主页 » F5设备

将Syslog从F5设备转发到EventLog Analyzer

  1. 转发系统日志:
    • 登录到配置实用程序。
    • 点击系统 > 日志 > 配置 > 远程日志
    • 输入远程IP。在本例中,远程IP将是EventLog Analyzer服务器的IP地址。
    • 输入远程端口号。EventLog Analyzer 的默认远程端口是 514。
    • 点击添加
    • 点击更新
  2. 转发事件日志(例如: 防火墙日志、应用安全日志)
    • 创建管理端口目标
      1. 登录到配置实用程序。
      2. 点击系统 > 日志 > 配置 > 日志目标
      3. 点击创建
      4. 输入日志目标的名称。
      5. 指定日志类型,请点击管理端口
      6. 输入 EventLog Analyzer 服务器的 IP 地址。
      7. 输入EventLog Analyzer服务器的监听端口。默认监听端口为 514。
      8. 对于协议,选择 UDP 协议。
      9. 点击完成
    • 创建格式化的远程系统日志目标。
      1. 点击系统 > 日志 > 配置 > 日志目标
      2. 点击创建
      3. 输入日志目标的名称。
      4. 指定日志类型,选择远程syslog。
      5. 在syslog设置中,设置syslog格式为syslog,并选择转发到管理端口作为 syslog 目标。
      6. 点击完成
    • 创建日志发布器以转发日志。
      1. 点击系统 > 日志 > 配置 > 日志发布器
      2. 点击创建
      3. 输入日志发布器配置的名称。
      4. 可用列表中,点击先前配置的远程 syslog 目标名称并将其移至选定列表。
      5. 点击完成
    • 为虚拟服务器创建日志记录配置文件。
      1. 点击安全 > 事件日志 > 日志记录配置文件
      2. 点击创建
      3. 输入日志配置文件的名称
      4. 然后通过点击复选框启用网络防火墙应用安全两者都
        • 对于网络防火墙事件记录,请按照以下步骤操作
          1. 在网络防火墙配置下,输入发布器。输入先前配置的 Syslog 发布器
          2. 在日志规则匹配下,点击接受、丢弃和拒绝。(注意: 如果您不想要任何日志,可以禁用它)。
          3. 其他选项保持默认。(注意:存储格式应该是无)
        • 对于应用程序安全事件日志记录,请按照以下步骤操作
          1. 在应用程序安全配置下,选择存储目标作为远程存储
          2. 将日志记录格式选择为Key-Value Pairs (Splunk)
          3. 选择协议为UDPTCP
          4. 输入 Eventlog Analyzer 服务器 IP 地址和端口 (513/514),然后点击添加
      5. 然后点击创建
    • 将日志记录配置文件应用于相应的虚拟服务器
      1. 现在点击本地流量 > 虚拟服务器
      2. 选择要应用日志配置文件的虚拟服务器。
      3. 在顶部,点击安全选项卡,然后点击策略。
      4. 进入网络防火墙。
      5. 设置Enforcement: Enabled,然后选择您的网络防火墙策略。
      6. 在日志配置文件下,启用日志配置文件并选择之前配置的日志配置文件。
      7. 然后点击更新
 
Copyright © 2022, ZOHO Corp
ManageEngine