Contents

Temas Relacionados

Configurar los Ajustes del Servidor Syslog

El syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos sistemas informáticos. Su Firebox puede enviar mensajes de registro a un WatchGuard Log Server y un servidor syslog a la vez, o enviar mensajes de registro a solo uno u otro. Los mensajes de registro syslog no son cifrados. Recomendamos que no seleccione un host de syslog en la interfaz externa.

Puede configurar su Firebox para que envíe mensajes de registro a un servidor syslog o a un QRadar. Los mensajes de registro syslog pueden cifrarse en dos formatos de registro: formato syslog o formato IBM LEEF. Para enviar mensajes de registro a un servidor syslog, seleccione el formato del registro syslog. Para enviar mensajes de registro a un servidor QRadar, seleccione el formato del registro IBM LEEF.

Cuando ajusta la configuración del syslog, puede especificar qué puerto utilizar para su servidor. Para un servidor syslog, puede configurar el dispositivo para que envíe la marca de hora de los mensajes de registro o el número de serie del dispositivo al servidor syslog. Para un servidor QRadar, puede configurar el dispositivo para que envíe el número de serie del dispositivo o el encabezado del syslog al servidor QRadar. Para ambos servidores, puede especificar qué recurso syslog enviar al servidor para cada tipo de registro. El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual syslog envía un mensaje de registro. La marca de hora aparece en la zona horaria especificada en su dispositivo.

Cuando configura el servidor, especifica el recurso de syslog que desea usar para sus mensajes de registro. El recurso de syslog se refiere a uno de los campos en el paquete syslog y también al archivo al cual syslog envía un mensaje de registro. Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0. Seleccione Local1Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad). Consulte su documentación de syslog para obtener más información acerca de los recursos de generación de registros.

Solo los mensajes de registro que incluyen el campo msg-id son enviados a su servidor QRadar. Se incluyen estos tipos de mensajes de registro:

  • Tráfico
  • Alarma
  • Evento
  • Diagnósticos

Cuando selecciona enviar mensajes de registro a su servidor QRadar, estos incluyen el encabezado LEEF con los siguientes detalles:

  • Versión LEEF
  • Nombre del Proveedor
  • Nombre del Producto
  • Versión del producto
  • ID de Evento

Por ejemplo:

  • Versión LEEF — LEEF: 1.0
  • Nombre del Proveedor — WatchGuard
  • Nombre del Producto — Firebox
  • Versión del Producto — 12.1.B548280
  • ID de Evento — 1AFF000B (ID de mensaje)

Si selecciona incluir el encabezado de syslog en los mensajes de registro que envía a QRadar, el nombre de host y la marca horaria no se incluyen en los mensajes de registro.

Para obtener más información acerca de los diferentes tipos de mensajes, consulte Tipos de Mensajes de Registro.

Antes de configurar su dispositivo para enviar mensajes de registro a un servidor syslog o QRadar, debe tener un servidor syslog o QRadar configurado, operacional y listo para recibir mensajes de registro.

Como el tráfico de syslog no es cifrado, los mensajes de syslog que son enviados a través de Internet disminuyen la seguridad de la red de confianza. Es más seguro si pone su host de syslog en su red de confianza.

Para configurar su dispositivo para que envíe mensajes de registro a un servidor syslog o QRadar, en la Fireware Web UI:Closed
  1. Seleccione Sistema > Generación de Registros.
    Aparece la página Generación de registros.
  2. Seleccione la pestaña Servidor Syslog.
  3. Marque la casilla de selección Enviar mensajes de registro al servidor syslog en esta dirección IP.
  4. En el cuadro de texto Dirección IP, ingrese la dirección IP para su servidor syslog o QRadar.
  5. En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
  6. En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
    Los detalles disponibles a incluir en los mensajes de registro dependen del formato del registro que seleccione.

Captura de pantalla de la configuración del Servidor Syslog

La Configuración de Syslog para el formato de registro syslog.

Captura de pantalla de la configuración del Servidor Syslog para el formato de registro IBM LEEF

La Configuración de Syslog para el formato de registro IBM LEEF.

  1. (Solo Syslog) Para incluir en los detalles de mensajes de registro la fecha y hora en que ocurre el evento en su Firebox, marque la casilla de selección Marca horaria.
  2. Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
  3. (Solo QRadar) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Encabezado syslog.
  4. En la sección Configuración de Syslog, para cada tipo de mensaje de registro, seleccione una instalación de syslog de la lista desplegable.
    Si selecciona el formato de registro IBM LEEF, debe marcar la casilla de selección Encabezado de syslog antes de poder seleccionar la instalación de syslog para los tipos de mensajes de registro.
    • Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
    • Seleccione Local1Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad).
    • Para no enviar detalles para un tipo de mensaje, seleccione NINGUNO.
  5. Haga clic en Guardar.
Para configurar su dispositivo para que envíe mensajes de registro a un servidor syslog o QRadar, en Policy Manager:Closed
  1. Seleccione Configurar > Generación de Registros.
    Aparece el cuadro de diálogo Configuración de Registros.

Captura de pantalla del cuadro de diálogo Configurar Generación de Registros

  1. Marque la casilla de selección Enviar mensajes de registro a este servidor syslog.
  2. En el cuadro de texto de dirección, ingrese la dirección IP del syslog o del QRadar.
  3. (Opcional) Para cambiar el puerto del servidor, en el cuadro de texto Puerto, ingrese o seleccione el nuevo número de puerto.
    El puerto predeterminado es el 514.
  4. En la lista desplegable Formato de Registro, seleccione Syslog o IBM LEEF.
  5. Haga clic en Configurar.
    Aparece el cuadro de diálogo Configurar Syslog. Las opciones incluidas en el cuadro de diálogo dependen del formato de registro que haya seleccionado.

Captura de pantalla del cuadro de diálogo Configurar Syslog para el formato de registro syslog

El cuadro de diálogo Configurar Syslog para el formato de registro syslog.

Captura de pantalla del cuadro de diálogo Configurar Syslog para el formato de registro IBM LEEF

El cuadro de diálogo Configurar Syslog para el formato de registro IBM LEEF.

  1. (Solo Syslog) Para incluir en los detalles de mensajes de registro la marca horaria de su Firebox, marque la casilla de selección Marca horaria.
  2. Para incluir el número de serie del Firebox en los detalles del mensaje de registro, marque la casilla de selección El número de serie del dispositivo.
  3. (Solo QRadar) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Encabezado syslog.
  4. Para cada tipo de mensaje de registro, seleccione un recurso de syslog:
    • Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
    • Seleccione Local1Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad).
    • Para no enviar detalles para un tipo de mensaje de registro, seleccione NINGUNO.

Para obtener más información acerca de los diferentes tipos de mensajes, consulte Tipos de Mensajes de Registro.

Consulte su documentación de syslog para obtener más información acerca de los recursos de generación de registros.

  1. Para restablecer la configuración predeterminadas para syslog, haga clic en Restaurar Valores Predeterminados.
  2. Haga clic enAceptar para cerrar el cuadro de diálogo Configuración de Syslog.
  3. Haga clic en Aceptar para cerrar el cuadro de diálogo Configuración de Generación de registros.
  4. Guardar el Archivo de Configuración.

Ver también 

Acerca de la Generación de Archivos de Registro, los Archivos de Registro y la Notificación

Traffic Monitor

Tipos de Mensajes de Registro

Agregar un Log Server

Incluir Estadísticas de Desempeño en los Mensajes de Registro

Establecer el Nivel de Registro de Diagnóstico

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.