . . . . . . . . . . . . . . . . . . 690

Creating a forwarding policy on your Palo Alto device . . . . . . . . . . . . . . . . . . . . . 692

Creating ArcSight CEF formatted Syslog events on your Palo Alto Networks

Firewall device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692

Chapter 94 Pirean Access: One . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695


xixCopyright 2016, Juniper Networks, Inc.

Table of Contents

Chapter 95 PostFix Mail Transfer Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699

Configuring syslog for PostFix Mail Transfer Agent . . . . . . . . . . . . . . . . . . . . . . . 699

Configuring a PostFix MTA log source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700

Configuring IPtables for multiline UDP syslog events . . . . . . . . . . . . . . . . . . . . . . 701

Chapter 96 ProFTPd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703

Configuring ProFTPd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 703


Chapter 97 Proofpoint Enterprise Protection and Enterprise Privacy . . . . . . . . . . . . . . 705

Configuring Proofpoint Enterprise Protection and Enterprise Privacy DSM to

communicate with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706

Configuring a Proofpoint Enterprise Protection and Enterprise Privacy log

source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707

Chapter 98 Radware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711

Radware AppWall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711

Configuring Radware AppWall to communicate with JSA . . . . . . . . . . . . . . . 712

Increasing the maximum TCP Syslog payload length for Radware

AppWall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713

Radware DefensePro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714


Chapter 99 Raz-Lee iSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717

Configuring Raz-Lee iSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 717


Chapter 100 Redback ASE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721

Configuring Redback ASE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 721


Chapter 101 Resolution1 CyberSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723

Configuring your Resolution1 CyberSecurity device to communicate with JSA . . 724

Resolution1 CyberSecurity log source on your JSA Console . . . . . . . . . . . . . . . . . 724

Chapter 102 Riverbed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 727

Riverbed SteelCentral NetProfiler (Cascade Profiler) Audit . . . . . . . . . . . . . . . . . 727

CreatingaRiverbedSteelCentralNetProfiler report templateandgenerating

an audit file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728

Riverbed SteelCentral NetProfiler (Cascade Profiler) Alert . . . . . . . . . . . . . . . . . 729

Configuring your Riverbed SteelCentral NetProfiler system to enable

communication with JSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 731

Chapter 103 RSA Authentication Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 733

Configuration of syslog for RSA Authentication Manager 6.x, 7.x and 8.x . . . . . . 733

Configuring Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

juniper secure analytics configuring dsms guide · 8/8/2016 · appwall.....713...

Documents