& -Tipps Tricks: Verkehr weiterleiten an einen Syslog-Server protokolliert
Symptom
Sie müssen Datenverkehrsprotokolle von der Palo Alto Networks-Firewall an einen Syslog-Server weiterleiten. Aus Berichts-, rechtlichen oder praktischen Speichergründen müssen Sie diese Protokolle möglicherweise von der Firewall auf einen Syslog-Server abrufen.
- Ein Syslog-Server-Profil zu erstellen.
- Erstellen Sie ein Protokoll Profil weiterleiten.
- Verwenden Sie das Protokoll weiterleiten Profil von Sicherheitsrichtlinien.
- Übernehmen Sie die Änderungen.
Environment
- Pan-OS
- Syslog
Resolution
Schritt 1. Ein Syslog-Server-Profil erstellen
- Gerät zur > Serverprofile > Syslog
- Name : Geben Sie einen Namen für das Syslog-Profil ein (bis zu 31 Zeichen). Der Name ist Groß-/Kleinschreibung und muss eindeutig sein. Verwenden Sie nur Buchstaben, Zahlen, Leerzeichen, Bindestriche und Unterstriche.
- Name : Klicken Sie auf Hinzufügen, und geben Sie einen Namen für den Syslog-Server ein (bis zu 31 Zeichen). Der Name ist groß und muss eindeutig sein. Verwenden Sie nur Buchstaben, zahlen, Leerzeichen, Bindestriche und Unterstriche.
- Syslog Server: Geben Sie die IP-Adresse des Syslog-Servers ein.
- Transport: Wählen Sie, ob die Syslog-Meldungen über UDP, TCP oder SSL zu transportieren.
- Port: Geben Sie die Portnummer des Syslog-Servers (der standard-Port für UDP 514 ist der standard-Port für SSL ist 6514; für TCP müssen Sie eine Port-Nummer angeben).
- Format: Geben Sie das Syslog-Format verwenden: BSD (Standard) oder IETF.
- Anlage: Wählen Sie eine der Syslog-standard-Werte. Wählen Sie den Wert, der Karten, wie Ihr Syslog-Server das Anlage-Feld verwendet, um Nachrichten zu verwalten. Weitere Informationen zum Feld Facility finden Sie unter RFC 3164 (BSD-Format) oder RFC 5424 (IETF-Format).
Ihr syslog-Serverprofil wird nun erstellt, wie im folgenden Beispiel gezeigt:
Um die Integration mit externen Protokollanalysesystemen zu erleichtern, können Sie mit der Firewall das Protokollformat anpassen; außerdem können Sie benutzerdefinierte Key: Value-Attributpaare hinzufügen. Benutzerdefinierte Formate können unter
Geräte- > Serverprofile > Syslog > Syslog Server Profil > benutzerdefiniertes Protokollformatkonfiguriert werden:
Informationen zur Erreichung der CEF-konformen Protokollformatierung (ArcSight Common Event Format) finden Sie in den CEF-Konfigurationshandbüchern.
Schritt 2. Erstellen Sie ein Protokollweiterleitungsprofil
Gehen Sie zu Objekten > Protokollweiterleitung. Klicken Sie auf Hinzufügen.
- Name: Geben Sie einen Profilnamen (bis zu 31 Zeichen) ein. Dieser Name erscheint in der Liste der Log Spedition Profile bei der Definition von Sicherheitsrichtlinien. Der Name ist Groß-/Kleinschreibung und muss eindeutig sein. Verwenden Sie nur Buchstaben, zahlen, Leerzeichen, Bindestriche und Unterstriche.
- Syslog: Wählen Sie die Syslog-Server-Profil weitere Ziele angeben, wo der Verkehr-Log-Einträge gesendet werden.
- Klicken Sie auf 'OK', um Ihre Konfiguration zu bestätigen.
Ihr Log Forwarding Profil wird jetzt erstellt, wie im folgenden Beispiel gezeigt:
Schritt 3. Verwenden Sie das Protokollweiterleitungsprofil in Ihrer Sicherheitsrichtlinie Gehen Sie zu Richtlinien > Sicherheit Wählen Sie die Regel aus,
für die die Protokollweiterleitung angewendet werden muss (Any Allow) im folgenden Beispiel:
Gehen Sie als Nächstes zur Registerkarte Aktionen, wählen Sie In der Dropdownliste Protokollweiterleitungsprofil aus, und klicken Sie auf OK, wenn Sie mit Ihrer Konfiguration zufrieden sind:
Nachdem Sie auf OK geklickt haben, werden Sie das Weiterleitungssymbol in der Spalte "Optionen" Ihrer Sicherheitsregel bemerken:
Schritt 4. Vergessen Sie nicht, Ihre Änderungen zu übernehmen, wenn Sie fertig sind.