Détails
Pour relayer les journaux de l’URL, il est nécessaire de transmettre les journaux menace de sévérité « d’information » sur le serveur Syslog. Faisant transmettra les autres journaux d’information menace (filtrage de données) en plus de journaux d’URL.
Reportez-vous au document suivant pour plus d'informations sur la configuration de l'acheminement des journaux d'URL vers syslog: Comment transférer les journaux de menaces vers le serveur Syslog
Par défaut, lorsque les journaux de menace est transmises au serveur Syslog, les journaux auront tous plusieurs domaines y compris l’adresse IP source, IP de destination et bien d’autres dont l’URL.
Pour créer un format personnalisé syslog afin d’inclure les URL dans les journaux, qui incluent le champ « $misc », comme indiqué ci-dessous pour obtenir les URL dans le syslogs.
Dans l’exemple ci-dessus, $category == catégorie insolite de l’URL, $misc == URL, $src == IP Source sont sélectionnés et le syslog ressemble à ceci :
Filtrage des URL et filtrage de données utilisent la gravité « Informatif » pour menaces.
Configurer les paramètres de transfert ici. Ce paramètre permet la transmission non seulement syslog, mais aussi des housses forwarding pour Panorama, Trap SNMP ou par courriel.
L’exemple suivant configure le transfert des alertes courriel :
propriétaire : sdurga