Agregar dispositivos Syslog
- Configuración del servicio Syslog en dispositivos UNIX
- Configuración del servicio Syslog en dispositivos Mac OS
- Configuración del servicio Syslog en un dispositivo HP-UX / Solaris / AIX
- Configuración del servicio Syslog en VMware
- Configuración del servicio Syslog en switches Arista
- Configuración del servicio Syslog en los switches Cisco
- Configuración del servicio Syslog en switches HP
- Configuración del servicio Syslog en dispositivos Cisco
- Configuración del servicio Syslog en dispositivos Cisco Firepower
- Configuración del servicio Syslog en dispositivos SonicWall
- Configuración del servicio Syslog en dispositivos Juniper
- Configuración del servicio Syslog en dispositivos PaloAlto
- Configuración del servicio Syslog en dispositivos Fortinet
- Configuración del servicio Syslog en dispositivos Check Point
- Configuración del servicio Syslog en dispositivos NetScreen
- Configuración del servicio Syslog en dispositivos WatchGuard
- Configuración del servicio Syslog en dispositivos Sophos
- Configuración del servicio Syslog en dispositivos Barracuda
- Configuración del servicio Syslog en Barracuda Web Application Firewall
- Configuración del servicio Syslog en Barracuda Email Security Gateway
- Configuración del servicio Syslog en dispositivos Huawei Firewall
- Configuración del servicio Syslog en dispositivos Meraki
- Configuración del servicio Syslog en dispositivos pfSense
- Configuración del servicio Syslog en dispositivos H3C
- Pasos de configuración para el reenvío de Syslog desde dispositivos F5 hacia el Agente de Nube de Log360
Configuración del servicio Syslog en dispositivos UNIX
Nota: Tome nota de los números de puerto predeterminados que se utilizan para los diferentes protocolos.
Número de puerto predeterminado |
protocolo utilizado |
513 y 514 |
UDP |
514 |
TCP |
- Inicie sesión como usuario root y edite el archivo syslog.conf/rsyslog.conf/syslog-ng.conf en el directorio /etc.
- Puede verificar el registrador en el dispositivo ejecutando el comando 'sp -aux | grep syslog' en la Terminal o Shell.
- Para la recopilación de logs basada en UDP, agregue::
*.*<space/tab>@<agent_server_name>:<port_no> al final, donde es el nombre del equipo en el que se está ejecutando el Agente de Nube de Log360. Guarde la configuración y salga del editor.
- Para la recopilación de logs basada en TCP, agregue:
*.*<space/tab>@@<agent_server_name>:<port_no> al final, donde es el nombre del equipo en el que se está ejecutando el Agente de Nube de Log360. Guarde la configuración y salga del editor.
- Para la recopilación de logs basada en UDP, agregue:
*.*<space/tab>@<agent_server_name>:<port_no> al final, donde es el nombre del equipo en el que se está ejecutando el Agente de Nube de Log360. Guarde la configuración y salga del editor.
- Para la recopilación de logs basada en TCP, agregue:
*.*<space/tab>@@<agent_server_name>:<port_no> al final, donde es el nombre del equipo en el que se está ejecutando el Agente de Nube de Log360. Guarde la configuración y salga del editor.
Nota: Asegúrese de que se pueda acceder al servidor del Agente de Nube de Log360 proporcionado desde el dispositivo Syslog.
Reenvío de logs de auditoría al servidor del Agente de Nube de Log360
Las siguientes configuraciones se deben realizar en los dispositivos Linux con rsyslog.conf (or) syslog.conf:
- En la sección MÓDULOS, verifique si está incluido "$ModLoad imfile". (Este módulo "imfile" convierte cualquier archivo de texto de entrada en un mensaje de syslog, que luego se puede reenviar al servidor del Agente de Nube de Log360).
- Las siguientes directivas contienen los detalles del archivo de log externo:
- $InputFileName <Monitored_File_Absolute_Path>
- $InputFileStateFile <State_Filename>
- $InputFileSeverity <Severity >
- $InputFileFacility <Facility >
- $InputRunFileMonitor
- Para reenviar los logs debe proporcionar esta línea: <Facility>.<Severity> @Host-Ip:Port
Por ejemplo:
$InputFileName /var/log/sample.log
$InputFileStateFile sample
$InputFileSeverity info
$InputFileFacility local6
local6.info @log360cloud-Server:514
Aquí /var/log/sample.log es el archivo externo que se va a reenviar.
Nota:
- Estas instrucciones se pueden aplicar a todos los dispositivos Linux.
- Por favor, use un único para distintos .
- Al reenviar los logs de auditoría, a veces las políticas predeterminadas en los sistemas Red Hat con mejoras de seguridad (SElinux) no permitirán leer los logs de auditoría. En ese caso, los logs de auditoría se pueden reenviar agregando "active=yes" en etc/audisp/plugins.d/syslog.conf:
Configuración del servicio Syslog en dispositivos Mac OS
- Inicie sesión como usuario root y edite el archivo syslog.conf en el directorio/etc.
- Agregue *.*<tab>@<server_IP> al final, donde <server_IP> es la dirección IP del equipo en el que se está ejecutando el Agente de Nube de Log360.
Nota: Asegúrese de que se pueda acceder a la dirección IP del servidor del Agente de Nube de Log360 desde el dispositivo MAC OS.
- Guarde el archivo y salga del editor.
- Ejecute los siguientes comandos para reiniciar el dispositivo syslog:
$ sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
$ sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist
Configuración del servicio Syslog en un dispositivo HP-UX / Solaris / AIX
- Inicie sesión como usuario root.
- Edite el archivo syslog.conf en el directorio / etc como se muestra a continuación. *.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug@
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug<tab-separation>@<agent_server_name>
donde <agent_server_name> es el nombre del equipo en el que se está ejecutando el Agente de Nube de Log360. Asegúrese de que solo haya una separación de tabulación entre *.debug y @<agent_server_name>.
Nota : Para un dispositivo Solaris, es suficiente incluir *.debug@ en el archivo syslog.conf.
- Guarde la configuración y salga del editor.
- Edite el archivo de servicios en el directorio /etc.
- Cambie el número de puerto del servicio syslog a 514, que es uno de los puertos de escucha predeterminados del Agente de Nube de Log360. Si elige un puerto distinto al 514, recuerde ingresar ese mismo puerto al agregar el dispositivo en el Agente de Nube de Log360.
- Inicie el daemon syslog en el sistema operativo usando el comando apropiado:
(para HP-UX) /sbin/init.d/syslogd start
(para Solaris) /etc/init.d/syslog start
(para Solaris 10 svcadm -v restart svc:/system/system-log:default
(para IBM AIX) startsrc -s syslogd
Configuración del servicio Syslog en VMware
Todos los dispositivos ESX y ESXi ejecutan un servicio syslog (syslogd), que registra mensajes del VMkernel y otros componentes del sistema en un archivo.
Para configurar el servicio syslog en un dispositivo ESX:
No puede usar el cliente de vSphere ni vicfg-syslog para configurar el comportamiento de syslog para un dispositivo ESX. Para configurar syslog para un dispositivo ESX, debe editar el archivo /etc/syslog.conf.
Para configurar el servicio syslog en un dispositivo ESXi:
- En dispositivos ESXi, puede usar el cliente vSphere o el comando vSphere CLI vicfg-syslog para configurar las siguientes opciones:
Ruta del archivo de log: Especifica una ruta del almacén de datos para el archivo donde syslogd registra todos los mensajes.
Host remoto: Especifica un dispositivo remoto al que se reenvían los mensajes de syslog. Para recibir los mensajes de syslog reenviados, su host remoto debe tener instalado un servicio de syslog.
Puerto remoto: Especifica el puerto que el host remoto utiliza para recibir mensajes de syslog.
- Configuración con el comando vSphere CLI: Para obtener más información sobre vicfg-syslog, consulte la Guía de referencia e instalación de la interfaz de línea de comandos de vSphere.
- En el inventario del cliente de vSphere, haga clic en el host.
- In the vSphere Client inventory, click on the host.
- Haga clic en la pestaña Configuración.
- Haga clic en Ajustes avanzados en Software.
- Seleccione Syslog en el control de árbol.
- En el cuadro de texto Syslog.Local.DatastorePath, ingrese la ruta del almacén de datos para el archivo donde el syslog registrará los mensajes. Si no se especifica ninguna ruta, la ruta predeterminada es /var/log/messages.
El formato de ruta del almacén de datos es [] donde la ruta depende de la raíz del volumen que respalda el almacén de datos.
Ejemplo: La ruta del almacén de datos [storage1] var/log/messages se asigna a la ruta / vmfs/volumes/storage1/var/log/messages.
- En el cuadro de texto Syslog.Remote.Devicename, ingrese el nombre del host remoto donde se enviarán los datos de syslog. Si no se especifica ningún valor, no se reenvían datos.
- En el cuadro de texto Syslog.Remote.Port, ingrese el puerto en el host remoto donde se enviarán los datos de syslog. De manera predeterminada, Syslog.Remote.Port tiene configurado el puerto 514, que es el puerto UDP predeterminado que utiliza syslog. Los cambios en Syslog.Remote.Port solo surten efecto si Syslog.Remote.Devicename está configurado.
- Haga clic en Aceptar.
Configuración del servicio Syslog en switches Arista
- Inicie sesión en el switch Arista
- Vaya al modo configuración.
- Configure el switch como se muestra a continuación para enviar los logs al servidor del Agente de Nube de Log360
- Arista# config terminal
- Arista(config)# logging host < agent_server_Ip > < port_number > protocol [tcp/udp]
- Arista(config)# logging trap information
- Arista(config)# copy running-config startup-config
Para configurar logs ejecutados por comandos:
- Arista (config)# aaa accounting commands all console start-stop logging
- Arista (config)# aaa accounting commands all default start-stop logging
- Arista (config)# aaa accounting exec console start-stop logging
- Arista (config)# aaa accounting exec default start-stop logging
- Arista (config)# copy running-config startup-config
Para configurar los logs de inicio de sesión:
- Arista (config)# aaa authentication policy on-success log
- Arista (config)# aaa authentication policy on-failure log
- Arista (config)# copy running-config startup-config
Configuración del servicio Syslog en los switches Cisco
- Inicie sesión en el switch.
- Vaya al modo configuración.
- Configure el switch de la siguiente manera (aquí, hemos usado Catalyst 2900) para enviar los logs al servidor del Agente de Nube de Log360:
<Catalyst2900># config terminal
<Catalyst2900>(config)# logging <agent_server_IP>
Para los últimos switches de catalyst
Catalyst6500(config)# set logging <agent_server_IP>
También podemos configurar la instalación de log y las notificaciones de trap con los siguientes comandos:
Catalyst6500(config)# logging facility local7
Catalyst6500(config)# logging trap notifications
Nota: Los mismos comandos también aplican para los routers Cisco.
Consulte la documentación de Cisco® para ver instrucciones detalladas sobre cómo configurar el servicio Syslog en los respectivos routers o switches. Contacte a log360-support@manageengine.com si el formato syslog de sus dispositivos Cisco es diferente del formato syslog estándar admitido por el Agente de Nube de Log360.
Configuración del servicio Syslog en switches HP
- Inicie sesión en el switch.
- Inicie sesión en el switch.
HpSwitch# configure terminal
HpSwitch(config)# logging severity debug
HpSwitch(config)# logging <Agent_IP_ADDRESS>
Configuración del servicio Syslog en dispositivos Cisco
Para configurar el servicio Syslog en dispositivos Cisco, siga los pasos a continuación:
- Inicie sesión en el firewall.
- Vaya al modo configuración.
- Configure el switch de la siguiente manera (aquí, hemos usado Catalyst 2900) para enviar los logs al servidor del Agente de Nube de Log360:
Cisco-ASA# config terminal
Cisco-ASA (config)# logging host <agent _server_IP> [TCP/UDP]/< Port_Number >
Nota: El puerto UDP predeterminado es 514. El puerto TCP predeterminado es 1470.
Cisco-ASA (config)# logging trap information
Cisco-ASA (config)# logging facility local7
Configuración del servicio Syslog en dispositivos Cisco Firepower
Paso 1: Configuración del servidor Syslog
Para configurar un servidor Syslog para los eventos de tráfico, vaya a Configuración →Configuración de ASA Firepower → Políticas → Alertas de acciones y haga clic en el menú desplegable Crear alerta y seleccione la opción Crear alerta de Syslog. Para interfaces web, vaya a Políticas → Alertas de acciones. Ingrese los valores para el servidor Syslog.
- Nombre: Especifique el nombre que identifica de forma exclusiva el servidor Syslog.
- Host: Especifique la dirección IP / nombre de host del servidor Syslog.
- Puerto: Especifique el número de puerto del servidor Syslog.
- Instalación: Seleccione cualquier instalación que esté configurada en su servidor Syslog.
- Gravedad: Seleccione cualquier gravedad que esté configurada en su servidor Syslog.
- Etiqueta: Especifique el nombre de la etiqueta que desea que aparezca con el mensaje de Syslog.
Paso 2: Habilitar el registro externo para los eventos de conexión
- Los eventos de conexión se generan cuando el tráfico llega a una regla de acceso con el registro habilitado. Para habilitar el registro externo para los eventos de conexión, vaya a Configuración de ASDM → Configuración de ASA Firepower → Políticas → Política de control de acceso.Para interfaces web, vaya a Políticas → Política de control de acceso. Edite la regla de acceso y vaya a la opción de registro.
- Seleccione la opción de registro, ya sea Registrar al inicio y al final de la conexión o Registrar al final de la conexión.Vaya a la opción Enviar eventos de conexión a y especifique dónde enviar los eventos.
- Para enviar eventos a un servidor Syslog externo, seleccione Syslog y luego seleccione una respuesta de alerta de Syslog en la lista desplegable. Opcionalmente, puede agregar una respuesta de alerta de Syslog haciendo clic en el icono "Agregar".
Paso 3: Habilitar el registro externo para eventos de intrusión
- Los eventos de intrusión se generan cuando una firma (reglas de snort) coincide con tráfico malicioso. Para habilitar el registro externo para eventos de intrusión, vaya a Configuración de ASDM → Configuración de ASA Firepower → Políticas → Política de intrusión → Política de intrusión.Para interfaces web, vaya a Políticas → Política de intrusión → Política de intrusión. Cree una nueva política de intrusión o edite una existente. Vaya a Ajustes avanzados → Respuestas externas.
- Para enviar eventos de intrusión a un servidor Syslog externo, seleccione la opción Habilitado en Alertas de Syslog y luego haga clic en la opción Editar.
Host de registro: Especifique la dirección IP / nombre de host del servidor Syslog.
Instalación: Seleccione cualquier instalación que esté configurada en su servidor Syslog.
Gravedad: Seleccione cualquier gravedad que esté configurada en su servidor Syslog.
Configuración del servicio Syslog en dispositivos SonicWall
Para configurar el servicio Syslog en dispositivos SonicWall, siga los pasos a continuación:
- Inicie sesión en el dispositivo SonicWall como administrador.
- Vaya a Registro → Automatización, y desplácese hacia abajo hasta Servidores Syslog.
- Haga clic en el botón Agregar.
Use un navegador web para conectarse a la interfaz de gestión de SonicWall e inicie sesión con su nombre de usuario y contraseña.
- Haga clic en el botón "Log" en el menú de la izquierda. Esto abrirá una ventana con pestañas en la pantalla principal.
- Haga clic en la pestaña Ajustes de log..
- En la opción Envío del log, ingrese la dirección IP del equipo que ejecuta el servidor Kiwi Syslog en el campo Servidor Syslog 1. Si está escuchando en un puerto distinto al 514, ingrese ese valor en el campo Puerto 1 del servidor Syslog.
- En la opciónAutomatización, configure el formato Syslog como Syslog mejorado.
- En la opción Categorías → Log, marque todos los tipos de eventos para los que desea recibir mensajes de Syslog.
- Haga clic en el botón "Actualizar".
Para SonicOS 6.5 y superior:
- Inicie sesión en el dispositivo SonicWall como administrador.
- Haga clic en la pestaña "Gestionar" y expanda "Ajustes de log> SYSLOG"
- Haga clic en "Agregar" en "Servidores Syslog".
- Desde la ventana "Agregar servidor Syslog", ingrese la dirección IP o el nombre de host del servidor del Agente de Nube de Log360.
- Ingrese el número de puerto y configure el "Tipo de servidor" como Syslog.
- Establezca el "Formato de Syslog" como "Syslog mejorado".
- Haga clic en "Aceptar" para configurar.
Es posible que sea necesario reiniciar SonicWall para que la nueva configuración surta efecto.
Configuración del servicio Syslog en dispositivos Juniper
Para configurar el servicio Syslog en dispositivos Juniper, siga los pasos a continuación:
- Inicie sesión en el dispositivo Juniper como administrador.
- Vaya a la pestaña configuración.
- Expanda Herramientas de CLI en el panel izquierdo, haga clic en el editor de CLI en el subárbol y vaya a syslog en sistema.
- Ingrese el nodo de host junto con los valores requeridos, como el nombre de host, la gravedad, la facilidad y el prefijo de log.
- Haga clic en Confirmar tpara guardar los cambios. Para ver los cambios, haga clic en el visor de CLI.
Una vez que haya completado los pasos de configuración, los logs de su dispositivo Juniper se enviarán automáticamente al servidor del Agente de Nube de Log360.
Configuración del servicio Syslog en dispositivos PaloAlto
Para configurar el servicio Syslog en dispositivos Palo Alto, siga los pasos a continuación:
- Inicie sesión en el dispositivo Palo Alto como administrador.
- Vaya a Dispositivo → Perfiles del servidor → Syslog para configurar un perfil de servidor Syslog.
- Configure el reenvío de Syslog para los logs de Tráfico, Amenaza y Envío a WildFire. Primero, vaya a Objetos → Reenvío de log, y haga clic en Agregar para crear un perfil de reenvío de logs.
- Asigne el perfil de reenvío de logs a las reglas de seguridad.
- Configure el reenvío de Syslog para los logs del sistema, configuración, coincidencia HIP y correlación.
- Haga clic en Confirmar para que los cambios surtan efecto.
Fuente: https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/monitoring/configure-syslog-monitoring.html
Para la versión 7.1 y superior:
- Inicie sesión en el dispositivo Palo Alto como administrador.
- Configure un perfil de servidor Syslog para el servidor del Agente de Nube de Log360.
- Seleccione Dispositivo → Perfiles de servidor → Syslog.
- Haga clic en Agregar y proporcione un nombre para el perfil.
- Si el firewall tiene más de un sistema virtual (vsys), seleccione la ubicación (vsys o Shared) donde está disponible el perfil.
- Para el servidor del Agente de Nube de Log360, haga clic en Agregar e ingrese la información solicitada.
- Haga clic en Aceptar.
- Configure el reenvío de Syslog para los logs de Tráfico, Amenaza y Envío a WildFire.
- Cree un perfil de reenvío de log.
- Seleccione Objetos → Reenvío de log, haga clic en Agregar e ingrese un nombre para identificar el perfil.
- Para cada tipo de log y cada nivel de gravedad o veredicto de WildFire, seleccione el perfil del servidor Syslog del Agente de Nube de Log360 y haga clic en Aceptar.
- Asigne el perfil de reenvío de logs a las reglas de seguridad.
- Configure el reenvío de Syslog para los logs del sistema, configuración, coincidencia HIP y correlación.
- Seleccione Dispositivo → Ajustes de log.
- Para los logs del sistema y de correlación, haga clic en cada nivel de gravedad, seleccione el perfil del servidor de syslog del Agente de Nube de Log360 y haga clic en Aceptar.
- Para los logs de configuración, coincidencia HIP y correlación, edite la sección, seleccione el perfil del servidor de syslog del Agente de Nube de Log360 y haga clic en Aceptar
- Haga clic en Confirmar para guardar los cambios.
Fuente: https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-admin/monitoring/configure-syslog-monitoring
Una vez que haya completado los pasos de configuración, los logs de su dispositivo Palo Alto se enviarán automáticamente al servidor del Agente de Nube de Log360.
Configuración del servicio Syslog en dispositivos Fortinet
Para configurar el servicio Syslog en sus dispositivos Fortinet (FortiManager 5.0.7 y superior), siga los pasos a continuación:
- Inicie sesión en el dispositivo Fortinet como administrador.
- Defina los servidores Syslog a través delas opciones de la GUI Ajustes del sistema → Avanzado → Servidor Syslog o con los comandos de la CLI:
config system syslog
edit <nombre de servidor>
set ip <IP de servidor Syslog IP>
end
- Habilite el envío de logs locales de FortiManager al servidor del Agente de Nube de Log360 a través de la CLI.
config system locallog syslogd setting
set syslog-name < nombre de servidor de syslog remoto, definido en el paso anterior>
set severity (Nivel de gravedad mínimo para log)
set status
set csv Si desea habilitar CSV.
set facility Cuál instalación para el syslog remoto.
set port Puerto en el que escucha el servidor.
end
Una vez que haya completado los pasos de configuración, los logs de su dispositivo Fortinet se enviarán automáticamente al servidor del Agente de Nube de Log360.
Para obtener más información y consultar otras versiones, consulte la fuente: http://kb.fortinet.com/kb/documentLink.do?externalID=FD35387
Configuración del servicio Syslog en dispositivos Check Point
Para configurar el servicio Syslog en dispositivos Check Point, siga los pasos a continuación:
- Inicie sesión en el dispositivo Check Point como administrador.
- Para anular el bloqueo, haga clic en el icono de bloqueo en la esquina superior izquierda de la pantalla.
- Haga clic en Sí o en la ventana emergente de confirmación que aparece.
- Vaya a Gestión del sistema → Registro del sistema..
- En la sección Registro remoto del sistema, haga clic en Agregar.
- En la ventana Agregar entrada de registro de servidor remoto ingrese la dirección IP del servidor remoto (servidor del Agente de Nube de Log360).
- En el menú desplegable de Prioridad,, seleccione el nivel de gravedad de los logs que se enviarán al servidor remoto.
- Haga clic en Aceptar.
Configuración del servicio Syslog en dispositivos NetScreen
Puede configurar el servicio Syslog en sus dispositivos NetScreen de dos maneras:
Habilitar los mensajes de Syslog usando el dispositivo NetScreen:
- Inicie sesión en la GUI de NetScreen.
- Vaya a Configuración → Ajustes de informes → Syslog.
- Marque la casillae Habilitar mensajes de Syslog.
- Seleccione la T Interfaz de confianza como IP de origen y habilite la opción Incluir log de tráfico.
- Ingrese la dirección IP del servidor del Agente de Nube de Log360 y el puerto Syslog (514) en los cuadros correspondientes. Todos los demás campos tendrán valores predeterminados.
- Haga clic en Aplicar para guardar los cambios.
Habilitar los mensajes de Syslog en la consola de CLI:
Ejecute los siguientes comandos:
- Netscreen → set syslog config <ip address> facilitates local0 local0
- Netscreen → set syslog config <ip address> port 514
- Netscreen → set syslog config <ip address> log all
- Netscreen → set syslog enable
Configuración del servicio Syslog en dispositivos WatchGuard
Para configurar el servicio Syslog en sus dispositivos WatchGuard siga los pasos a continuación:
Configuración del servicio Syslog en dispositivos Sophos
Para configurar el servicio Syslog en sus dispositivos Sophos, siga los pasos a continuación:
Habilitar el syslog de Sophos-UTM:
Habilitar el syslog de Sophos-XG:
- Inicie sesión en Sophos-XG como administrador.
- Vaya a Sistema → Servicios del sistema → Ajustes de log → Servidores Syslog → Agregar
- Configure el servidor syslog al completar la siguiente información
Nombre: < Cualquiera >
Servidor: < Dirección IP del servidor del Agente de Nube de Log360 >
Puerto: < 513 >
Instalación: < DAEMON >
Gravedad: < INFORMACIÓN >
Formato: < Formato estándar >
- Haga clic enGuardar
- Vaya a Sistema → Servicios del sistema → Ajustes de log → seleccione los logs que se deben enviar al servidor del Agente de Nube de Log360.
Configuración del servicio Syslog en dispositivos Barracuda
Puede configurar el servicio Syslog en sus dispositivos Bararacuda siguiendo estos cinco pasos:
- Habilitar el servicio Syslog
- Vaya a CONFIGURACIÓN → Configuración completa → Cuadro → Servicios de infraestructura → Transmisión de Syslog.
- Haga clic en Bloquear.
- Habilite el servicio Syslog.
- Haga clic en Enviar cambios y Activar.
- Configurar filtros para el logdata
- Vaya a CONFIGURACIÓN → Configuración completa → Cuadro → Servicios de infraestructura → Transmisión de Syslog.
- Desde el menú seleccione Filtros para el logdata..
- Haga clic en Modo de configuración → Cambiar a vista avanzada → Bloquear
- Haga clic en el ícono "+" para agregar una nueva entrada.
- Ingrese un nombre descriptivo en los Filtros y haga clic en Aceptar.
- En la sección Logdata del cuadro afectado, defina qué tipo de logs del cuadro se verán afectados por el daemon Syslog de la Lista de selección de datos.
- En la sección Logdata del servicio afectado defina qué tipo de logs creados por los servicios se verán afectados por el daemon Syslog de la Lista de selección de datos.
- Haga clic en Enviar cambios y Activar.
- Configurar destinos de Logstream
- Vaya a CONFIGURACIÓN → Configuración completa → Cuadro → Servicios de infraestructura → Transmisión de Syslog.
- En el menú, seleccione Destinos de Logstream..
- Expanda el Modo de configuración → Switch to Advanced View > Lock.
- Click on + icon to add a new entry.
- Enter a descriptive name and click OK.
- In the Destinations window select the Remote Loghost.
- Enter the Log360 Cloud Agent server IP address as destination IP address in the Loghost IP address field.
- Enter the destination port for delivering syslog message as 513, 514.
- Enter the destination protocol as UDP.
- Click OK
- Click on Send Changes and Activate.
- Disable Log Data Tagging
- Configure Logdata Streams
- Navigate to CONFIGURATION → Full Configuration → Box → Infrastructure Services → Syslog Streaming.
- From the menu, select Logdata Streams.
- Expand the Configuration Mode menu and select Switch to Advanced View.
- Click the + icon to add a new entry.
- Enter a descriptive name and click OK.
- Configure Active Stream, Log Destinations and Log Filters settings.
- Click on Send Changes and Activate.
Configuring the Syslog Service on Barracuda Web Application Firewall
The Barracuda web application can be configured by following these steps:
- Navigate to ADVANCED > Export Logs > Add Export Log Server
- In the Add Export Log Server, enter the following details, and click OK
- Name: Enter a name for the Log360 Cloud Agent Server
- IP Address or Hostname: Enter the IP address or the hostname of the Log360 Cloud Agent server
- Port: Enter the port associated with the IP address of the Log360 Cloud Agent server (513,514)
- Log Timestamp and Hostname: Enable to send log with date and time of the event
Configuring the Syslog Service on Barracuda Email Security Gateway
The Barracuda email security gateway application can be configured by following these steps:
- To configure the email Syslog, using the Barracuda Email Security Gateway Web interface, navigate to the ADVANCED → Advanced Networking
- Enter the IP address of the Log360 Cloud Agent server to which syslog data related to mail flow should be sent.
- Specify the protocol TCP or UDP, and also port (513,514) over which syslog data should be transmitted.
Configuring the Syslog Service on Huawei Firewall devices
To configure the Syslog service in your Huawei firewall devices, follow the steps below:
- Login to the Huawei firewall device.
- Navigate to System view → Log monitoring → Firewall log stream
- To export traffic monitoring logs to Log360 Cloud Agent server, enter the following details in the space provided:
- Info-center loghost <Log360 Cloud Agent server IP address> 514 facility <facility>
- Exit the configuration mode.
Configuring the Syslog Service on Meraki devices
To configure the Syslog service in your Meraki devices, follow the steps below:
- Login to the Meraki device as an administrator.
- From the dashboard, navigate to Network-wide → Configure → General.
- Click on the Add a syslog server link. In the given fields enter the Log360 Cloud Agent server IP address and UDP port number.
- Define the roles so that data can be sent to the server.
Note: If the Flows role is enabled on a Meraki security appliance then logging for individual firewall rules can be enabled/disabled. This can be done by navigating to the Security appliance → Configure → Firewall and editing the Logging column.
- Click Save.
Configuring the Syslog Service on pfSense devices
- Login to the pfSense device.
- Navigate to Status → System logs → Settings.
- Enable Remote Logging.
- Specify the IP address and port of the Log360 Cloud Agent server.
- Check all the Remote Syslog Contents.
- Click Save.
Configuring the Syslog Service on H3C devices
- Login to the H3C security device as an administrator.
- Navigate to System view mode.
- Enable the Info cente check box.
- Configure an output rule for the host:
- info-center source {<module-name>|default} {console|monitor|logbuffer|logfile|loghost} {deny|level <severity>}
- Specify a log host and configure the below parameters:
- info-center loghost {<agent_server_IP>} [port <port_number>][facility <local-number>]
- Now you have successfully configured the H3C security device.
Configuration steps for Syslog forwarding from F5 devices to Log360 Cloud Agent
- To forward system logs:
- Login into "Configuration Utility."
- Navigate to System → Logs → Configuration → Remote Logging.
- Enter the remote IP. The remote IP in this case would be Log360 Cloud Agent server's IP address.
- Enter the remote port number. The default remote port for Log360 Cloud Agent is 514.
- Click on "Add".
- Click on "Update".
- To forwarding event logs. (Ex: Firewall Events)
- Create management port destination
- Login to "Configuration Utility".
- Navigate to System → Logs → Configuration → Log Destinations.
- Click on "Create."
- Enter a name for the log destination.
- To specify the log type, click on "management port".
- Enter the IP address of the Log360 Cloud Agent server.
- Enter the listening port of the Log360 Cloud Agent server. The default listening port is 514.
- For protocol, select the UDP protocol.
- Click on "Finish".
- Create a formatted remote syslog destination.
- Now navigate to System → Logs → Configuration → Log Destinations.
- Click on "Create".
- Enter a name for the log destination.
- To specify the log type, select remote syslog.
- Under syslog settings, set the syslog format as "syslog" and select the forward to management Port as the syslog destination.
- Click on "Finish".
- Create a log publisher to forward the logs.
- Navigate to System → Logs → Configuration → Log Publishers.
- Click on "Create".
- Enter a name for the log publisher configuration.
- In the available list, click the previously configured remote syslog destination name and move it to the selected list.
- Click on "Finish".
- Create a logging profile for virtual servers
- Navigate to Security > Event Logs > Logging Profiles.
- Click on "Create".
- Enter a profile name for the logging profile.
- Then enable the network firewall by clicking on the checkbox.
- Under the network firewall settings, enter the publisher. Enter the previously configured Syslog publisher.
- Under log rule matches, click on "Accept, Drop, and Reject." (Note: If you do not want any logs, you can disable it).
- Leave other options in default. (Note: Storage Format should be "none")
- Then click on "Create".
- Apply Logging Profile to corresponding Virtual Server
- Now navigate to Local Traffic → Virtual Servers
- Select your virtual server to which you want to apply logging profile
- On the top, tap on the security tab and click on the policy.
- Go to Network Firewall.
- Set Enforcement: Enabled, and select your network firewall policy.
- Under Log Profile, Enable the log profile and select previously configured logging profile.
- Then click on Update.