S'applique à : Fireboxes Gérés sur le Cloud
Cette fonctionnalité est uniquement proposée aux participants du programme Bêta WatchGuard Cloud.
Dans WatchGuard Cloud, vous pouvez configurer un Firebox géré sur le cloud de manière à transmettre les messages de journal à des serveurs Dimension ou Syslog afin de conserver les messages de journal plus longtemps que la période de rétention habituelle des données dans WatchGuard Cloud.
Sur la page Configuration du Périphérique d'un Firebox géré sur le cloud, la mosaïque Log Servers indique les serveurs Log Server ainsi que leur état (Activé ou Désactivé).
Pour de plus amples informations concernant la configuration des serveurs log server, consultez la section :
Configurer les Paramètres du Serveur Dimension
Vous pouvez ajouter un serveur Dimension principal et un serveur Dimension de secours. Si le Firebox ne parvient pas à se connecter au serveur Dimension principal, il tente de se connecter au serveur Dimension de secours.
Si le serveur Dimension principal n'est pas disponible et que le Firebox est connecté à un serveur Dimension de secours, le Firebox tente de se reconnecter au serveur Dimension principal toutes les 6 minutes. Lorsque le Firebox tente de se reconnecter au serveur principal, il n'influe pas sur la connexion existante au serveur de secours jusqu'à ce que le serveur principal soit disponible. Le Firebox se reconnecte au serveur principal lorsqu'il est disponible.
En fonction de votre configuration, le serveur Dimension peut se retrouver à court de stockage plus rapidement que prévu. Veillez à planifier votre déploiement Dimension de manière à pouvoir gérer le volume des messages de journal.
Envoyer les Messages de Journal à un Serveur Dimension
Vous pouvez configurer votre Firebox géré sur le cloud de manière à transmettre les messages de journal à un serveur Dimension. Pour de plus amples informations concernant la configuration du serveur Dimension, consultez la section Installer WatchGuard Dimension.
Pour envoyer les messages de journal à un serveur Dimension :
- Dans WatchGuard Cloud, sélectionnez Configurer > Périphériques.
- Sélectionnez le Firebox géré sur le cloud.
- Cliquez sur Configuration du Périphérique.
- Cliquez sur la mosaïque Log Servers.
La page Log Servers s'ouvre.
- Sélectionnez la case à cocher Envoyer les Messages de Journal à Dimension.
- Cliquez sur Ajouter Log Server.
La boîte de dialogue Ajouter WatchGuard Log Server s'ouvre.
- Dans la zone de texte Adresse IP ou FQDN, saisissez l'adresse IP ou le nom de domaine entièrement qualifié (FQDN) du serveur Dimension principal.
- Dans la zone de texte Clé d'Authentification, saisissez la clé d'authentification pour ce serveur Dimension.
Il s'agit de la Clé d'Authentification que vous avez configurée lorsque vous avez configuré votre instance Dimension. La Clé d'Authentification doit comporter de 8 à 32 caractères et peut inclure n'importe quel caractère à l'exception des espaces et des barres obliques (/ ou \). - Cliquez sur Ajouter.
Le serveur Log Server Dimension et sa priorité s'affichent dans la liste des serveurs Log Server. - Répétez les Étapes 6 à 9 pour ajouter un serveur Dimension de secours.
Cette liste offre une synthèse des serveurs de journaux configurés, y compris leurs adresses IP ou leurs noms de domaine ainsi que leur priorité. - Pour modifier la priorité d'un serveur Dimension, cliquez dessus et faites glisser la ligne vers le haut ou le bas de la liste.
- Pour enregistrer les mises à jour de la configuration sur le cloud, cliquez sur Enregistrer.
Supprimer un Serveur Dimension
Vous pouvez supprimer un serveur de la liste. Lorsque vous supprimez le serveur Dimension principal, le serveur de secours devient le serveur principal. S'il n'existe qu'un seul serveur et qu'il dysfonctionne, vous ne recevez plus de messages de journal.
Pour supprimer un serveur Dimension :
- Dans la liste des serveurs, en face de l'adresse IP ou du nom de domaine, cliquez sur
. - Sélectionnez Supprimer Log Server.
Configurer les Paramètres de Serveur Syslog
Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d'autres plates-formes. Vous pouvez configurer le Firebox pour qu'il envoie ses messages de journal syslog à trois serveurs au maximum.
Pour les Fireboxes qui ne sont pas gérés sur le cloud, plusieurs serveurs Syslog sont pris en charge dans Fireware v12.4 et les versions ultérieures.
Pour chaque serveur syslog, vous devez spécifier l'adresse IP et le port des connexions au serveur.
Les messages des journaux Syslog ne sont pas chiffrés. Nous vous recommandons de ne pas envoyer de messages de journal à un serveur syslog via l'interface externe. Pour une meilleure sécurité, nous vous recommandons de placer votre serveur syslog dans votre réseau approuvé.
Pour chaque serveur syslog que vous ajoutez, vous spécifiez le format des messages de journal. Le Firebox peut envoyer ses messages de journal dans deux formats : Syslog ou IBM LEEF. Pour envoyer les messages de journal à un serveur syslog, choisissez le format de journal Syslog. Pour envoyer les messages de journal à un serveur IBM QRadar, choisissez le format IBM LEEF. Pour chaque format de journal, vous pouvez configurer certains des détails devant figurer dans les messages de journal.
Détails du format de journal Syslog
Indiquez si le Firebox doit inclure l'horodatage des messages de journal et le numéro de série du périphérique dans les messages de journal. L'horodatage est exprimé dans le fuseau horaire configuré sur le Firebox.
Détails du format de journal IBM LEEF
Indiquez si le Firebox doit inclure le numéro de série du périphérique et l'en-tête syslog dans les messages de journal qu'il transmet au serveur QRadar.
Vous pouvez choisir le dispositif syslog à utiliser pour chaque type de message de journal. Le dispositif syslog détermine la priorité relative de chaque message de journal. Plus le chiffre est faible, plus la priorité est élevée. Pour les messages de journal prioritaires tels que les alarmes, sélectionnez Local0. Pour les messages de journal non prioritaires, sélectionnez Local1 à Local7. Vous pouvez choisir le dispositif syslog pour cinq types de messages de journal :
- Alarme
- Trafic
- Évènement
- Diagnostic
- Performances
Pour plus d'informations sur les différents types de messages de journal, consultez Types de Messages de Journal.
Lorsque vous sélectionnez le format de journal IBM LEEF, le Firebox envoie uniquement les messages de journal comprenant le champ msg-id à votre serveur QRadar. Lorsque vous sélectionnez le format de journal IBM LEEF, le Firebox n'envoie pas les messages de journal de performance au serveur QRadar.
Les messages de journal au format de journal IBM LEEF comprennent l'en-tête LEEF ainsi que les détails suivants :
- Version LEEF
- Nom du Fournisseur
- Nom du Produit
- Version du produit
- ID de l'Événement
Par exemple :
- Version LEEF — LEEF : 1.0
- Nom du Fournisseur — WatchGuard
- Nom du Produit — Firebox
- Version du Produit — 12.1.B548280
- ID Événement — 1AFF000B (ID message)
Pour un serveur QRadar, vous devez sélectionner l'option permettant d'inclure l'en-tête syslog avant de pouvoir configurer les paramètres du dispositif syslog. Si vous choisissez d'inclure l'en-tête syslog dans les messages de journal, les messages de journal n'inclueront pas le nom d'hôte ni l'horodatage.
Avant de configurer votre Firebox pour envoyer des messages de journal vers un serveur syslog ou QRadar, un serveur syslog ou QRadar doit être configuré, opérationnel et prêt à recevoir des messages de journal.
Envoyer des Messages de Journal à un Serveur Syslog
Vous pouvez ajouter jusqu'à trois serveurs syslog. Le Firebox peut envoyer ses messages de journal dans deux formats : Syslog ou IBM LEEF. Les détails que vous pouvez inclure aux messages de journal dépendent du format de message de journal sélectionné.
Pour envoyer des messages de journal à un serveur syslog :
- Dans WatchGuard Cloud, sélectionnez Configurer > Périphériques.
- Sélectionnez le Firebox géré sur le cloud.
- Cliquez sur Configuration du Périphérique.
- Cliquez sur la mosaïque Log Servers.
La page Log Servers s'ouvre.
- Sélectionnez la case à cocher Envoyer les Messages de Journal au Serveur Syslog.
- Cliquez sur Ajouter Log Server.
La page Ajouter un Serveur Syslog s'ouvre.
- Dans la zone de texte Adresse IP, saisissez l'adresse IP du serveur syslog.
- Dans la zone de texte Port, le port du serveur syslog par défaut (514) s'affiche. Pour changer le port du serveur, tapez ou sélectionnez un autre port pour votre serveur.
- Dans la liste déroulante Format, sélectionnez Syslog ou IBM LEEF.
- (Format de journal IBM LEEF uniquement) pour inclure l'en-tête syslog dans les détails du message du journal, sélectionnez la case à cocher Inclure les en-têtes syslog.
- Sélectionnez un utilitaire Syslog pour chaque type de message du journal dans la liste déroulante.
Si vous sélectionnez le format de journal IBM LEEF, vous devez cocher la case Inclure En-tête syslog avant de pouvoir sélectionner un utilitaire syslog pour les différents types de messages de journaux.- Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0.
- Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7.
- Pour ne pas envoyer les informations d'un type de message, sélectionnez AUCUN.
- Cliquez sur Enregistrer.
- Pour supprimer un serveur Log Server, en face de l'adresse IP, cliquez sur puis sélectionnez Supprimer Log Server.
- Pour enregistrer les mises à jour de la configuration sur le cloud, cliquez sur Enregistrer.
Voir Également
Ajouter un Firebox Géré sur le Cloud à WatchGuard Cloud