WildFire使用日志转发配置文件为日 Firewall 志选择性日志转发
14170
Created On 08/22/20 15:49 PM - Last Modified 03/26/21 18:34 PM
Objective
当 firewall 一个被配置为发送电子邮件通知 WildFire 提交,有时这些电子邮件可能是压倒性的管理员。 在这种情况下, IT 管理员可能希望在继续接收其他日志的同时抑制某些电子邮件警报。 例如, IT 管理员可能更喜欢接收 WildFire 除 WildFire 电子邮件链接警报以外的所有警报。
此示例可用于任何类型的选择性日志转发,例如,您只需要威胁日志即可进行掉落操作,并且需要转发到所有其他日志 panorama 。
Environment
- 所有 PAN-OS
- WildFire 许可证
Procedure
在本文中,我们使用了 WildFire 日志和电子邮件链接示例,但是,对于任何日志选择,都可以使用相同的方法。
1.创建日志转发配置文件。
2.转到对象->登录->创建新配置文件,并填写名称,如"部分电子邮件转发"
3.现在单击名称中左下角的">"按钮。 在下面的图片中,名称是"电子邮件链接",选择"日志类型"为 wildfire "",并在过滤器上选择"过滤器生成器"
3. 跳过为此筛选器选择任何"前进方法"。
4.现在根据您的要求添加日志转发的其他配置文件。
5.如果您尚未创建电子邮件配置文件,请创建一个。 更多信息可 在此处找到。
6. 选择所需类型的日志,并添加电子邮件日志转发配置文件。
7.允许 WildFire 除电子邮件链接以外的所有其他日志创建具有上一个负条件的新配置文件。 例如,选择过滤器>((应用程序 SMTP eq)和(文件类型 eq 电子邮件链接),并在电子邮件配置文件上选择转发方法。