在安全设备运行中,会产生大量的系统、安全和运行等日志。而安全设备本身的存储空间无法满足日志的存储,易造成日志覆盖或者丢失,导致无法进行攻击溯源分析和满足监管要求。因此,安全设备与Syslog服务器对接成功后,安全设备发送日志给Syslog服务器,从而减轻了安全设备的日志存储压力和满足监管的合规要求。
Syslog用于将设备日志发送到Syslog服务器进行存储,需要设置Syslog服务器的IP和端口信息。
某企业互联网出口,部署了一台AF。为满足监管要求,需要把安全日志发送到日志服务器上进行存储,且该服务器只能接收UDP514的数据包。
步骤1.开启安全日志通过syslog的形式发送给日志主机,如下图所示。
点击<设置>,可以在此直接添加日志主机,同时可以选择最小日志级别,如下图所示。
步骤2.配置日志主机syslog服务器,并以UDP514的形式发送日志给日志服务器,在日志主机列表点击<新增>,选择需要同步的安全日志,可以设置多个syslog服务器,如下图所示。
步骤3.查看AF产生安全日志,查看日志详情,并是否把日志发送给syslog服务器,如下图所示。
步骤4.日志能够发送到syslog服务器。
:
1.SYSLOG仅支持UDP方式连接,UTF-8的编码方式。
2.SYSLOG服务器最多支持同时接入5个。
建议使用Chrome浏览器访问!
