Syslog モニタリングのセットアップ方法 TLS
65623
Created On 01/14/21 17:27 PM - Last Modified 03/02/23 03:09 AM
Objective
この記事では、Syslog モニタリング プロファイルをセットアップする方法について説明します。TLS .
シスログオーバー時TLSが有効になっている場合、firewallクライアントとして機能し、プロセスには信頼されたルートが必要ですCAクライアントとサーバーの証明書に署名します。
Syslog サーバーは証明書を使用して、firewall Syslog サーバーとの通信が許可されています。
Syslog サーバーと送信firewall同じ信頼できる認証局 (CA ) 署名済み。
または、自己署名証明書をfirewallから証明書をエクスポートします。firewall 、Syslog サーバーにインポートします。
Environment
- PAN-OS
- Firewall
- Panorama
- シスログ サーバー
Procedure
クライアント証明書を生成する
- 上でfirewall、クライアント認証に使用する証明書を生成します。 注意してくださいCNこの証明書は、IPのアドレスfirewallの Syslog 接続用のインターフェイス セット。
- 証明書が生成されたら、証明書名をクリックしてプロパティを開きます。
- 証明書の [Certificate for Secure Syslog] オプションをオンにします。 これにより、使用する証明書がマークされますSSLハンドシェーク。
- クリックOK.
Syslog プロファイルを作成する
- [デバイス] > [サーバー プロファイル] > [Syslog] に移動します
- 追加をクリック
- プロファイルの名前を指定してください
- Syslog サーバーの下に、次のように入力します。FQDN /IP Syslog サーバーのアドレス。
- トランスポート フィールドの場合は、SSL . ポート番号は自動的に設定されます (デフォルトのポートは 6514 です)
- 必要に応じてフォーマットと機能を選択します。
- [OK] をクリックします。
Syslog 証明書を生成する
自己署名証明書を使用している場合は、同じルートによって署名されたサーバー証明書を生成しますCAクライアント証明書として、
- [デバイス] > [証明書] に移動します
- [生成] をクリックします。
- 証明書の名前を指定します。
- 共通名には、同じものを指定しますFQDN/IP Syslog プロファイルで使用されるアドレス。
- 必要に応じて他の属性を指定します。
- 生成をクリックします。
- この証明書を秘密鍵とともにエクスポートし、Syslog サーバーにインポートします。
- 変更をコミットします
Additional Information
システム ログを監視して、接続が成功したかどうか、またはエラーがないかどうかを確認します。
注: Syslog サーバーで、Syslog に使用するカスタム証明書を設定します。SSL認証。
詳細については、次を参照してください。 Syslog モニタリングを構成します。