在PaloAlto设备上配置Syslog服务

要在Palo Alto设备中配置Syslog服务，请执行以下步骤:

1. 使用管理员登录到Palo Alto设备。
2. 点击设备 > 服务器配置文件 > Syslog以配置系统日志服务器配置文件。
3. 配置“流量”、“威胁”和“WildFire订阅”日志Syslog转发。首先，选择对象 >日志转发，点击添加，创建日志转发配置文件。
4. 将日志转发配置文件添加到安全规则中。
5. 配置“System”、“Config”、“HIP match”和“Correlation”日志的Syslog转发。
6. 点击提交使更改生效。

版本 7.1及以上:

1. 使用管理员登录到Palo Alto设备。
2. 为EventLog Analyzer服务器配置Syslog服务器配置文件
   • 选择设备 > 服务器配置文件 > Syslog。
   • 点击添加，提供配置文件的名称。
   • 如果防火墙中存在多个虚拟系统(vsys)，请选择该配置文件所在的位置(vsys或Shared)。
   • 对于EventLog Analyzer服务器，点击添加，并输入请求的信息。
   • 点击确定。
3. 配置“流量”、“威胁”和“WildFire订阅”日志Syslog转发。
   • 创建日志转发配置文件。
     • 选择对象 > 日志转发，点击添加，输入用于标识配置文件的名称。
     • 对于每个日志类型和每个严重性级别或WildFire判定，选择EventLog Analyzer的Syslog服务器配置文件，然后点击确定。
   • 将日志转发配置文件分配给安全规则。
4. >配置“System”、“Config”、“HIP match”和“Correlation”日志的Syslog转发。
   • 选择设置 > 日志设置。
   • 对于系统日志和关联日志，请点击每个严重级别，选择EventLog Analyzer的系统日志服务器配置文件，然后点击确定。
   • 对于配置、HIP匹配和关联日志，编辑部分，选择EventLog Analyzer的系统日志服务器配置文件，然后点击确定。
5. 点击提交使更改生效。

源:  https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-admin/monitoring/configure-syslog-monitoring

注意: 建议在syslog配置文件中使用BSD格式。

完成配置步骤后，来自Palo Alto设备的日志将自动转发到EventLog Analyzer服务器。