Home
  •  

ATA 게이트웨이가 SIEM Syslog 메시지를 구문 분석하지 못함

Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToParseSyslog (Rule)

Microsoft ATA 1.7 게이트웨이 모니터링 규칙 - ATA 게이트웨이가 SIEM Syslog 메시지를 구문 분석하지 못함

Knowledge Base article:

요약

ATA 게이트웨이가 SIEM에서 전달된 syslog 메시지를 구문 분석하지 못했습니다.

해결 방법

SIEM이 ATA에서 지원하는 형식 중 하나로 메시지를 전달하도록 구성되어 있는지 확인합니다.

Element properties:

TargetMicrosoft.AdvancedThreatAnalytics.1_7.Gateway
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
ATA 게이트웨이가 SIEM Syslog 메시지를 구문 분석하지 못함 경고

ATA 게이트웨이가 SIEM Syslog 메시지를 구문 분석하지 못함
로그 파일: {0}
로그 파일 디렉터리: {1}
로그 공급자: {2}
기록된 행: {3}

Member Modules:

ID Module Type TypeId RunAs 
ATALogFile DataSource Microsoft.AdvancedThreatAnalytics.LogFileProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToParseSyslog" Enabled="true" Target="Microsoft.AdvancedThreatAnalytics.1_7.Gateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="ATALogFile" TypeID="Microsoft.AdvancedThreatAnalytics.LogFileProvider">

      <LogFileDirectory>$Target/Property[Type="Microsoft.AdvancedThreatAnalytics.1_7.Gateway"]/InstallationPath$\Logs</LogFileDirectory>

      <LogFilePattern>Microsoft.Tri.Gateway-Errors.log</LogFilePattern>

      <PublisherName>Microsoft.Common.ExtendedException</PublisherName>

      <ErrorStringContains>Failed to parse time generated</ErrorStringContains>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AdvancedThreatAnalytics.1_7.Gateway.FailedToParseSyslog.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventData/DataItem/LogFileName$</AlertParameter1>

        <AlertParameter2>$Data/EventData/DataItem/LogFileDirectory$</AlertParameter2>

        <AlertParameter3>$Data/PublisherName$</AlertParameter3>

        <AlertParameter4>$Data/EventDescription$</AlertParameter4>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

        <SuppressionValue>$Data/EventDescription$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>