F5网络BIG-IP本地流量管理器

由F5 Networks提供的BIG-IP本地流量管理器(LTM)允许您控制和跟踪您网络中的应用程序和设备上的用户活动。您可以在InsightIDR中将BIG-IP LTM配置为IDS事件源，以解析IDS和进入认证事件。

您可以在此F5网络产品页面上了解更多有关Big-IP LTM的信息：

• https://www.f5.com/products/big-ip-services/local-traffic-manager.

在你开始之前

验证您在BIG-IP平台上拥有管理员权限。这个事件源需要在BIG-IP中进行一些初始配置，以确保将LTM日志发送到正确的位置。

配置F5 BIG IP

为了使InsightIDR能够将日志作为IDS事件源接收，需要配置BIG-IP将其日志发送到远程syslog服务器。你可以在这篇F5支持文章中详细了解如何完成这个过程:https://support.f5.com/csp/article/K13080

要在Big-IP中配置Syslog转发：

1. 登录到您的F5 BIG-IP界面。
2. 在左侧菜单上，展开系统页靠近列表底部并选择日志。
3. 展开配置在页面右侧的下拉菜单，然后单击远程日志记录。
4. 在“远程IP”字段中，输入收集器的IP地址以及要使用的唯一端口。
5. 输入要用于syslog服务器的唯一端口。
6. 点击添加。IP地址和端口将出现在下面的“远程Syslog服务器列表”字段中。
7. 点击更新确认更改。

在InsightIDR中配置F5网络

使用您的BIG-IP环境正确配置为发送其日志，您现在可以添加F5本地交通经理InsightIDR中的IDS事件源。

要添加新的F5本地流量管理器事件源：

1. 从insightidr中的仪表板，单击数据采集从左侧菜单中的选项卡。
2. 在“数据采集管理”页面，展开设置事件源下拉菜单,然后单击添加事件源。
3. 从“安全数据”部分，单击id图标。出现“添加事件源”面板。
4. 选择收集器和事件源。如果需要，还可以命名事件源。
5. 选择时区匹配事件源日志的位置。
6. 选择发送未经过滤的日志。
7. 选择一个数据收集方法并指定端口和协议。
   • 可以选择加密事件源，如果选择TCP通过下载Rapid7证书。
8. 点击节省当完成。