In diesem Thema erfahren Sie, wie Sie Syslog-Ereignisquellen für den Log Collector konfigurieren.
Sie konfigurieren die Syslog-Sammlung nicht für Local Log Collectors. Sie müssen die Syslog-Sammlung nur für Remote Collectors konfigurieren.
Konfigurieren einer Syslog-Ereignisquelle
Syslog-Listener für UDP auf Port 514, TCP auf Port 514 und SSL auf Port 6514 werden standardmäßig erstellt. Sie sollten die SSL-Einstellungen auf den TCP- und SSL-Listenern nicht ändern. Wenn Sie SSL-Zertifikatüberprüfung benötigen, erstellen Sie einen neuen Ereignisquelltyp, um einen anderen Port zu überwachen. Beachten Sie, dass Iptables konfiguriert werden muss, um diesen Port zu öffnen.
So konfigurieren Sie den Remote Log Collector für die Syslog-Sammlung:
- Navigieren Sie zu ADMIN > Services.
- Wählen Sie im Raster „Services“ einen Remote Log Collector und im Menü „Aktionen“ die Optionen
> Ansicht > Konfigurieren aus.
- Wählen Sie die Registerkarte Ereignisquellen aus.
-
Wählen Sie im Drop-down-Menü die Option Syslog/Konfigurieren aus.
Im Bereich Ereigniskategorien werden die konfigurierten Syslog-Ereignisquellen angezeigt, sofern vorhanden.
Hinweis: Für RSA NetWitness Suite sind einige Syslog-Ereignisquellen standardmäßig verfügbar. In diesem Fall können Sie mit Schritt 6 fortfahren.
-
Klicken Sie in der Symbolleiste des Bereichs „Ereigniskategorien“ auf
.
Das Dialogfeld „Verfügbare Ereignisquelltypen“ wird angezeigt.
- Wählen Sie entweder syslog-tcp oder syslog-udp aus. Sie können je nach den Anforderungen Ihres Unternehmens eine oder beide Ereignisquellentypen festlegen.
-
Wählen Sie den neuen Typ im Bereich „Ereigniskategorien“ aus und klicken Sie in der Symbolleiste „Quellen“ auf
.
Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.
-
Geben Sie Portnummer ein und wählen Sie Aktiviert aus. Konfigurieren Sie optional erweiterte Parameter nach Bedarf.
Klicken Sie auf OK, um die Änderungen zu übernehmen und das Dialogfeld zu schließen.
Wenn Sie einen oder beide Syslog-Typen konfiguriert haben, erfasst der Log Decoder oder der Remote Log Collector diese Meldungstypen aus allen verfügbaren Ereignisquellen. Daher können Sie weiterhin Syslog-Ereignisquellen zu Ihrem System hinzufügen, ohne dass Sie weitere Konfigurationen in RSA NetWitness Suite durchführen müssen.
Syslog-Parameter
In der folgenden Tabelle werden die verfügbaren grundlegenden und erweiterten Parameter für die Syslog-Konfiguration beschrieben.