Configurer les Paramètres de Serveur Syslog

Si Syslog est une interface de journalisation développée pour UNIX, elle est aussi utilisée sur d'autres plates-formes. Votre Firebox peut envoyer des messages de journal à un serveur WatchGuard Log Server et à un serveur syslog simultanément, ou à l'un ou l'autre. Les messages des journaux Syslog ne sont pas chiffrés. Il est conseillé de ne pas sélectionner un hôte Syslog sur l'interface externe.

Dans Policy Manager, vous pouvez configurer votre Firebox pour envoyer des messages de journal à un serveur syslog ou un serveur QRadar. Les messages de journal Syslog peuvent être encodés en deux formats : le format syslog et le format IBM LEEF. Pour envoyer des messages de journal vers un serveur syslog, sélectionnez le format syslog. Pour envoyer des messages de journal vers un serveur QRadar, sélectionnez le format IBM LEEF.

Lorsque vous configurez les paramètres syslog, vous pouvez spécifier le port à utiliser pour votre serveur. Dans le cas d'un serveur syslog, vous pouvez configurer le périphérique pour envoyer au serveur syslog l'horodatage du message de journal ou le numéro de série du périphérique. Dans le cas d'un serveur QRadar, vous pouvez configurer le périphérique pour envoyer au serveur QRadar le numéro de série du périphérique ou l'en-tête syslog. Pour les deux types de serveurs, vous pouvez spécifier l'installation syslog à envoyer au serveur pour chaque type de journal. L'utilitaire Syslog fait référence à l'un des champs du paquet Syslog et au fichier auquel Syslog envoie un message du journal. L'horodatage apparaît dans le fuseau horaire spécifié sur votre périphérique.

Seuls les messages de journal qui incluent le champ msg-id sont envoyés à votre serveur QRadar. Les types de messages de journal inclus sont les suivants :

• Trafic
• Alarme
• Événement
• Diagnostics

Lorsque vous choisissez d'envoyer des messages de journal à votre serveur QRadar, les messages de journal comprennent l'en-tête LEEF et les informations suivantes :

• Version LEEF
• Nom du Fournisseur
• Nom du Produit
• Version du produit
• ID de l'Événement

Par exemple :

• Version LEEF — LEEF : 1.0
• Nom du Fournisseur — WatchGuard
• Nom du Produit — XTM
• Version du Produit — 11.9.B444050
• ID Événement — 1AFF000B (ID message)

Si vous choisissez d'inclure l'en-tête syslog dans les messages de journal que vous envoyez au serveur QRadar, le nom d'hôte et l'horodatage ne sont pas inclus dans les messages de journal.

Pour configurer votre périphérique pour envoyer des messages de journal vers un serveur syslog ou QRadar :

1. Sélectionnez Configurer > Journalisation.
   La boîte de dialogue Configurer la journalisation s'affiche.

2. Cochez la case Envoyer les messages de journal au serveur syslog.
3. Dans la zone de texte de l'Adresse IP, entrez l'adresse IP du serveur syslog ou QRadar.
4. (Facultatif) Pour changer le port du serveur, dans la zone de texte Port, tapez ou sélectionnez le nouveau numéro de port.
   Le numéro de port par défaut est 514.
5. Dans la liste déroulante Format des journaux, sélectionnez Syslog ou IBM LEEF.
6. Cliquez sur Configurer.
   La boîte de dialogue Configurer Syslog s'affiche. Les options comprises dans la boîte de dialogue dépendent du format de journal que vous sélectionnez.

7. (Syslog uniquement) Pour inclure l'horodatage dans les détails du message de journal de votre Firebox, cochez la case Horodatage.
8. Pour inclure le numéro de série du Firebox dans les détails des messages de journal, cochez la case Numéro de série du périphérique.
9. (QRadar uniquement) Pour inclure l'en-tête syslog dans les détails des messages de journal, cochez la case En-tête syslog.
10. Dans chaque type de message du journal, sélectionnez une installation syslog :
    
    • Pour les messages syslog de haute priorité tels que les alarmes, sélectionnez Local0.
    • Pour affecter des priorités aux autres types de messages de journal (les numéros inférieurs ont une priorité plus élevée), sélectionnez Local1 à Local7.
    • Pour ne pas envoyer les informations d'un type de message de journal, sélectionnez AUCUN.

Pour plus d'informations sur les différents types de messages de journal, consultez Types de messages de journal.

Pour plus d'informations sur les utilitaires de journalisation, consultez votre documentation syslog.

11. Pour restaurer les paramètres syslog par défaut, cliquez sur Restaurer les valeurs par défaut.
12. Cliquez sur OK pour fermer la boîte de dialogue Configurer Syslog.
13. Cliquez sur OK pour fermer la boîte de dialogue Configurer la journalisation.
14. Enregistrer le Fichier de Configuration.

Voir aussi

Ajouter un serveur Log Server

Inclure les Statistiques de Performance dans les Messages de Journaux

Définir le niveau de la journalisation de diagnostic

Envoyer Vos Commentaires  •   Obtenir de l'Aide  •   Documentation Complète des Produits  •   Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.