Přesměrování syslogu
Výstupní funkce umožňuje zprávy přijaté serverem Logmanager přeposílat na jiný server. Zpráva prochází celým systémem Logmanager, kde jsou k ní přidána metadata a aplikovány parsery. Nakonec je transformována do jednoho z vybraných výstupních formátů (viz níže) a odeslána pomocí protokolu TCP.
Syslog outputs
Tabulka poskytuje následující informace:
- Description: Uživatelem definovaný název nebo popis cíle výstupu.
- Host: IP adresa nebo FQDN.
- Port: Síťový port.
- Format: Vybraná verze formátu zprávy.
- Is Enabled: Indikuje, zda je výstup aktuálně aktivní.
Pole filtrů jsou umístěna nad tabulkou. Data můžete filtrovat podle kteréhokoli sloupce. Při použití filtrů ve více sloupcích je aplikována logika AND.
Výstupy Syslog můžete přidávat, upravovat nebo mazat.
Pokud vzdálená strana neodpovídá nebo není schopna přijímat zprávy, budou zprávy ztraceny.
Chcete-li ověřit, zda jsou protokoly správně odesílány na externí server, klikněte na tlačítko Connection Diagnostics na konci řádku. To vás přesměruje do sekce Discovery (OpenSearch), která je předfiltrována tak, aby zobrazovala události související s tímto konkrétním syslog výstupem.
- Kliknutím na tlačítko Create new v pravém horním rohu otevřete konfigurační formulář.
- Zadejte následující údaje:
- Is enabled: Pomocí přepínače aktivujte nebo deaktivujte výstup.
- Description: Zadejte unikátní popis tohoto spojení.
- Syslog output format: Vyberte jednu z 6 dostupných verzí formátu zprávy.
- Host: Zadejte cílovou IP adresu nebo FQDN (povinné).
- Port: Zadejte cílový port (povinné).
Adding a syslog output
Pro zajištění odesílání na vzdálený server musíte vytvořit alert. Více informací naleznete v části Rules.
Chcete-li upravit syslog výstup, klikněte na tlačítko Edit na konci řádku. Formulář je identický s formulářem pro vytvoření nového výstupu.
Editing a syslog output
Chcete-li syslog výstup odstranit, klikněte na tlačítko Delete na konci řádku. Akci potvrďte v dialogovém okně pro smazání.
Syslog outputs delete popup
Logmanager poskytuje 6 specifických verzí formátu zpráv pro syslog přeposílání. Každá verze mění způsob konstrukce hlavičky a obsahu před odesláním přes TCP.
-
Current version
- Používá se pro dědičné účely.
-
Forward original message
- Format:
<PRIVAL_from_original_message>'msg.meta.timestamp - formated as MMM D HH:mm:ss' LM.'msg.meta.parser'.'msg.meta.src.ip@ip.ptr' forwarder: 'msg.raw' - Příklad:
<123>Mar 3 12:30:53 LM.fortigate.fg.office.ad forwarder: <123> program data data data
- Format:
-
Forward Logmanager JSON message with source IP address information
- Format:
<PRIVAL_from_original_message>'msg.meta.timestamp - formated as MMM D HH:mm:ss' LM.'msg.meta.parser'.'msg.meta.src.ip@ip.ptr' forwarder: 'msg' - Příklad:
<123>Mar 3 12:30:53 LM.fortigate.fg.office.ad forwarder: {"meta":{"src_ip":"8.8.8.8"}}
- Format:
-
Forward Logmanager JSON message with parser information
- Format:
<PRIVAL_from_original_message>'msg.meta.timestamp - formated as MMM D HH:mm:ss' LM.'msg.meta.parser' forwarder: 'msg' - Příklad:
<123>Mar 3 12:30:53 Logmanager.fortigate forwarder: {"meta":{"src_ip":"8.8.8.8"}}
- Format:
-
Forward unchanged/original raw field
- Format:
'raw' - Příklad:
<123>Mar 3 12:30:53 hostname: message
- Format:
-
Forward original raw field with source ip information and original syslog headers
- Format:
<PRIVAL_from_original_message>'msg.meta.timestamp - formated as MMM D HH:mm:ss' 'meta.src.ip' forwarder: 'raw' - Příklad:
<123>Mar 3 12:30:53 "meta.src.ip" forwarder: "raw"
- Format: