Home
  •  

Bráně ATA se nepodařilo parsovat zprávu systémového protokolu SIEM

Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog (Rule)

Pravidlo pro monitorování brány Microsoft ATA 1.8 – Bráně ATA se nepodařilo parsovat zprávu systémového protokolu SIEM

Knowledge Base article:

Souhrn

Bráně ATA se nepodařilo parsovat zprávy systémového protokolu přeposlané od SIEM.

Řešení

Ověřte, že je SIEM nakonfigurované tak, aby se zprávy přeposílaly v jednom z formátů, které ATA podporuje.

Element properties:

TargetMicrosoft.AdvancedThreatAnalytics.1_8.Gateway
CategoryAvailabilityHealth
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
Výstraha na neúspěšné parsování zprávy systémového protokolu SIE bránou ATA

Bráně ATA se nepodařilo parsovat zprávu systémového protokolu SIEM
Soubor protokolu: {0}
Adresář souboru protokolu: {1}
Zprostředkovatel protokolu: {2}
Protokolovaný řádek: {3}

Member Modules:

ID Module Type TypeId RunAs 
ATALogFile DataSource Microsoft.AdvancedThreatAnalytics.LogFileProvider Default
Alert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog" Enabled="true" Target="Microsoft.AdvancedThreatAnalytics.1_8.Gateway" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>AvailabilityHealth</Category>

  <DataSources>

    <DataSource ID="ATALogFile" TypeID="Microsoft.AdvancedThreatAnalytics.LogFileProvider">

      <LogFileDirectory>$Target/Property[Type="Microsoft.AdvancedThreatAnalytics.1_8.Gateway"]/InstallationPath$\Logs</LogFileDirectory>

      <LogFilePattern>Microsoft.Tri.Gateway-Errors.log</LogFilePattern>

      <PublisherName>Microsoft.Common.ExtendedException</PublisherName>

      <ErrorStringContains>Failed to parse time generated</ErrorStringContains>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.AdvancedThreatAnalytics.1_8.Gateway.FailedToParseSyslog.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventData/DataItem/LogFileName$</AlertParameter1>

        <AlertParameter2>$Data/EventData/DataItem/LogFileDirectory$</AlertParameter2>

        <AlertParameter3>$Data/PublisherName$</AlertParameter3>

        <AlertParameter4>$Data/EventDescription$</AlertParameter4>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

        <SuppressionValue>$Data/EventDescription$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>