Vous pouvez configurer le transfert Syslog pour envoyer les logs du système d'exploitation de vos hôtes Security Analytics à un serveur syslog distant. Pour cela, vous pouvez utiliser la tâche Définir le transfert Syslog de la liste des tâches de l'hôte pour activer ou désactiver le transfert syslog.
Définir et lancer un transfert syslog
- Dans le menu Security Analytics, sélectionnez Administration > Services.
-
Dans la grille Services, sélectionnez un service et
> Vue> Système.
La vue Système du service s'affiche.
- Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
-
Dans la liste de tâches des hôtes, sélectionnez Définir le transfert Syslog.
Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
-
Dans le champ Arguments, procédez de l'une des façons suivantes :
-
Pour activer le transfert syslog, utilisez l'un des formats suivants :
- host=<loghost>.<localdomain> (par exemple, host=syslogserver.local).
- host=<loghost>.<localdomain>:<port> (par exemple, host=syslogserver.local:514).
- host=<IP> <(par exemple,> host=10.31.244.244).
- host=<IP>:<port> (par exemple, host=10.31.244.244:514).
Le tableau suivant répertorie les paramètres utilisés pour activer le transfert syslog et en fournit une description.
Paramètre Description : hôte log
Nom d'hôte du serveur syslog distant.
domaine local Domaine du serveur syslog distant. port
Adresse IP du serveur syslog distant.
IP Numéro de port sur lequel le serveur syslog reçoit les messages syslog.
- Pour désactiver le transfert syslog, saisissez host=disable.
-
-
Cliquez sur Run.
Le résultat s'affiche dans la zone Sortie.
Une fois le transfert syslog activé ou désactivé, le fichier /etc/rsyslog.conf est automatiquement mis à jour de façon à activer ou désactiver un tel transfert vers la destination syslog distante, puis le service syslog est redémarré.
Si vous activez le transfert syslog, les logs du service configuré sont transmis au serveur syslog défini et le transfert se poursuit jusqu'à ce qu'il soit désactivé.
Remarque : Vous pouvez ensuite vous connecter au serveur syslog distant et vérifier si les messages reçus proviennent bien
des services Security Analytics configurés pour le transfert syslog.