Configurer le Stockage et le Transfert des Journaux d'Événements

S'applique À : WatchGuard SIEMFeeder

WatchGuard Event Importer propose plusieurs méthodes pour stocker ou transférer des fichiers journaux d'événements. L'architecture de réseau, les ressources disponibles, le volume de fichiers journaux d'événements que Event Importer reçoit de l'infrastructure de Microsoft Azure et les fichiers journaux d'événements créés par le service WatchGuard SIEMfeeder peuvent vous aider à décider de la méthode à utiliser.

Cette rubrique décrit comment Event Importer peut :

Enregistrer les fichiers journaux dans un dossier local ou distant
Envoyer des Fichiers Journaux à un Serveur Apache Kafka
Envoyer des Fichiers Journaux au Serveur Syslog

Enregistrer les fichiers journaux dans un dossier local ou distant

Effectuez ces étapes pour enregistrer les fichiers journaux dans un dossier local ou distant :

Sur l'ordinateur qui exécute Event Importer, ou sur un lecteur ou une ressource partagé, créez un dossier pour stocker les fichiers journaux.
Suivez l'assistant de configuration jusqu'à ce que l'assistant vous invite à sélectionner un emplacement de stockage dans lequel vous souhaitez diffuser les événements que vous recevez. À l'invite de commande, tapez F pour sélectionner l'option [F]ile on Disk :
Sélectionnez où vous souhaitez livrer les événements reçus : [F]ile on disk, [K]afka topic/queue ou [S]yslog server.
À l'invite de commande, saisissez l'emplacement du chemin d'accès du dossier, local ou distant.
À l'invite de commande, saisissez N pour terminer la configuration de cette méthode d'envoi :
Voulez-vous configurer un autre canal d'envoi ? [Yes/No]

Configurez pour déposer.

Envoyer des Fichiers Journaux à un Serveur Apache Kafka

Vous pouvez utiliser un serveur Apache Kafka pour vous aider à gérer vos fichiers journaux. Kafka est une plateforme de streaming d'événements open source, utilisée pour les pipelines de données et l'intégration.

Suivez les étapes de cette procédure pour envoyer à un serveur Kafka :

Suivez l'assistant de configuration jusqu'à ce que l'assistant vous invite à sélectionner un emplacement de stockage dans lequel vous souhaitez diffuser les événements que vous recevez. À l'invite de commande, tapez K pour sélectionner l'option Kafka Topic/Queue :
Sélectionnez où vous souhaitez livrer les événements reçus : [F]ile on disk, [K]afka topic/queue ou [S]yslog server.
À l'invite de commande, saisissez l'adresse IP ou le nom de domaine du serveur Kafka et le port d'écoute, séparés par deux points. Par exemple : example.com:9092 or 192.0.2.1:9092
Saisissez l'endpoint du courtier Kafka (y compris l'URI complet avec le schéma, le domaine/IP et le port) :
À l'invite de commande, saisissez le nom de la file d'attente ou du sujet auquel envoyer les fichiers journaux sur le serveur Kafka. Par exemple : SiemFeederTopic
Entrez le sujet/la file d'attente Kafka où vous souhaitez envoyer des messages :
À l'invite de commande, entrez le protocole de communication à utiliser pour envoyer les fichiers journaux au serveur Kafka.
Entrez le protocole de transport que vous souhaitez utiliser pour communiquer avec le serveur : [N]one, [S]SL, S[A]SL_SSL ou SASL_PLAIN[T]EXT:
Les options comprennent :
- None (Aucun) — Saisissez N pour utiliser le format non chiffré.
- SSL — Saisissez S pour utiliser le chiffrement SSL.
- SASL_SSL — Saisissez A pour utiliser le chiffrement SASL/SSL.
- SASL_PLAINTEXT — Saisissez T pour utiliser le chiffrement de texte SASL/PLAIN.

(Facultatif) Si le protocole de communication choisi chiffre les données, vous devez saisir le chemin d'accès du fichier qui contient le certificat émis par l'Autorité de Certification configurée sur le serveur Kafka.
Selon le protocole de communication, vous devrez peut-être fournir le nom d'utilisateur et le mot de passe du serveur.
À l'invite de commande, saisissez N pour terminer la configuration de cette méthode d'envoi :
Voulez-vous configurer un autre canal d'envoi ? [Yes/No]

Envoyer des Fichiers Journaux au Serveur Syslog

Vous pouvez utiliser un serveur syslog pour vous aider à gérer vos fichiers journaux et centraliser la collecte de fichiers journaux provenant de différents emplacements et systèmes.

Effectuez ces étapes pour envoyer des fichiers journaux à un serveur syslog :

Suivez l'assistant de configuration jusqu'à ce que l'assistant vous invite à sélectionner un emplacement de stockage dans lequel vous souhaitez diffuser les événements que vous recevez. À l'invite de commande, tapez S pour sélectionner l'option Serveur Syslog :
Sélectionnez où vous souhaitez livrer les événements reçus : [F]ile on disk, [K]afka topic/queue ou [S]yslog server.
À l'invite de commande, sélectionnez le format de message configuré sur le serveur syslog pour les fichiers journaux reçus :
Quel format de message souhaitez-vous utiliser ?
RFC[5]424 ou RFC[3]164.
À l'invite de commande, saisissez l'adresse IP ou le nom de domaine du serveur syslog et le port d'écoute, séparés par deux points. Par exemple : example.com:9092 or 192.0.2.1:9092
Saisissez le nom d'hôte et le port écoutés par le serveur syslog (domaine/IP et port) :
À l'invite de commande, sélectionnez le protocole de transport configuré sur le serveur syslog pour les fichiers journaux reçus :
Quel protocole de transport souhaitez-vous utiliser pour communiquer avec le serveur ? [T]CP ou [U]DP :

Pour vous assurer que le serveur syslog reçoit tous les fichiers journaux envoyés par Event Importer, nous vous recommandons d'utiliser le protocole de transport TCP aux deux extrémités de la communication. Si le protocole de transport est UDP, il n'existe pas de TLS disponible ni de délimiteur.
À l'invite de commande, sélectionnez le protocole cryptographique à utiliser pour chiffrer les communications entre le serveur syslog et Event Importer :
Quel protocole sécurisé souhaitez-vous utiliser ? [N]one ou TLS 1.[2] :
Si le protocole de communication choisi chiffre les données, indiquez l'emplacement du certificat émis par l'Autorité de Certification configurée sur le serveur syslog.
Les options permettant d'indiquer l'emplacement de la commande de certificat incluent :
- [F]ile — Le certificat d'Autorité de Certification se trouve dans un fichier séparé.
- [C]ert Store — Certificat d'Autorité de Certification trouvé dans le magasin de certificats local sur l'ordinateur sur lequel Event Importer s'exécute, dans la branche Certificats de Personnes Approuvées (Windows uniquement).
À l'invite de commande, sélectionnez le marqueur de fin de message que le serveur syslog configure pour les fichiers journaux reçus :
Quel délimiteur de message souhaitez-vous utiliser ? [C]R,[L]F, ou C[R]LF :

À l'invite de commande, saisissez N pour terminer la configuration de cette méthode d'envoi :
Voulez-vous configurer un autre canal d'envoi ? [Yes/No]

Configurez un serveur syslog.

Rubriques Connexes

À Propos de SIEMFeeder

À Propos d'Event Importer

Configurer et Exécuter Event Importer pour Microsoft Windows

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.