我的防火墙还能做什么？转发日志文件和报告-

在某些情况下, 将日志发送到安全信息和事件管理 (暹粒) 软件产品、日志相关产品、全景集中式管理或仅在某个事件发生时接收电子邮件可能会很有用。

在帕洛阿尔托网络防火墙上, 可以为所有类型的事件启用日志转发, 包括安全规则命中或系统事件。当规则被命中或发生事件时, 可以发送 SNMP 陷阱或电子邮件, 并且报告也可以转发到指定的电子邮件地址。

要开始, 首先需要创建一个适当的服务器配置文件: SNMP 服务器、日志服务器或电子邮件配置文件都需要创建。

在 Sylog 服务器配置文件中, 可以更改日志格式和功能, 以适应日志服务器配置。

在电子邮件服务器配置文件中, 显示名称可以设置为友好格式, 以显示在收到的电子邮件中。

支持提示: 在大多数情况下, 我们建议将 "从" 电子邮件地址设置为组织内的域, 因为 SMTP 服务器可能配置为不中继来自不同域的邮件.

创建了适当的服务器配置文件后, 可以将它们设置为启动转发的几个点。

系统日志

对于系统事件, 如系统日志中所示, 可以根据严重性分配服务器。例如, 这将允许将所有非信息性日志转发到日志服务器, 以了解历史信息、将 SNMP 陷阱发送到警报服务器的高严重性事件以及发送电子邮件并将日志发送到全景图的关键事件。只需单击严重性, 就会出现配置窗口, 您可以在其中设置要执行的操作。

安全日志

任何安全规则都可以为其分配单独的日志转发配置文件。在大多数情况下, 这意味着大多数 (如果不是全部) 安全日志都被转发到全景图或系统日志。关键威胁可以生成 SNMP 陷阱, 或通过电子邮件通知安全小组。

首先, 创建一个或多个配置文件以满足您的需要:

临提示: 威胁严重性信息将包含 URL 筛选日志, 如果您想导出这些。

接下来, 通过在 "操作" 选项卡中添加日志转发配置文件, 将配置文件附加到安全规则。"安全策略" 视图中将显示一个新图标, 指示已为此策略启用了日志转发。

报告

最后, 还可以每天或每周发送报告, 这样管理员就可以在不需要登录到防火墙的情况下获得方便的事务状态。

首先, 创建一个报表组, 将预定义或自定义报表合并到单个输出组中。所有可用的报告都可以从左窗格中选择, 并移到右窗格中的组中。

创建组后, 为报表创建和后续电子邮件发送到所需的管理员配置电子邮件计划程序。

报告可用后 (某些自定义报表可能需要一些时间来填充每周概览 (如果它们刚刚创建), 它们将出现在电子邮件发送的 PDF 中。

如果您喜欢这篇文章, 请查看整个系列在开始: 系列和感觉自由评论下面!

问候，

汤姆