Configurar el Almacenamiento y Reenvío de Registros de Eventos

Aplica A: WatchGuard SIEMFeeder

WatchGuard Event Importer proporciona varios métodos para almacenar o reenviar archivos de registro de eventos. La arquitectura de red, los recursos disponibles, el volumen de archivos de registro de eventos que Event Importer recibe de la infraestructura de Microsoft Azure y los archivos de registro de eventos que crea el servicio WatchGuard SIEMFeeder pueden ayudarlo a decidir el método a utilizar.

Este tema describe cómo Event Importer puede:

Guardar Archivos de Registro en una Carpeta Local o Remota
Enviar Archivos de Registro a un Servidor Apache Kafka
Enviar Archivos de Registro a un Servidor de Syslog

Guardar Archivos de Registro en una Carpeta Local o Remota

Siga estos pasos para guardar los archivos de registro en una carpeta local o remota:

En la computadora que ejecuta Event Importer, o en una unidad o recurso compartido, cree una carpeta para guardar los archivos de registro.
Continúe con el asistente de configuración hasta que el asistente le solicite que seleccione una ubicación de almacenamiento donde desea entregar los eventos que recibe. En el símbolo del sistema, escriba F para seleccionar la opción [F]ile on Disk (Archivo en Disco):
Seleccione dónde desea entregar los eventos recibidos: [F]ile on disk (Archivo en disco), [K]afka topic/queue (Tema/cola Kafka) o [S]yslog server (Servidor de Syslog).
En la línea de comandos, ingrese la ubicación de la ruta de la carpeta, local o remota.
En el símbolo del sistema, ingrese N para completar la configuración de este método de entrega:
¿Quiere configurar otro canal de entrega? [Sí/No]:

Configure un archivo.

Enviar Archivos de Registro a un Servidor Apache Kafka

Puede utilizar un servidor Apache Kafka para administrar sus archivos de registro. Kafka es una plataforma de flujo de eventos de código abierto que se utiliza para canalizaciones de datos e integración.

Complete los pasos de este procedimiento para enviar a un servidor Kafka:

Continúe con el asistente de configuración hasta que el asistente le solicite que seleccione una ubicación de almacenamiento donde desea entregar los eventos que recibe. En la línea de comandos, escriba K para seleccionar la opción Kafka Topic/Queue (Tema/Cola de Kafka):
Seleccione dónde desea entregar los eventos recibidos: [F]ile on disk (Archivo en disco), [K]afka topic/queue (Tema/cola Kafka) o [S]yslog server (Servidor de Syslog).
En la línea de comandos, ingrese la dirección IP o el nombre de dominio del servidor Kafka y el puerto de escucha, separados por dos puntos. Por ejemplo: example.com:9092 or 192.0.2.1:9092
Ingrese el endpoint del broker Kafka (incluido el URI completo con esquema, dominio/IP y puerto):
En la línea de comandos, ingrese el nombre de la cola o tema al que se enviarán los archivos de registro en el servidor Kafka. Por ejemplo: SiemFeederTopic
Ingrese el tema/cola de Kafka al que desea enviar los mensajes:
En la línea de comandos, ingrese el protocolo de comunicación que desea utilizar para enviar los archivos de registro al servidor Kafka.
Ingrese el protocolo seguro desea utilizar para comunicarse con el servidor: [N]one, [S]SL, S[A]SL_SSL o SASL_PLAIN[T]EXT:
Las opciones son las siguientes:
- None — Escriba N para utilizar el formato sin cifrar.
- SSL — Escriba S para utilizar el cifrado SSL.
- SASL_SSL — Escriba A para utilizar el cifrado SASL/SSL.
- SASL_PLAINTEXT — Escriba T y para utilizar el cifrado de texto SASL/PLAIN.

(Opcional) Si el protocolo de comunicación elegido cifra los datos, deberá ingresar la ruta del archivo que contiene el certificado emitido por la CA configurada en el servidor Kafka.
Según el protocolo de comunicación, es posible que tenga que proporcionar un nombre de usuario y una contraseña para el servidor.
En el símbolo del sistema, ingrese N para completar la configuración de este método de entrega:
¿Quiere configurar otro canal de entrega? [Sí/No]:

Enviar Archivos de Registro a un Servidor de Syslog

Puede utilizar un servidor syslog para administrar sus archivos de registro y centralizar la recopilación de archivos de registro de diferentes ubicaciones y sistemas.

Complete estos pasos para enviar archivos de registro a un servidor syslog:

Continúe con el asistente de configuración hasta que el asistente le solicite que seleccione una ubicación de almacenamiento donde desea entregar los eventos que recibe. En la línea de comandos, escriba S para seleccionar la opción Servidor de Syslog:
Seleccione dónde desea entregar los eventos recibidos: [F]ile on disk (Archivo en disco), [K]afka topic/queue (Tema/cola Kafka) o [S]yslog server (Servidor de Syslog).
En la línea de comandos, seleccione el formato de mensaje configurado en el servidor de syslog para los archivos de registro recibidos:
¿Qué formato de mensaje desea utilizar?
RFC[5]424 o RFC[3]164.
En la línea de comandos, ingrese la dirección IP o el nombre de dominio del servidor de syslog y el puerto de escucha, separados por dos puntos. Por ejemplo: example.com:9092 or 192.0.2.1:9092
Ingrese el nombre de host y el puerto que escucha el servidor de Syslog (dominio/IP y puerto):
En la línea de comandos, seleccione el protocolo de transporte configurado en el servidor de syslog para los archivos de registro recibidos:
¿Qué protocolo de transporte desea utilizar para comunicarse con el servidor? [T]CP o [U]DP:
Para asegurarse de que el servidor de syslog recibe todos los archivos de registro que envía Event Importer, recomendamos utilizar el protocolo de transporte TCP en ambos extremos de la comunicación. Si el protocolo de transporte es UDP, no hay TLS disponible ni delimitador.
En la línea de comandos, seleccione el protocolo criptográfico que desea utilizar para cifrar las comunicaciones entre el servidor de syslog y Event Importer:
¿Qué protocolo seguro desea utilizar? [N]inguno o TLS 1.[2]:
Si el protocolo de comunicación elegido cifra los datos, indique la ubicación del certificado emitido por la CA configurada en el servidor de syslog.
Las opciones para indicar la ubicación de la orden de certificado incluyen:
- [F]ile — El certificado CA se encuentra en un archivo independiente.
- [C]ert Store — El certificado de CA se encuentra en el almacén de certificados local de la computadora en la que se ejecuta Event Importer, en la rama certificados de Personas de Confianza (solo Windows).
En la línea de comandos, seleccione el marcador de fin de mensaje que el servidor de syslog configura para los archivos de registro recibidos:
¿Qué delimitador de mensaje desea utilizar? [C]R,[L]F, o C[R]LF:

En el símbolo del sistema, ingrese N para completar la configuración de este método de entrega:
¿Quiere configurar otro canal de entrega? [Sí/No]:

Configure un servidor syslog.

Temas Relacionados

Acerca de SIEMFeeder

Acerca de Event Importer

Configurar y Ejecutar Event Importer para Microsoft Windows

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.