Ajustar la Configuración del Servidor Syslog
El syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos sistemas informáticos. Puede configurar el Firebox para que envíe mensajes de registro de syslog a tres servidores como máximo.
Para los Fireboxes que no están administrados en la nube, se admiten múltiples servidores syslog con Fireware v12.4 y versiones superiores.
Para cada uno de ellos, debe especificar la dirección IP y el puerto para las conexiones al servidor.
Los mensajes de registro syslog no son cifrados. Se recomienda no enviar mensajes de registro a un servidor syslog a través de la interfaz externa. Para mayor seguridad, recomendamos ubicar su servidor syslog en una red de confianza.
Para cada servidor syslog que agregue, debe especificar el formato del mensaje de registro. El Firebox puede enviar mensajes de registro en dos formatos: Syslog o IBM LEEF. Para enviar mensajes de registro a un servidor syslog, especifique el formato del registro Syslog. Para enviar mensajes de registro a un servidor IBM QRadar, precise el formato de registro IBM LEEF. En cada formato de registro, puede configurar algunos detalles que se incluirán en los mensajes de registro.
Detalles del formato de registro de Syslog
Seleccione si el Firebox incluye la marca de tiempo de los mensajes de registro y el número de serie del dispositivo en ellos. La marca de tiempo se indica en la zona horaria configurada en el Firebox.
Detalles del formato de registros de IBM LEEF
Seleccione si el Firebox incluye el número de serie del dispositivo y el encabezado syslog en los mensajes de registro que envía al servidor QRadar.
Puede especificar la instalación de syslog que se usará para cada tipo de mensaje de registro. Esta determinará la prioridad relativa de cada uno de los mensajes de registro. Los números más bajos indican una mayor prioridad. Para mensajes de registro de alta prioridad, como las alarmas, seleccione Local0. Para mensajes de registro de baja prioridad, seleccione Local1 – Local7. Puede especificar la instalación de syslog para cinco tipos de mensaje de registro:
- Alarma
- Tráfico
- Evento
- Diagnóstico
- Rendimiento
Para obtener más información acerca de los diferentes tipos de mensajes, consulte Tipos de Mensajes de Registro.
Cuando selecciona el formato de registro IBM LEEF, el Firebox solamente envía los mensajes de registro que incluyen el campo msg-id a su servidor QRadar. Cuando selecciona el formato de registro IBM LEEF, el Firebox no envía los mensajes de registro de Desempeño al servidor QRadar.
Los mensajes de registro en el formato IBM LEEF incluyen el encabezado LEEF con los siguientes detalles:
- Versión LEEF
- Nombre del Proveedor
- Nombre del Producto
- Versión del producto
- ID de Evento
Por ejemplo:
- Versión LEEF — LEEF: 1.0
- Nombre del Proveedor — WatchGuard
- Nombre del Producto — Firebox
- Versión del Producto — 12.1.B548280
- ID de Evento — 1AFF000B (ID de mensaje)
En el caso de un servidor QRadar, debe seleccionar la opción para incluir el encabezado syslog antes de configurar los ajustes de la instalación de syslog. Si selecciona incluir el encabezado de syslog en los mensajes de registro enviados al servidor QRadar, estos últimos no incluirán el nombre de host y la marca de tiempo.
Antes de configurar su Firebox para enviar mensajes de registro a un servidor syslog o QRadar, debe tener un servidor syslog o QRadar configurado, operacional y listo para recibir mensajes de registro.
Agregar Servidores Syslog
- Seleccione Sistema > Generación de Registros.
Aparece la página Generación de Registros. - Haga clic en la pestaña Servidor de Syslog.
- Marque la casilla de selección Enviar mensajes de registro a estos servidores syslog.
- Haga clic en Agregar.
Aparece el cuadro de diálogo del Servidor Syslog. - En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor.
- En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
- En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
Los detalles que puede incluir en los mensajes de registro dependen del formato del registro que seleccione.
La configuración del Servidor Syslog para el formato de registro syslog.
La configuración del Servidor Syslog para el formato de registro IBM LEEF.
- (Opcional) En el cuadro de texto Descripción, ingrese una nueva descripción para el servidor.
- (Solamente en formato de registro Syslog) Para incluir la fecha y la hora en que ocurre el evento en su Firebox en los detalles de los mensajes de registro, marque la casilla de selección Marca de tiempo.
- Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
- (Solo en formato de registro IBM LEEF) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Encabezado syslog.
- En la sección Configuración de Syslog, para cada tipo de mensaje de registro, seleccione una instalación de syslog de la lista desplegable.
Si selecciona el formato de registro IBM LEEF, debe marcar la casilla de selección Encabezado de syslog antes de poder seleccionar la instalación de syslog para los tipos de mensajes de registro.- Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
- Seleccione Local1 – Local7 para asignar prioridades a otros tipos de mensajes de registro (números inferiores tienen mayor prioridad).
- Para no enviar detalles para un tipo de mensaje, seleccione NINGUNO.
- Para restablecer la configuración predeterminadas, haga clic en Restaurar Valores Predeterminados.
- Haga clic en Guardar.
- Seleccione Configurar > Generación de Registros.
Aparece el cuadro de diálogo Configuración de Registros.
- Marque la casilla de selección Enviar mensajes de registro a estos servidores syslog.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Configurar Syslog. - En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor.
- En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
- En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
Los detalles disponibles a incluir en los mensajes de registro dependen del formato del registro que seleccione.
El cuadro de diálogo Configurar Syslog para el formato de registro Syslog.
El cuadro de diálogo Configurar Syslog para el formato de registro IBM LEEF.
- (Solamente en formato de registro Syslog) Para incluir la información de la marca de tiempo de su Firebox en los detalles de los mensajes de registro, marque la casilla de selección Marca de tiempo.
- Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
- (Solo en formato de registro IBM LEEF) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Encabezado syslog.
- Para cada tipo de mensaje de registro, seleccione un recurso de syslog:
- Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
- Seleccione Local1 – Local7 para asignar prioridades a otros tipos de mensajes de registro (números inferiores tienen mayor prioridad).
- Para no enviar detalles para un tipo de mensaje de registro, seleccione NINGUNO.
- Para restablecer la configuración predeterminadas, haga clic en Restaurar Valores Predeterminados.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Syslog.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Generación de registros.
- Guardar el archivo de configuración.
Ver También
Acerca de la Generación de Registros y Notificación de Firebox
Incluir Estadísticas de Desempeño en los Mensajes de Registro (WSM)