Consejos y trucos: Enviar registros de tráfico a un servidor syslog
Symptom
Necesidad de reenviar los registros de tráfico desde el firewall de Palo Alto Networks a un servidor de Syslog. Para los informes, las razones legales o prácticas del almacenamiento, es posible que deba obtener estos registros del firewall en un servidor de Syslog.
- Crear un perfil de servidor de syslog.
- Crear un registro de Perfil de reenvío.
- Utilice el registro del perfil en su política de seguridad de la expedición.
- Confirme los cambios.
Environment
- PAN-os
- Syslog
Resolution
Paso 1. Crear un perfil de servidor syslog
- Ir a dispositivo > perfiles de servidor > Syslog
- Nombre : Ingrese un nombre para el perfil de Syslog (hasta 31 caracteres). El nombre distingue mayúsculas y minúsculas y debe ser único. Utilice solo letras, números, espacios, guiones y guiones bajos.
- Nombre : Haga clic en Agregar e introduzca un nombre para el servidor de Syslog (hasta 31 caracteres). El nombre distingue mayúsculas de minúsculas y debe ser único. Utilice sólo letras, números, espacios, guiones y guiones bajos.
- Servidor de Syslog: Ingrese la dirección IP del servidor de Syslog.
- Transporte: Seleccione si desea transportar los mensajes de syslog sobre UDP, TCP o SSL.
- Puerto: Introduzca el número de puerto del servidor syslog (el puerto estándar para UDP es 514 el puerto estándar para SSL es 6514; para el TCP debe especificar un número de puerto).
- Formato: Especificar el formato de registro del sistema a utilizar: BSD (por defecto) o IETF.
- Instalación: Seleccione uno de los valores estándar de Syslog. Seleccione el valor que se asigna para cómo el servidor Syslog utiliza el campo de la instalación para administrar mensajes. Para obtener más información sobre el campo de instalación, consulte RFC 3164 (formato BSD) o RFC 5424 (formato IETF).
Ahora se creará su perfil de servidor syslog, como se muestra en el ejemplo siguiente:
Para facilitar la integración con sistemas de análisis de registros externos, el firewall le permite personalizar el formato de registro; también le permite agregar pares de atributos Key: Value personalizados. Los formatos personalizados se pueden configurar en
Perfiles de servidor de > de dispositivo > Perfil de servidor de Syslog > Syslog > Formato de registro personalizado:
Para alcanzar el formato de registro compatible con ArcSight Common Event Format (CEF), consulte las guías de configuración de CEF.
Paso 2. Crear un perfil de reenvío de registros
Ir a objetos > Reenvío de registros. Haga clic en Agregar.
- Nombre: introduzca un nombre de perfil (hasta 31 caracteres). Este nombre aparece en la lista de registro de perfiles de reenvío al definir las políticas de seguridad. El nombre distingue mayúsculas y minúsculas y debe ser único. Utilice sólo letras, números, espacios, guiones y guiones bajos.
- Syslog: Seleccione el perfil de servidor syslog para especificar destinos adicionales donde se envían las entradas de registro de tráfico.
- Haga clic en 'OK' para confirmar su configuración.
Su perfil de envío de registro se crea ahora, como se muestra en el ejemplo siguiente:
Paso 3. Utilice el perfil de reenvío de registros en la directiva de seguridad
Ir a directivas > Seguridad
Seleccione la regla para la que debe aplicarse el reenvío de registros (Cualquier permitido) en el siguiente ejemplo:
Siguiente, vaya a la pestaña Acciones, seleccione Perfil de reenvío de registros en la lista desplegable y haga clic en Aceptar cuando esté satisfecho con su configuración:
Después de hacer clic en Aceptar, notará el icono de reenvío en la columna 'Opciones' de su regla de seguridad:
Paso 4. No olvide hacer los cambios cuando haya terminado.