将Syslog从F5设备转发到EventLog Analyzer
- 转发系统日志:
- 登录到配置实用程序。
- 点击系统 > 日志 > 配置 > 远程日志。
- 输入远程IP。在本例中,远程IP将是EventLog Analyzer服务器的IP地址。
- 输入远程端口号。EventLog Analyzer 的默认远程端口是 514。
- 点击添加。
- 点击更新。
- 转发事件日志(例如: 防火墙日志、应用安全日志)
- 创建管理端口目标
- 登录到配置实用程序。
- 点击系统 > 日志 > 配置 > 日志目标。
- 点击创建。
- 输入日志目标的名称。
- 指定日志类型,请点击管理端口。
- 输入 EventLog Analyzer 服务器的 IP 地址。
- 输入EventLog Analyzer服务器的监听端口。默认监听端口为 514。
- 对于协议,选择 UDP 协议。
- 点击完成。
- 创建格式化的远程系统日志目标。
- 点击系统 > 日志 > 配置 > 日志目标。
- 点击创建。
- 输入日志目标的名称。
- 指定日志类型,选择远程syslog。
- 在syslog设置中,设置syslog格式为syslog,并选择转发到管理端口作为 syslog 目标。
- 点击完成。
- 创建日志发布器以转发日志。
- 点击系统 > 日志 > 配置 > 日志发布器。
- 点击创建。
- 输入日志发布器配置的名称。
- 在可用列表中,点击先前配置的远程 syslog 目标名称并将其移至选定列表。
- 点击完成。
- 为虚拟服务器创建日志记录配置文件。
- 点击安全 > 事件日志 > 日志记录配置文件。
- 点击创建。
- 输入日志配置文件的名称。
- 然后通过点击复选框启用网络防火墙或应用安全或两者都。
- 对于网络防火墙事件记录,请按照以下步骤操作
- 在网络防火墙配置下,输入发布器。输入先前配置的 Syslog 发布器。
- 在日志规则匹配下,点击接受、丢弃和拒绝。(注意: 如果您不想要任何日志,可以禁用它)。
- 其他选项保持默认。(注意:存储格式应该是无)
- 对于应用程序安全事件日志记录,请按照以下步骤操作
- 在应用程序安全配置下,选择存储目标作为远程存储。
- 将日志记录格式选择为Key-Value Pairs (Splunk)。
- 选择协议为UDP或TCP。
- 输入 Eventlog Analyzer 服务器 IP 地址和端口 (513/514),然后点击添加。
- 然后点击创建。
- 将日志记录配置文件应用于相应的虚拟服务器
- 现在点击本地流量 > 虚拟服务器。
- 选择要应用日志配置文件的虚拟服务器。
- 在顶部,点击安全选项卡,然后点击策略。
- 进入网络防火墙。
- 设置Enforcement: Enabled,然后选择您的网络防火墙策略。
- 在日志配置文件下,启用日志配置文件并选择之前配置的日志配置文件。
- 然后点击更新。
|