提示和技巧: 将通信日志转发到一个日志服务器
383890
Created On 09/25/18 18:56 PM - Last Modified 02/18/21 18:02 PM
Symptom
需要将流量日志从 Palo Alto 网络防火墙转发到系统日志服务器。 出于报告、法律或实际存储原因,您可能需要将这些日志从防火墙放到 syslog 服务器上。- 创建一个 syslog 服务器配置文件。
- 创建日志转发配置文件。
- 在安全策略中使用日志转发配置文件。
- 提交 更改。
Environment
Resolution
步骤 1. 创建一个日志服务器配置文件
- 转到设备 > 服务器配置文件 > 系统日志
- 名称 : 输入系统日志配置文件的名称(最多 31 个字符)。 名称为 case-sensitive, 必须是唯一的。 仅使用字母、数字、空格、连字符和下划线。
- 名称 :单击"添加"并输入系统日志服务器的名称(最多 31个字符)。 名称是大小写敏感的,必须 是唯一的。 只使用字母、数字、空格、连字符和下划线。
- 系统日志服务器:输入系统日志服务器的 IP 地址。
- 传输: 选择是否通过 UDP、TCP 或 SSL 传输日志消息。
- 端口: 输入日志服务器的端口号 (用于 UDP 的标准端口是 514; 用于 SSL 的标准端口是 6514; 对于 TCP, 您必须指定一个端口号)。
- 格式: 指定要使用的日志格式: BSD (默认) 或 IETF。
- 设备: 选择一个日志标准值。 选择映射到您的日志服务器如何使用 "设施" 字段来管理邮件的值。 有关设施点字段的详细信息,请参阅RFC 3164(BSD 格式)或 RFC 5424(IETF 格式)。
现在将创建 syslog 服务器配置文件,如下例所示:为了便于与外部日志解析系统的集成
,防火墙允许您自定义日志格式;它还允许您添加自定义 键:Value 属性对。 自定义格式可以在设备服务器配置文件
下>系统日志>系统>配置文件>自定义日志格式:
要实现 ArcSight 通用事件格式 (CEF) 兼容日志格式,请参阅CEF 配置指南。
第 2 步。 创建日志转发配置文件
转到>的对象。 单击"添加"。
- 名称:输入配置文件名称(最多 31 个字符)。 定义安全策略时, 此名称出现在日志转发配置文件列表中。 名称为 case-sensitive, 必须是唯一的。 只使用字母、数字、空格、连字符和下划线。
- 日志: 选择日志服务器配置文件以指定发送通信日志项的其他目标。
- 单击 "确定" 以确认您的配置。
您的日志转发配置文件现已创建, 如下面的示例所示:
第 3 步。 使用安全策略中的日志转发配置文件 转到策略 > 安全 选择需要应用日志转发的规则(任何允许),请在以下示例中
:
接下来,转到"操作"选项卡,从下拉列表中选择"日志转发配置文件",并在对配置满意时单击"确定":
单击"确定"后,您会注意到安全规则"选项"列中的转发图标:步骤
4。 完成后不要忘记提交更改。