¿Existe una forma compatible de ejecutar un script de exportación de registro personalizado en el momento del arranque en el sistema operativo Gaia de Checkpoint?

1

Específicamente, estamos usando fwm logexport canalizado a logger para volcar los registros de auditoría en tiempo real a través de syslog a nuestro SEIM. Funciona muy bien si el comando se ejecuta manualmente (en segundo plano) desde la línea de comando "experto", pero luego debemos recordar volver y reiniciarlo después de reiniciar.

El "Programador de trabajos" permite ejecutar un trabajo en el momento del inicio, pero no le permite ingresar múltiples comandos conectados con una canalización, y resulta que su "@startup" ocurre demasiado pronto en el proceso de arranque para este uso (antes de que todos los procesos de CP hayan comenzado).

Gaia tiende a sobrescribir las configuraciones que se realizan fuera de las herramientas de configuración, pero no sé cuán extenso es eso, así que espero que haya un lugar oficial para los scripts personalizados que no se eliminen.

    
pregunta Rob Walsh 04.11.2013 - 22:56
fuente

1 respuesta

2

Debería consultar el artículo sk87560 desde Check Point, explica una forma compatible de cómo syslog a un servidor externo. Aquí hay una explicación abreviada.

El sistema operativo Gaia se registra en el servidor de syslog:

HostName> add syslog log-remote-address <IP_Address> level info
HostName> show syslog all
HostName> save config

Los registros del firewall de Check Point en el servidor de syslog: (en modo experto)

[Expert@HostName]# vi /etc/rc.d/init.d/cpboot

agregar fila al final

 fw log -f -t -n -l  2> /dev/null | awk 'NF' | logger -p local4.info -t CP_FireWall &

Entonces, en ese sentido, /etc/rc.d/init.d/cpboot debería funcionar para sus propósitos, recuerde agregar & hasta el final o podría tener problemas con el proceso de arranque.

    
respondido por el toottoot 06.11.2013 - 15:12
fuente

Lea otras preguntas en las etiquetas