Conseils astuces & : Trafic avant se connecte à un serveur syslog
Symptom
Besoin de transmettre les journaux de trafic à partir du pare-feu Palo Alto Networks vers un serveur syslog. Pour des raisons de reporting, de stockage légales ou pratiques, vous devrez peut-être obtenir ces journaux du pare-feu sur un serveur syslog.
- Créer un profil de serveur syslog.
- Créez un journal de transfert de profil.
- Utilisez le journal expédition Profil dans votre stratégie de sécurité.
- Engagez les modifications.
Environment
- Pan-OS
- Syslog
Resolution
Étape 1. Créer un profil de serveur syslog
- Allez dans appareil > Server profils > Syslog
- Nom : Entrez un nom pour le profil syslog (jusqu’à 31 caractères). Le nom est sensible à la casse et doit être unique. N’utilisez que des lettres, des chiffres, des espaces, des traits d’union et des soulignements.
- Nom : Cliquez sur Ajouter et entrez un nom pour le serveur syslog (jusqu’à 31 caractères). Le nom est sensible aux cas et doit être unique. Utiliser seulement lettres, nombres, espaces, tirets et traits de soulignement.
- Serveur Syslog : entrez l’adresse IP du serveur syslog.
- Transport : Indiquez si vous souhaitez transporter les messages syslog sur UDP, TCP ou SSL.
- Port : Entrez le numéro de port du serveur syslog (le port standard pour UDP est 514 ; le port standard pour SSL est 6514 pour TCP, vous devez spécifier un numéro de port).
- Format : Spécifie le format syslog à utiliser : BSD (par défaut) ou l’IETF.
- Installation : Sélectionnez une des valeurs standards Syslog. Sélectionnez la valeur qui correspond à la façon dont votre serveur Syslog utilise le champ de facilité pour gérer les messages. Pour plus de détails sur le terrain de l’installation, voir RFC 3164 (format BSD) ou RFC 5424 (format IETF).
Votre profil de serveur syslog sera désormais créé, comme le montre l’exemple ci-dessous :
pour faciliter l’intégration avec les systèmes externes d’évaluation des journaux, le pare-feu vous permet de personnaliser le format du journal; il vous permet également d’ajouter des paires d’attributs clés : valeur personnalisées. Les formats personnalisés peuvent être configurés
sous les profils > serveurs de l'> Syslog > le profil du serveur Syslog > format de journal personnalisé:
Pour obtenir le format de journal conforme au format d’événement commun ArcSight (CEF), consultez les Guides de configuration CEF.
Étape 2. Créez un profil de forwarding de
journal Passez aux objets > connectez-vous. Cliquez sur Ajouter.
- Nom : Entrez un nom de profil (jusqu’à 31 caractères). Ce nom apparaît dans la liste des journaux forwarding profils lors de la définition des stratégies de sécurité. Le nom est sensible à la casse et doit être unique. Utiliser seulement lettres, nombres, espaces, tirets et traits de soulignement.
- Syslog : Sélectionnez le profil de serveur syslog pour spécifier des destinations supplémentaires, où les entrées de journal de trafic sont envoyées.
- Cliquez sur « OK » pour confirmer votre configuration.
Votre profil de transfert de journal est maintenant créée, comme illustré dans l’exemple suivant :
Étape 3. Utilisez le profil de réédage dans votre stratégie de sécurité Passez aux stratégies > Sécurité Sélectionnez la règle pour laquelle
l’adage de journal doit être appliqué (N’importe quelle autoriser) dans l’exemple suivant :
Suivant, passez à l’onglet Actions, sélectionnez le profil de forwarding journal à partir du dropdown et cliquez sur OK lorsque vous êtes satisfait de votre configuration :
Après avoir cliqué sur OK, vous remarquerez l’icône de forwarding dans la colonne 'Options' de votre règle de sécurité:
Étape 4. N’oubliez pas de valider vos modifications lorsque vous avez terminé.