配置Sidewinder

防火墙分析仪支持Sidewinder G2

配置Sidewinder向防火墙分析仪发送审核数据

1. 打开文件 /etc/sidewinder/auditd.conf
2. 在文件末尾添加以下内容，配置Syslog使用Sidewinder Export Format (SEF):
   syslog (local0 filters[“NULL”] sef)
   

   可以使用 ‘local0’ 到 ‘local7’ 作为设施的名称，它们已在syslogd中预定义。

3. 保存配置并退出编辑器。
4. 打开文件 /etc/syslog.conf
5. 在文件末尾添加 local0.* @<server_name>，这里的设施 local0 要与上述步骤中的设施保持一致， <server_name> 是正在运行的防火墙分析仪的IP地址或主机名称。
6. 保存配置并退出编辑器。
7. 使用以下命令，查找syslog的进程ID:
   pss syslog
8. 使用以下命令，重启syslogd和auditd的进程:
   kill -HUP <syslog 进程 ID>
cf server restart auditd

这样，Sidewinder G2就会想防火墙分析仪发送审核数据。