Configurer les Paramètres de Serveur Syslog

Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d'autres plates-formes. Votre Firebox peut envoyer des messages de journal à un serveur WatchGuard Log Server et à un serveur syslog simultanément, ou à l'un ou l'autre. Les messages des journaux Syslog ne sont pas chiffrés. Il est conseillé de ne pas sélectionner un hôte Syslog sur l'interface externe.

Vous pouvez configurer votre Firebox pour envoyer des messages de journal à un serveur syslog ou un serveur QRada. Les messages de journal Syslog peuvent être encodés en deux formats : le format syslog et le format IBM LEEF. Pour envoyer des messages de journal vers un serveur syslog, sélectionnez le format syslog. Pour envoyer des messages de journal vers un serveur QRadar, sélectionnez le format IBM LEEF.

Lorsque vous configurez les paramètres syslog, vous pouvez spécifier le port à utiliser pour votre serveur. Dans le cas d'un serveur syslog, vous pouvez configurer le périphérique pour envoyer au serveur syslog l'horodatage du message de journal ou le numéro de série du périphérique. Dans le cas d'un serveur QRadar, vous pouvez configurer le périphérique pour envoyer au serveur QRadar le numéro de série du périphérique ou l'en-tête syslog. Pour les deux types de serveurs, vous pouvez spécifier l'installation syslog à envoyer au serveur pour chaque type de journal. L'utilitaire Syslog fait référence à l'un des champs du paquet Syslog et au fichier auquel Syslog envoie un message du journal. L'horodatage apparaît dans le fuseau horaire spécifié sur votre périphérique.

Lorsque vous configurez les paramètres pour le serveur, vous devez spécifier l'installation syslog à utiliser pour vos messages de journal. L'utilitaire Syslog fait référence à l'un des champs du paquet Syslog et au fichier auquel Syslog envoie un message du journal. Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0. Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7. Pour plus d'informations sur les utilitaires de journalisation, consultez votre documentation syslog.

Seuls les messages de journal qui incluent le champ msg-id sont envoyés à votre serveur QRadar. Les types de messages de journal inclus sont les suivants :

• Trafic
• Alarme
• Événement
• Diagnostics

Lorsque vous choisissez d'envoyer des messages de journal à votre serveur QRadar, les messages de journal comprennent l'en-tête LEEF et les informations suivantes :

• Version LEEF
• Nom du Fournisseur
• Nom du Produit
• Version du produit
• ID de l'Événement

Par exemple :

• Version LEEF — LEEF : 1.0
• Nom du Fournisseur — WatchGuard
• Nom du Produit — XTM
• Version du Produit — 11.9.B444050
• ID Événement — 1AFF000B (ID message)

Si vous choisissez d'inclure l'en-tête syslog dans les messages de journal que vous envoyez au serveur QRadar, le nom d'hôte et l'horodatage ne sont pas inclus dans les messages de journal.

Pour plus d'informations sur les différents types de messages de journal, consultez Types de messages de journal.

Avant de configurer votre périphérique pour envoyer des messages de journal vers un serveur syslog ou QRadar, un serveur syslog ou QRadar doit être configuré, opérationnel et prêt à recevoir des messages de journal.

Pour configurer votre périphérique pour envoyer des messages de journal vers un serveur syslog ou QRadar :

1. Sélectionnez Système > Journalisation.
   La page Journalisation s'ouvre.
2. Sélectionnez l'onglet Serveur Syslog.
3. Cochez la case Envoyer les messages de journal au serveur syslog à cette adresse IP.
4. Dans la zone de texte de l'Adresse IP, entrez l'adresse IP du serveur syslog ou QRadar.
5. Dans la zone de texte Port, le port du serveur syslog par défaut (514) s'affiche. Pour changer le port du serveur, tapez ou sélectionnez un autre port pour votre serveur.
6. Dans la liste déroulante Format des journaux, sélectionnez Syslog ou IBM LEEF.
   Les informations pouvant être inscrites dans les messages de journal dépendent du format de journal que vous sélectionnez.

7. (Syslog uniquement) Pour inclure la date et l'heure de l'événement dans les détails du message de journal de votre périphérique Firebox, cochez la case Horodatage.
8. Pour inclure le numéro de série du Firebox dans les détails des messages de journal, cochez la caseNuméro de série du périphérique.
9. (QRadar uniquement) Pour inclure l'en-tête syslog dans les détails des messages de journal, cochez la case En-tête syslog.
10. Dans la section Paramètres Syslog, sélectionnez une installation Syslog dans la liste déroulante pour chaque type de message de journal.
    Si vous sélectionnez le format de journal IBM LEEF, vous devez cocher la case En-tête syslog avant de pouvoir sélectionner une installation syslog pour les différents types de message de journal.
    • Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0.
    • Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7.
    • Pour ne pas envoyer les informations d'un type de message, sélectionnez AUCUN.
11. Cliquez sur Sauvegarder.

Dans la mesure où le trafic de Syslog n'est pas chiffré, les messages Syslog envoyés via Internet représentent un risque pour la sécurité du réseau approuvé. Pour cette raison, il est plus sûr de placer l'hôte Syslog sur votre réseau approuvé.

Voir aussi 

À propos de la journalisation, des fichiers journaux et de la notification

Traffic Monitor

Types de messages de journal

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.