添加Forcepoint设备至EventLog Analyzer

要让EventLog Analyzer从Forcepoint设备收集日志，必须在Forcepoint NGFW安全管理中心启用日志转发。

1. 从安全管理控制台进入
   配置 > 网络元素 > 服务器 > 日志服务器。
2. 右键点击日志服务器，然后选择属性。将打开日志服务器 - 属性弹出窗口。
3. 点击添加。必须在以下字段中填写以下信息。
4. 输入 EventLog Analyzer 服务器的主机名或 IP 地址。
5. 如果是TCP，输入端口号 513。如果是UDP，输入端口号 514。
6. 在日志格式中选择 CEF 格式。
7. 选择日志转发标签，然后点击确定。

转发 Forcepoint 审计日志。

1. 从安全管理控制台进入
   配置 > 网络元素 > 服务器 > 日志服务器。
2. 右键点击日志服务器，然后选择属性。将打开日志服务器 - 属性弹出窗口。
3. 点击添加。必须在以下字段中填写以下信息。
4. 输入 EventLog Analyzer 服务器的主机名或 IP 地址。
5. 如果是TCP，输入端口号 513。如果是UDP，输入端口号 514。
6. 在日志格式中选择 CEF 格式。
7. 选择审计转发，然后点击确定。