Configurer les Paramètres de Serveur Syslog
Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d'autres plates-formes. Vous pouvez configurer le Firebox pour qu'il envoie ses messages de journal syslog à trois serveurs au maximum.
Pour les Fireboxes qui ne sont pas gérés sur le cloud, plusieurs serveurs Syslog sont pris en charge dans Fireware v12.4 et les versions ultérieures.
Pour chaque serveur syslog, vous devez spécifier l'adresse IP et le port des connexions au serveur.
Les messages des journaux Syslog ne sont pas chiffrés. Nous vous recommandons de ne pas envoyer de messages de journal à un serveur syslog via l'interface externe. Pour une meilleure sécurité, nous vous recommandons de placer votre serveur syslog dans votre réseau approuvé.
Pour chaque serveur syslog que vous ajoutez, vous spécifiez le format des messages de journal. Le Firebox peut envoyer ses messages de journal dans deux formats : Syslog ou IBM LEEF. Pour envoyer les messages de journal à un serveur syslog, choisissez le format de journal Syslog. Pour envoyer les messages de journal à un serveur IBM QRadar, choisissez le format IBM LEEF. Pour chaque format de journal, vous pouvez configurer certains des détails devant figurer dans les messages de journal.
Détails du format de journal Syslog
Indiquez si le Firebox doit inclure l'horodatage des messages de journal et le numéro de série du périphérique dans les messages de journal. L'horodatage est exprimé dans le fuseau horaire configuré sur le Firebox.
Détails du format de journal IBM LEEF
Indiquez si le Firebox doit inclure le numéro de série du périphérique et l'en-tête syslog dans les messages de journal qu'il transmet au serveur QRadar.
Vous pouvez choisir le dispositif syslog à utiliser pour chaque type de message de journal. Le dispositif syslog détermine la priorité relative de chaque message de journal. Plus le chiffre est faible, plus la priorité est élevée. Pour les messages de journal prioritaires tels que les alarmes, sélectionnez Local0. Pour les messages de journal non prioritaires, sélectionnez Local1 à Local7. Vous pouvez choisir le dispositif syslog pour cinq types de messages de journal :
- Alarme
- Trafic
- Évènement
- Diagnostic
- Performances
Pour plus d'informations sur les différents types de messages de journal, consultez Types de Messages de Journal.
Lorsque vous sélectionnez le format de journal IBM LEEF, le Firebox envoie uniquement les messages de journal comprenant le champ msg-id à votre serveur QRadar. Lorsque vous sélectionnez le format de journal IBM LEEF, le Firebox n'envoie pas les messages de journal de performance au serveur QRadar.
Les messages de journal au format de journal IBM LEEF comprennent l'en-tête LEEF ainsi que les détails suivants :
- Version LEEF
- Nom du Fournisseur
- Nom du Produit
- Version du produit
- ID de l'Événement
Par exemple :
- Version LEEF — LEEF : 1.0
- Nom du Fournisseur — WatchGuard
- Nom du Produit — Firebox
- Version du Produit — 12.1.B548280
- ID Événement — 1AFF000B (ID message)
Pour un serveur QRadar, vous devez sélectionner l'option permettant d'inclure l'en-tête syslog avant de pouvoir configurer les paramètres du dispositif syslog. Si vous choisissez d'inclure l'en-tête syslog dans les messages de journal, les messages de journal n'inclueront pas le nom d'hôte ni l'horodatage.
Avant de configurer votre Firebox pour envoyer des messages de journal vers un serveur syslog ou QRadar, un serveur syslog ou QRadar doit être configuré, opérationnel et prêt à recevoir des messages de journal.
Ajouter des Serveurs Syslog
- Sélectionnez Système > Journalisation.
La page Journalisation s'ouvre. - Cliquez sur l'onglet Serveur Syslog.
- Cochez la case Envoyer les messages de journal à ces serveurs syslog.
- Cliquez sur Ajouter.
La boite de dialogue Serveur Syslog s'affiche. - Dans la zone de texte Adresse IP, saisissez l'adresse IP du serveur.
- Dans la zone de texte Port, le port du serveur syslog par défaut (514) s'affiche. Pour changer le port du serveur, tapez ou sélectionnez un autre port pour votre serveur.
- Dans la liste déroulante Format des journaux, sélectionnez Syslog ou IBM LEEF.
Les détails pouvant figurer dans les messages de journal dépendent du format de journal sélectionné.
Les paramètres du Serveur Syslog pour le format de journal syslog.
Les paramètres du Serveur Syslog pour le format de journal IBM LEEF.
- (Facultatif) Dans la zone de texte Description, saisissez une description du serveur.
- (Format de journal Syslog uniquement) Pour inclure la date et l'heure de l'évènement dans les détails des messages de journal de votre Firebox, cochez la case Horodatage.
- Pour inclure le numéro de série du Firebox dans les détails des messages de journal, cochez la caseNuméro de série du périphérique.
- (Format de journal IBM LEEF uniquement) Pour inclure l'en-tête syslog dans les détails des messages de journal, cochez la case En-tête syslog.
- Dans la section Paramètres Syslog, sélectionnez une installation Syslog dans la liste déroulante pour chaque type de message de journal.
Si vous sélectionnez le format de journal IBM LEEF, vous devez cocher la case En-tête syslog avant de pouvoir sélectionner un dispositif syslog pour les différents types de messages de journal.- Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0.
- Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7.
- Pour ne pas envoyer les informations d'un type de message, sélectionnez AUCUN.
- Pour restaurer les paramètres par défaut, cliquez sur Restaurer les Valeurs par Défaut.
- Cliquez sur Enregistrer.
- Sélectionnez Configurer > Journalisation.
La boîte de dialogue Configurer la Journalisation s'affiche.
- Cochez la case Envoyer les messages de journal à ces serveurs syslog.
- Cliquez sur Ajouter.
La boîte de dialogue Configurer Syslog s'affiche. - Dans la zone de texte Adresse IP, saisissez l'adresse IP du serveur.
- Dans la zone de texte Port, le port du serveur syslog par défaut (514) s'affiche. Pour changer le port du serveur, tapez ou sélectionnez un autre port pour votre serveur.
- Dans la liste déroulante Format des journaux, sélectionnez Syslog ou IBM LEEF.
Les informations pouvant être inscrites dans les messages de journal dépendent du format de journal que vous sélectionnez.
La boîte de dialogue Configurer Syslog pour le format de journal Syslog.
La boîte de dialogue Configurer Syslog pour le format de journal IBM LEEF.
- (Format de journal Syslog uniquement) Pour inclure les informations d'horodatage dans les détails des messages de journal du Firebox, cochez la case Horodatage.
- Pour inclure le numéro de série du Firebox dans les détails des messages de journal, cochez la caseNuméro de série du périphérique.
- (Format de journal IBM LEEF uniquement) Pour inclure l'en-tête syslog dans les détails des messages de journal, cochez la case En-tête syslog.
- Dans chaque type de message de journal, sélectionnez une installation syslog :
- Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0.
- Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7.
- Pour ne pas envoyer les informations d'un type de message de journal, sélectionnez AUCUN.
- Pour restaurer les paramètres par défaut, cliquez sur Restaurer les Valeurs par Défaut.
- Cliquez sur OK pour fermer la boîte de dialogue Configurer Syslog.
- Cliquez sur OK pour fermer la boîte de dialogue Configurer la journalisation.
- Enregistrez le Fichier de Configuration..
Voir Également
À propos de la Journalisation et des Notifications Firebox
Inclure les Statistiques de Performance dans les Messages de Journal (WSM)