CEF messages not parsed from remote host

%3CLINGO-SUB%20id%3D%22lingo-sub-1326577%22%20slang%3D%22en-US%22%3ERe%3A%20CEF%20messages%20not%20parsed%20from%20remote%20host%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-1326577%22%20slang%3D%22en-US%22%3E%3CP%3E%3CFONT%20size%3D%224%22%3E%3CSTRONG%3Esecurity_events.conf%3C%2FSTRONG%3E%3C%2FFONT%3E%3C%2FP%3E%3CDIV%20class%3D%22mceNonEditable%20lia-copypaste-placeholder%22%3E%26nbsp%3B%3C%2FDIV%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3E%3CSOURCE%3E%0A%20%20type%20syslog%0A%20%20port%2025226%0A%20%20bind%20127.0.0.1%0A%20%20protocol_type%20tcp%0A%20%20tag%20oms.security%0A%20%20format%20%2F(%3F%3CTIME%3E(%3F%3A%5Cw%2B%20%2B)%7B2%2C3%7D(%3F%3A%5Cd%2B%3A)%7B2%7D%5Cd%2B%7C%5Cd%7B4%7D-%5Cd%7B2%7D-%5Cd%7B2%7DT%5Cd%7B2%7D%3A%5Cd%7B2%7D%3A%5Cd%7B2%7D.%5B%5Cw%5C-%5C%3A%5C%2B%5D%7B3%2C12%7D)%3A%3F%5Cs*(%3F%3A(%3F%3CHOST%3E%5B%5E%3A%20%5D%2B)%20%3F%3A%3F)%3F%5Cs*(%3F%3CIDENT%3E.*CEF.%2B%3F(%3F%3D0%5C%7C)%7C%25ASA%5B0-9%5C-%5D%7B8%2C10%7D)%5Cs*%3A%3F(%3F%3CMESSAGE%3E0%5C%7C.*%7C.*)%2F%0A%20%20%3CPARSE%3E%0A%20%20%20%20%20message_format%20auto%0A%20%20%3C%2FPARSE%3E%0A%3C%2FMESSAGE%3E%3C%2FIDENT%3E%3C%2FHOST%3E%3C%2FTIME%3E%3C%2FSOURCE%3E%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CFONT%20size%3D%223%22%3E%3CSTRONG%3Esecurity-config-omsagent.conf%3C%2FSTRONG%3E%3C%2FFONT%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3E%3Arawmsg%2C%20regex%2C%20%22CEF%5C%7CASA%22%20~%20*.*%20%40%40127.0.0.1%3A25226%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3ENo%20error%20spotted%20in%3A%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3E%2Fvar%2Fopt%2Fmicrosoft%2Fomsagent%2F%3CWORKSPACE-ID%3E%2Flog%2Fomsagent.log%3C%2FWORKSPACE-ID%3E%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3Eroot%40my-syslogserv%3A~%23%20netstat%20-anp%20%7C%20grep%20syslog%0Atcp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A514%20%20%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20LISTEN%20%20%20%20%20%205836%2Frsyslogd%0Atcp6%20%20%20%20%20%20%200%20%20%20%20%20%200%20%3A%3A%3A514%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%3A%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20LISTEN%20%20%20%20%20%205836%2Frsyslogd%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A48723%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A514%20%20%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A42005%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A38190%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A34139%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Audp6%20%20%20%20%20%20%200%20%20%20%20%20%200%20%3A%3A%3A514%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3A%3A%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205836%2Frsyslogd%0Aunix%20%202%20%20%20%20%20%20%5B%20%5D%20%20%20%20%20%20%20%20%20DGRAM%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2022952%20%20%20%201%2Finit%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2Frun%2Fsystemd%2Fjournal%2Fsyslog%0Aunix%20%202%20%20%20%20%20%20%5B%20%5D%20%20%20%20%20%20%20%20%20DGRAM%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2057903%20%20%20%205836%2Frsyslogd%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3Eroot%40my-syslogserv%3A~%23%20netstat%20-anp%20%7C%20grep%20ruby%0Atcp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%200.0.0.0%3A25325%20%20%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20LISTEN%20%20%20%20%20%205940%2Fruby%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%20127.0.0.1%3A25225%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205940%2Fruby%0Audp%20%20%20%20%20%20%20%200%20%20%20%20%20%200%20127.0.0.1%3A25226%20%20%20%20%20%20%20%20%200.0.0.0%3A*%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%205940%2Fruby%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EOnly%20error%20while%20running%20the%20test%20script%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-markup%22%3E%3CCODE%3Esudo%20wget%20https%3A%2F%2Fraw.githubusercontent.com%2FAzure%2FAzure-Sentinel%2Fmaster%2FDataConnectors%2FCEF%2Fcef_troubleshoot.py%26amp%3B%26amp%3Bsudo%20python%20cef_troubleshoot.py%20%3CWORKSPACE-ID%3E%3C%2FWORKSPACE-ID%3E%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CFONT%20color%3D%22%23FF0000%22%3E%3CSTRONG%3EError%3A%20Could%20not%20locate%20'omsagent'%20trying%20to%20validate%20by%20checking%20the%20process%3C%2FSTRONG%3E%3C%2FFONT%3E%3C%2FP%3E%3CDIV%20class%3D%22mceNonEditable%20lia-copypaste-placeholder%22%3E%26nbsp%3B%3C%2FDIV%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-SUB%20id%3D%22lingo-sub-1322980%22%20slang%3D%22en-US%22%3ECEF%20messages%20not%20parsed%20from%20remote%20host%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-1322980%22%20slang%3D%22en-US%22%3E%3CP%3EHi%20everyone%2C%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EI%20have%20a%20CentOS%20machine%20and%20a%20Syslog%20collector.%20Whenever%20I%20run%20the%20commands%20below%20on%20the%20Syslog%20collector%20similar%20to%20this%20%3CA%20href%3D%22https%3A%2F%2Ftechcommunity.microsoft.com%2Ft5%2Fazure-sentinel%2Fingest-sample-cef-data-into-azure-sentinel%2Fba-p%2F1064158%22%20target%3D%22_self%22%3Epost%3C%2FA%3E%2C%20CEF%20messages%20are%20parsed%20and%20showing%20up%20under%20%3CSTRONG%3ECommonSecurityLog%3C%2FSTRONG%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CSTRONG%3E%3CEM%3Elogger%20-p%20local4.warn%20-t%20CEF%3C%2FEM%3E%3C%2FSTRONG%3E%3CEM%3E%3CSPAN%3E%26nbsp%3B%3C%2FSPAN%3E%22CEF%3A0%7CMicrosoft%7CATA%7C1.9.0.0%7CEncryptionDowngradeSuspiciousActivity%7CEncryption%20downgrade%20activity%7C5%7Cstart%3D2018-12-12T18%3A10%3A35.0334169Z%20app%3DKerberos%20msg%3DThe%20encryption%20method%20of%20the%20TGT%20field%20of%20TGS_REQ%20message%20from%20W2012R2-000000-Server%20has%20been%20downgraded%20based%20on%20previously%20learned%20behavior.%20This%20may%20be%20a%20result%20of%20a%20Golden%20Ticket%20in-use%20on%20W2012R2-000000-Server.%20externalId%3D2009%20cs1Label%3Durl%20cs1%3D%3CA%20href%3D%22https%3A%2F%2F192.168.0.220%2FsuspiciousActivity%2F5c114f938ca1ec1250cafcfa%22%20target%3D%22_blank%22%20rel%3D%22noopener%20nofollow%20noopener%20noreferrer%20noopener%20noreferrer%20noopener%20noreferrer%22%3Ehttps%3A%2F%2F192.168.0.220%2FsuspiciousActivity%2F5c114f938ca1ec1250cafcfa%3C%2FA%3E%22%3C%2FEM%3E%3C%2FP%3E%3CP%3E%3CSTRONG%3E%3CEM%3Elogger%20-p%20local4.warn%20-t%20CEF%3C%2FEM%3E%3C%2FSTRONG%3E%3CEM%3E%3CSPAN%3E%26nbsp%3B%3C%2FSPAN%3E%22CEF%3A0%7CMicrosoft%7CATA%7C1.9.0.0%7CEncryptionDowngradeSuspiciousActivity%7CEncryption%20downgrade%20activity%7C5%7Cstart%3D2018-12-12T17%3A00%3A31.2975188Z%20app%3DKerberos%20msg%3DThe%20encryption%20method%20of%20the%20Encrypted_Timestamp%20field%20of%20AS_REQ%20message%20from%20W2012R2-000000-Server%20has%20been%20downgraded%20based%20on%20previously%20learned%20behavior.%20This%20may%20be%20a%20result%20of%20a%20credential%20theft%20using%20Overpass-the-Hash%20from%20W2012R2-000000-Server.%20externalId%3D2010%20cs1Label%3Durl%20cs1%3D%3CA%20href%3D%22https%3A%2F%2F192.168.0.220%2FsuspiciousActivity%2F5c113eaf8ca1ec1250ca0883%22%20target%3D%22_blank%22%20rel%3D%22noopener%20nofollow%20noopener%20noreferrer%20noopener%20noreferrer%20noopener%20noreferrer%22%3Ehttps%3A%2F%2F192.168.0.220%2FsuspiciousActivity%2F5c113eaf8ca1ec1250ca0883%3C%2FA%3E%22%3C%2FEM%3E%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EBut%20if%20i'm%20doing%20the%20same%20commands%20on%20my%20CentOS%20server%20and%20redirecting%20the%20output%20to%20the%20Syslog%20server%20via%20port%20514%2C%20the%20messages%20are%20not%20under%26nbsp%3B%3CSTRONG%3ECommonSecurityLog%3C%2FSTRONG%3E%26nbsp%3Banymore%20but%20%3CSTRONG%3ESyslog%3C%2FSTRONG%3E%20although%20the%20format%20remains%20the%20same.%20Everything%20is%20obviously%20grouped%20into%20the%20SyslogMessage%20field.%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EAny%20idea%20why%20this%20doesn't%20work%20with%20Sentinel%3F%20I%20have%20other%20SIEM%20background%20and%20my%20method%20works%20wonder.%20I%20tried%20everything%20and%20still%20couldn't%20pinpoint%20to%20why%20logs%20would%20not%20be%20forwarded%20at%20all%20to%20the%20Analytics%20agent.%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EThanks%2C%3C%2FP%3E%3C%2FLINGO-BODY%3E
Highlighted
New Contributor

Hi everyone,

 

I have a CentOS machine and a Syslog collector. Whenever I run the commands below on the Syslog collector similar to this post, CEF messages are parsed and showing up under CommonSecurityLog 

 

logger -p local4.warn -t CEF "CEF:0|Microsoft|ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Encryption downgrade activity|5|start=2018-12-12T18:10:35.0334169Z app=Kerberos msg=The encryption method of the TGT field of TGS_REQ message from W2012R2-000000-Server has been downgraded based on previously learned behavior. This may be a result of a Golden Ticket in-use on W2012R2-000000-Server. externalId=2009 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c114f938ca1ec1250cafcfa"

logger -p local4.warn -t CEF "CEF:0|Microsoft|ATA|1.9.0.0|EncryptionDowngradeSuspiciousActivity|Encryption downgrade activity|5|start=2018-12-12T17:00:31.2975188Z app=Kerberos msg=The encryption method of the Encrypted_Timestamp field of AS_REQ message from W2012R2-000000-Server has been downgraded based on previously learned behavior. This may be a result of a credential theft using Overpass-the-Hash from W2012R2-000000-Server. externalId=2010 cs1Label=url cs1=https://192.168.0.220/suspiciousActivity/5c113eaf8ca1ec1250ca0883"

 

 

 

But if i'm doing the same commands on my CentOS server and redirecting the output to the Syslog server via port 514, the messages are not under CommonSecurityLog anymore but Syslog although the format remains the same. Everything is obviously grouped into the SyslogMessage field.

 

Any idea why this doesn't work with Sentinel? I have other SIEM background and my method works wonder. I tried everything and still couldn't pinpoint to why logs would not be forwarded at all to the Analytics agent.

 

Thanks,

1 Reply
Highlighted

security_events.conf

 

 

<source>
  type syslog
  port 25226
  bind 127.0.0.1
  protocol_type tcp
  tag oms.security
  format /(?<time>(?:\w+ +){2,3}(?:\d+:){2}\d+|\d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}.[\w\-\:\+]{3,12}):?\s*(?:(?<host>[^: ]+) ?:?)?\s*(?<ident>.*CEF.+?(?=0\|)|%ASA[0-9\-]{8,10})\s*:?(?<message>0\|.*|.*)/
  <parse>
     message_format auto
  </parse>
</source>

 

security-config-omsagent.conf

 

 

:rawmsg, regex, "CEF\|ASA" ~ *.* @@127.0.0.1:25226

 

No error spotted in:

 

 

/var/opt/microsoft/omsagent/<workspace-id>/log/omsagent.log

 

 

 

 

root@my-syslogserv:~# netstat -anp | grep syslog
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      5836/rsyslogd
tcp6       0      0 :::514                  :::*                    LISTEN      5836/rsyslogd
udp        0      0 0.0.0.0:48723           0.0.0.0:*                           5836/rsyslogd
udp        0      0 0.0.0.0:514             0.0.0.0:*                           5836/rsyslogd
udp        0      0 0.0.0.0:42005           0.0.0.0:*                           5836/rsyslogd
udp        0      0 0.0.0.0:38190           0.0.0.0:*                           5836/rsyslogd
udp        0      0 0.0.0.0:34139           0.0.0.0:*                           5836/rsyslogd
udp6       0      0 :::514                  :::*                                5836/rsyslogd
unix  2      [ ]         DGRAM                    22952    1/init               /run/systemd/journal/syslog
unix  2      [ ]         DGRAM                    57903    5836/rsyslogd

 

 

 

root@my-syslogserv:~# netstat -anp | grep ruby
tcp        0      0 0.0.0.0:25325           0.0.0.0:*               LISTEN      5940/ruby
udp        0      0 127.0.0.1:25225         0.0.0.0:*                           5940/ruby
udp        0      0 127.0.0.1:25226         0.0.0.0:*                           5940/ruby

 

 

Only error while running the test script 

 

 

 

sudo wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/DataConnectors/CEF/cef_troubleshoot.py&&sudo python cef_troubleshoot.py <workspace-id>

 

 

 

Error: Could not locate 'omsagent' trying to validate by checking the process