Se aplica a: Fireboxes administrados en la nube
Esta función solo está disponible para los participantes en el programa WatchGuard Cloud Beta.
En WatchGuard Cloud, puede configurar un Firebox administrado en la nube para enviar mensajes de registro a los servidores Dimension o Syslog con el fin de retener los mensajes de registro por más tiempo que el periodo de retención de datos normal en WatchGuard Cloud.
En la página Configuración del Dispositivo para un Firebox administrado en la nube, el mosaico Log Servers muestra los Log Servers y su estado (Habilitado o Deshabilitado).
Para obtener información sobre cómo configurar los servidores de registro, consulte:
Configurar los Ajustes del Servidor Dimension
Puede agregar un servidor Dimension principal y uno de respaldo. Si el Firebox no puede conectarse al servidor Dimension principal, intentará conectarse al servidor Dimension de respaldo.
Cuando el servidor Dimension principal no está disponible y el Firebox está conectado a un servidor Dimension de respaldo, el Firebox intenta conectarse nuevamente al servidor Dimension principal cada 6 minutos. Cuando el Firebox intenta conectarse nuevamente al servidor principal, no afecta la conexión existente al servidor de respaldo hasta que el servidor principal está disponible. El Firebox se vuelve a conectar al servidor principal cuando está disponible.
Según su configuración, su servidor Dimension podría quedarse sin almacenamiento más rápido de lo esperado. Asegúrese de planificar su implementación de Dimension para manejar el volumen de mensajes de registro.
Enviar Mensajes de Registro a un Servidor Dimension
Puede configurar su Firebox administrado en la nube para enviar mensajes de registro a un servidor Dimension. Para obtener información sobre cómo configurar el servidor Dimension, consulte Instalar WatchGuard Dimension.
Para enviar mensajes de registro a un servidor Dimension:
- En WatchGuard Cloud, seleccione Configurar > Dispositivos.
- Seleccione el Firebox administrado en la nube.
- Haga clic en Configuración del Dispositivo.
- Haga clic en el mosaico Log Servers.
Se abre la página Log Servers.
- Marque la casilla de selección Enviar Mensajes de Registro a Dimension.
- Haga clic en Agregar Log Server.
Se abre el cuadro de diálogo Agregar Log Server de WatchGuard.
- En el cuadro de texto Dirección IP o FQDN, ingrese la dirección IP o el nombre de dominio totalmente calificado (FQDN) del servidor Dimension principal.
- En el cuadro de texto Clave de Autenticación, ingrese la clave de autenticación para este servidor Dimension.
Esta es la Clave de Autenticación que estableció cuando configuró su instancia de Dimension. La Clave de Autenticación debe tener entre 8 y 32 caracteres y puede incluir cualquier caracter excepto espacios y barras (/ o \). - Haga clic en Agregar.
El Log Server de Dimension y su prioridad aparecen en la lista de Log Server. - Repita los pasos 6 al 9 para agregar un servidor Dimension de respaldo.
Esta lista muestra un resumen de los servidores de registro configurados, incluidas sus direcciones IP o nombres de dominio y prioridad. - Para cambiar la prioridad de un servidor Dimension, haga clic y arrastre la fila al principio o al final de la lista.
- Para guardar las actualizaciones de configuración en la nube, haga clic en Guardar.
Eliminar un Servidor Dimension
Puede eliminar un servidor de la lista. Cuando elimina el servidor Dimension principal, el servidor de respaldo se convierte en el servidor principal. Si solo hay un servidor y falla, ya no recibirá mensajes de registro.
Para eliminar un servidor Dimension:
- En la lista de servidores, junto a la dirección IP o el nombre de dominio, haga clic en
. - Seleccione Eliminar Log Server.
Configurar los Ajustes del Servidor Syslog
El syslog es una interfaz de registro desarrollada para UNIX, pero también usada por diversos sistemas informáticos. Puede configurar el Firebox para que envíe mensajes de registro de syslog a tres servidores como máximo.
Para los Fireboxes que no están administrados en la nube, se admiten múltiples servidores syslog con Fireware v12.4 y versiones superiores.
Para cada uno de ellos, debe especificar la dirección IP y el puerto para las conexiones al servidor.
Los mensajes de registro syslog no son cifrados. Se recomienda no enviar mensajes de registro a un servidor syslog a través de la interfaz externa. Para mayor seguridad, recomendamos ubicar su servidor syslog en una red de confianza.
Para cada servidor syslog que agregue, debe especificar el formato del mensaje de registro. El Firebox puede enviar mensajes de registro en dos formatos: Syslog o IBM LEEF. Para enviar mensajes de registro a un servidor syslog, especifique el formato del registro Syslog. Para enviar mensajes de registro a un servidor IBM QRadar, precise el formato de registro IBM LEEF. En cada formato de registro, puede configurar algunos detalles que se incluirán en los mensajes de registro.
Detalles del formato de registro de Syslog
Seleccione si el Firebox incluye la marca de tiempo de los mensajes de registro y el número de serie del dispositivo en ellos. La marca de tiempo se indica en la zona horaria configurada en el Firebox.
Detalles del formato de registros de IBM LEEF
Seleccione si el Firebox incluye el número de serie del dispositivo y el encabezado syslog en los mensajes de registro que envía al servidor QRadar.
Puede especificar la instalación de syslog que se usará para cada tipo de mensaje de registro. Esta determinará la prioridad relativa de cada uno de los mensajes de registro. Los números más bajos indican una mayor prioridad. Para mensajes de registro de alta prioridad, como las alarmas, seleccione Local0. Para mensajes de registro de baja prioridad, seleccione Local1 – Local7. Puede especificar la instalación de syslog para cinco tipos de mensaje de registro:
- Alarma
- Tráfico
- Evento
- Diagnóstico
- Rendimiento
Para obtener más información acerca de los diferentes tipos de mensajes, consulte Tipos de Mensajes de Registro.
Cuando selecciona el formato de registro IBM LEEF, el Firebox solamente envía los mensajes de registro que incluyen el campo msg-id a su servidor QRadar. Cuando selecciona el formato de registro IBM LEEF, el Firebox no envía los mensajes de registro de Desempeño al servidor QRadar.
Los mensajes de registro en el formato IBM LEEF incluyen el encabezado LEEF con los siguientes detalles:
- Versión LEEF
- Nombre del Proveedor
- Nombre del Producto
- Versión del producto
- ID de Evento
Por ejemplo:
- Versión LEEF — LEEF: 1.0
- Nombre del Proveedor — WatchGuard
- Nombre del Producto — Firebox
- Versión del Producto — 12.1.B548280
- ID de Evento — 1AFF000B (ID de mensaje)
En el caso de un servidor QRadar, debe seleccionar la opción para incluir el encabezado syslog antes de configurar los ajustes de la instalación de syslog. Si selecciona incluir el encabezado de syslog en los mensajes de registro enviados al servidor QRadar, estos últimos no incluirán el nombre de host y la marca de tiempo.
Antes de configurar su Firebox para enviar mensajes de registro a un servidor syslog o QRadar, debe tener un servidor syslog o QRadar configurado, operacional y listo para recibir mensajes de registro.
Enviar Mensajes de Registro a un Servidor Syslog
Puede agregar hasta tres servidores syslog. El Firebox puede enviar mensajes de registro en dos formatos: Syslog o IBM LEEF. Los detalles que puede incluir en los mensajes de registro dependen del formato del mensaje de registro que seleccione.
Para enviar mensajes de registro a un servidor syslog:
- En WatchGuard Cloud, seleccione Configurar > Dispositivos.
- Seleccione el Firebox administrado en la nube.
- Haga clic en Configuración del Dispositivo.
- Haga clic en el mosaico Log Servers.
Se abre la página Log Servers.
- Marque la casilla de selección Enviar Mensajes de Registro al Servidor Syslog.
- Haga clic en Agregar Log Server.
Se abre la página Agregar Servidor Syslog.
- En el cuadro de texto Dirección IP, escriba la dirección IP del servidor syslog.
- En el cuadro de texto Puerto, aparece el puerto del servidor syslog predeterminado (514). Para cambiar el puerto del servidor, ingrese o seleccione un puerto diferente para su servidor.
- En la lista desplegable Formato, seleccione Syslog o IBM LEEF.
- (Solo en formato de registro IBM LEEF) Para incluir el encabezado syslog en los detalles de mensajes de registro, marque la casilla de selección Incluir encabezados syslog.
- Para cada tipo de mensaje de registro, seleccione una instalación de syslog de la lista desplegable.
Si selecciona el formato de registro de IBM LEEF, debe marcar la casilla de selección Incluir encabezados syslog a fin de poder seleccionar una función de syslog para los tipos de mensajes de registro.- Para mensajes de syslog de alta prioridad, como alarmas, seleccione Local0.
- Seleccione Local1 – Local7 para asignar prioridades a otros tipos de mensajes de registro (los números inferiores tienen mayor prioridad).
- Para no enviar detalles para un tipo de mensaje, seleccione NINGUNO.
- Haga clic en Guardar.
- Para eliminar un Log Server, junto a la dirección IP, haga clic en y seleccione Eliminar Log Server.
- Para guardar las actualizaciones de configuración en la nube, haga clic en Guardar.
Ver También
Agregar un Firebox Administrado en la Nube a WatchGuard Cloud
Acerca de la Generación de Registros y Notificación de Firebox