提示和技巧: 将通信日志转发到一个日志服务器

提示和技巧: 将通信日志转发到一个日志服务器

339164
Created On 09/25/18 18:56 PM - Last Modified 02/18/21 18:02 PM


Symptom


需要将流量日志从 Palo Alto 网络防火墙转发到系统日志服务器。 出于报告、法律或实际存储原因,您可能需要将这些日志从防火墙放到 syslog 服务器上。
  • 创建一个 syslog 服务器配置文件。
  • 创建日志转发配置文件。
  • 在安全策略中使用日志转发配置文件。
  • 提交 更改。

Environment


  • 泛 OS
  • 系统日志

Resolution


步骤 1. 创建一个日志服务器配置文件

  1. 转到设备 > 服务器配置文件 > 系统日志
syslog_server_profile. png

 

  1. 名称 : 输入系统日志配置文件的名称(最多 31 个字符)。 名称为 case-sensitive, 必须是唯一的。 仅使用字母、数字、空格、连字符和下划线。
  2. 名称 :单击"添加"并输入系统日志服务器的名称(最多 31个字符)。 名称是大小写敏感的,必须 是唯一的。 只使用字母、数字、空格、连字符和下划线。
  • 系统日志服务器:输入系统日志服务器的 IP 地址。
  • 传输: 选择是否通过 UDP、TCP 或 SSL 传输日志消息。
  • 端口: 输入日志服务器的端口号 (用于 UDP 的标准端口是 514; 用于 SSL 的标准端口是 6514; 对于 TCP, 您必须指定一个端口号)。
  • 格式: 指定要使用的日志格式: BSD (默认) 或 IETF。
  • 设备: 选择一个日志标准值。 选择映射到您的日志服务器如何使用 "设施" 字段来管理邮件的值。 有关设施点字段的详细信息,请参阅RFC 3164(BSD 格式)或 RFC 5424(IETF 格式)。

syslog_server_profile_2. png

现在将创建 syslog 服务器配置文件,如下例所示:为了便于与外部日志解析系统的集成syslog_server_profile_3. png

,防火墙允许您自定义日志格式;它还允许您添加自定义 键:Value 属性对。  自定义格式可以在设备服务器配置文件

下>系统日志>系统>配置文件>自定义日志格式custom_log_format. png

要实现 ArcSight 通用事件格式 (CEF) 兼容日志格式,请参阅CEF 配置指南

第 2 步。 创建日志转发配置文件
转到>的对象。 单击"添加"。

log_forwarding_profile. png

  1. 名称:输入配置文件名称(最多 31 个字符)。 定义安全策略时, 此名称出现在日志转发配置文件列表中。 名称为 case-sensitive, 必须是唯一的。 只使用字母、数字、空格、连字符和下划线。
  2. 日志: 选择日志服务器配置文件以指定发送通信日志项的其他目标。
  3. 单击 "确定" 以确认您的配置。

log_forwarding_profile_2. png

您的日志转发配置文件现已创建, 如下面的示例所示:

log_forwarding_profile_3. png

第 3 步。 使用安全策略中的日志转发配置文件 转到策略 > 安全 选择需要应用日志转发的规则(任何允许),请在以下示例中

security_policy. png
security_policy_2. png

接下来,转到"操作"选项卡,从下拉列表中选择"日志转发配置文件",并在对配置满意时单击"确定":

security_policy_rule. png


单击"确定"后,您会注意到安全规则"选项"列中的转发图标:步骤
security_rule_options. png

4。 完成后不要忘记提交更改。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRxCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language