将Syslog从F5设备转发到EventLog Analyzer

1. 转发系统日志:
   • 登录到配置实用程序。
   • 点击系统 > 日志 > 配置 > 远程日志。
   • 输入远程IP。在本例中，远程IP将是EventLog Analyzer服务器的IP地址。
   • 输入远程端口号。EventLog Analyzer 的默认远程端口是 514。
   • 点击添加。
   • 点击更新。
2. 转发事件日志(例如: 防火墙日志、应用安全日志)
   • 创建管理端口目标
     1. 登录到配置实用程序。
     2. 点击系统 > 日志 > 配置 > 日志目标。
     3. 点击创建。
     4. 输入日志目标的名称。
     5. 指定日志类型，请点击管理端口。
     6. 输入 EventLog Analyzer 服务器的 IP 地址。
     7. 输入EventLog Analyzer服务器的监听端口。默认监听端口为 514。
     8. 对于协议，选择 UDP 协议。
     9. 点击完成。
   • 创建格式化的远程系统日志目标。
     1. 点击系统 > 日志 > 配置 > 日志目标。
     2. 点击创建。
     3. 输入日志目标的名称。
     4. 指定日志类型，选择远程syslog。
     5. 在syslog设置中，设置syslog格式为syslog，并选择转发到管理端口作为 syslog 目标。
     6. 点击完成。
   • 创建日志发布器以转发日志。
     1. 点击系统 > 日志 > 配置 > 日志发布器。
     2. 点击创建。
     3. 输入日志发布器配置的名称。
     4. 在可用列表中，点击先前配置的远程 syslog 目标名称并将其移至选定列表。
     5. 点击完成。
   • 为虚拟服务器创建日志记录配置文件。
     1. 点击安全 > 事件日志 > 日志记录配置文件。
     2. 点击创建。
     3. 输入日志配置文件的名称。
     4. 然后通过点击复选框启用网络防火墙或应用安全或两者都。
        • 对于网络防火墙事件记录，请按照以下步骤操作
          1. 在网络防火墙配置下，输入发布器。输入先前配置的 Syslog 发布器。
          2. 在日志规则匹配下，点击接受、丢弃和拒绝。(注意: 如果您不想要任何日志，可以禁用它)。
          3. 其他选项保持默认。（注意：存储格式应该是无）
        • 对于应用程序安全事件日志记录，请按照以下步骤操作
          1. 在应用程序安全配置下，选择存储目标作为远程存储。
          2. 将日志记录格式选择为Key-Value Pairs (Splunk)。
          3. 选择协议为UDP或TCP。
          4. 输入 Eventlog Analyzer 服务器 IP 地址和端口 (513/514)，然后点击添加。
     5. 然后点击创建。
   • 将日志记录配置文件应用于相应的虚拟服务器
     1. 现在点击本地流量 > 虚拟服务器。
     2. 选择要应用日志配置文件的虚拟服务器。
     3. 在顶部，点击安全选项卡，然后点击策略。
     4. 进入网络防火墙。
     5. 设置Enforcement: Enabled，然后选择您的网络防火墙策略。
     6. 在日志配置文件下，启用日志配置文件并选择之前配置的日志配置文件。
     7. 然后点击更新。