Configurar los Ajustes del Servidor Syslog

El syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos sistemas informáticos. Su Firebox puede enviar mensajes de registro a un WatchGuard Log Server y un servidor syslog a la vez, o enviar mensajes de registro a solo uno u otro. Los mensajes de registro syslog no son cifrados. Recomendamos que no seleccione un host de syslog en la interfaz externa.

Puede configurar su Firebox para que envíe mensajes de registro a un servidor syslog o a un QRadar. Los mensajes de registro syslog pueden cifrarse en dos formatos de registro: formato syslog o formato IBM LEEF. Para enviar mensajes de registro a un servidor syslog, seleccione el formato del registro syslog. Para enviar mensajes de registro a un servidor QRadar, seleccione el formato del registro IBM LEEF.

Cuando ajusta la configuración del syslog, puede especificar qué puerto utilizar para su servidor. Para un servidor syslog, puede configurar el dispositivo para que envíe la marca de hora de los mensajes de registro o el número de serie del dispositivo al servidor syslog. Para un servidor QRadar, puede configurar el dispositivo para que envíe el número de serie del dispositivo o el encabezado del syslog al servidor QRadar. Para ambos servidores, puede especificar qué recurso syslog enviar al servidor para cada tipo de registro. El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual syslog envía un mensaje de registro. La marca de hora aparece en la zona horaria especificada en su dispositivo.

Cuando configura el servidor, especifica el recurso de syslog que desea usar para sus mensajes de registro. El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual syslog envía un mensaje de registro. Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0. Seleccione Local1–Local7 para asignar prioridades a otros tipos de mensajes de registro (números inferiores tienen mayor prioridad). Consulte su documentación de syslog para obtener más información acerca de los recursos de generación de registros.

Solo los mensajes de registro que incluyen el campo msg-id son enviados a su servidor QRadar. Se incluyen estos tipos de mensajes de registro:

• Tráfico
• Alarma
• Evento
• Diagnósticos

Cuando selecciona enviar mensajes de registro a su servidor QRadar, estos incluyen el encabezado LEEF con los siguientes detalles:

• Versión LEEF
• Nombre del Proveedor
• Nombre del Producto
• Versión del producto
• ID de Evento

Por ejemplo:

• Versión LEEF — LEEF: 1.0
• Nombre del Proveedor — WatchGuard
• Nombre del Producto — XTM
• Versión del Producto — 11.9.B444050
• ID de Evento — 1AFF000B (ID de mensaje)

Si selecciona incluir el encabezado de syslog en los mensajes de registro que envía a QRadar, el nombre de host y la marca horaria no se incluyen en los mensajes de registro.

Para obtener más información acerca de los diferentes tipos de mensajes, consulte Tipos de Mensajes de Registro.

Antes de configurar su dispositivo para enviar mensajes de registro a un servidor syslog o QRadar, debe tener un servidor syslog o QRadar configurado, operacional y listo para recibir mensajes de registro.

Para configurar su dispositivo para enviar mensajes de registro a un servidor syslog o QRadar:

1. Seleccione Sistema > Generación de Registros.
   Aparece la página Generación de registros.
2. Seleccione la pestaña Servidor Syslog.
3. Marque la casilla de selección Enviar mensajes de registro al servidor syslog en esta dirección IP.
4. En el cuadro de texto Dirección IP, ingrese la dirección IP para su servidor syslog o QRadar.
5. En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
6. En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
   Los detalles disponibles a incluir en los mensajes de registro dependen del formato del registro que seleccione.

7. (Solo Syslog) Para incluir en los detalles de mensajes de registro la fecha y hora en que ocurre el evento en su Firebox, marque la casilla de selección Marca horaria.
8. Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
9. (Solo QRadar) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Encabezado syslog.
10. En la sección Configuración de Syslog, para cada tipo de mensaje de registro, seleccione una instalación de syslog de la lista desplegable.
    Si selecciona el formato de registro IBM LEEF, debe marcar la casilla de selección Encabezado de syslog antes de poder seleccionar la instalación de syslog para los tipos de mensajes de registro.
    • Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
    • Seleccione Local1–Local7 para asignar prioridades a otros tipos de mensajes de registro (números inferiores tienen mayor prioridad).
    • Para no enviar detalles para un tipo de mensaje, seleccione NINGUNO.
11. Haga clic en Guardar.

Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados a través de Internet disminuyen la seguridad de la red de confianza. Es más seguro si pone su host de syslog en su red de confianza.

Vea también 

Acerca de la Generación de Archivos de Registro, los Archivos de Registro y la Notificación

Traffic Monitor

Tipos de Mensajes de Registro

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.