在企业网络中,SD-WAN Orchestrator 支持将来自于企业 SD-WAN EdgeSD-WAN Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 syslog 收集器(服务器)中(采用本机 syslog 格式)。要使 syslog 收集器接收来自企业中配置的 Edge 的 SD-WAN Orchestrator 范围事件和防火墙日志,请执行该过程中的步骤,以便在配置文件级别在 SD-WAN Orchestrator 中配置每个分段的 syslog 收集器详细信息。

前提条件

  • 确保为 SD-WAN Edge 配置了云虚拟专用网络(分支到分支 VPN 设置)(SD-WAN Orchestrator 范围的事件来自于该 Edge),以确定 SD-WAN Edge 和 syslog 收集器之间的路径。有关更多信息,请参阅为配置文件配置云 VPN

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles)
    将显示 配置文件 (Configuration Profiles) 页面。
  2. 选择一个要配置 syslog 设置的配置文件,然后单击设备 (Device) 列下面的图标。
    将显示选定配置文件的“设备设置”(Device Settings) 页面。
  3. 配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置 syslog 设置。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
  4. 转到 Syslog 设置 (Syslog Settings) 区域,然后配置以下详细信息。
    1. 设备代码 (Facility Code) 下拉菜单中,选择一个 syslog 标准值,以映射到 syslog 服务器如何使用设施字段管理来自 SD-WAN Edge 的所有事件的消息。允许的值是 local0local7
      注: 只能为 全局分段 (Global Segment) 配置 设备代码 (Facility Code) 字段,而无论是否为配置文件启用了 syslog 设置。其他分段将从全局分段中继承设备代码值。
    2. 选中已启用 syslog (syslog Enabled) 复选框。
    3. IP 文本框中,输入 syslog 收集器的目标 IP 地址。
    4. 协议 (Protocol) 下拉菜单中,选择 TCPUDP 以作为 syslog 协议。
    5. 端口 (Port) 文本框中,输入 syslog 收集器的端口号。默认值为 514。
    6. 由于 Edge 接口在配置文件级别不可用,因此,源接口 (Source Interface) 字段设置为自动 (Auto)。Edge 自动选择一个接口,并将“通告”(Advertise) 字段设置为源接口。
    7. 角色 (Roles) 下拉菜单中,选择以下选项之一:
      • Edge 事件 (EDGE EVENT)
      • 防火墙事件 (FIREWALL EVENT)
      • Edge 和防火墙事件 (EDGE AND FIREWALL EVENT)
    8. syslog 级别 (syslog Level) 下拉菜单中,选择需要配置的 syslog 严重性级别。例如,如果配置了严重 (CRITICAL)SD-WAN Edge 将发送设置为严重、警示或紧急的所有事件。
      注: 默认情况下,将转发 syslog 严重性级别为 信息 (INFO) 的防火墙事件日志。

      允许的 syslog 严重性级别包括:

      • 紧急 (EMERGENCY)
      • 警示 (ALERT)
      • 严重 (CRITICAL)
      • 错误 (ERROR)
      • 警告 (WARNING)
      • 通知 (NOTICE)
      • 信息 (INFO)
      • 调试 (DEBUG)
    9. (可选)在标记 (Tag) 文本框中,为 syslog 输入一个标记。syslog 标记可用于区分 syslog 收集器中的各种类型的事件。允许的最大字符长度为 32,以句点分隔。
    10. 在使用防火墙事件 (FIREWALL EVENT)Edge 和防火墙事件 (EDGE AND FIREWALL EVENT) 角色配置 syslog 收集器时,如果希望 syslog 收集器从所有分段接收防火墙日志,请选中所有分段 (All Segments) 复选框。如果未选中该复选框,则 syslog 收集器将仅从配置了收集器的特定分段接收防火墙日志。
      注: 如果角色是 Edge 事件 (EDGE EVENT),默认情况下,任何分段中配置的 syslog 收集器都会接收 Edge 事件日志。
  5. 单击 + 按钮以添加另一个 syslog 收集器,否则,单击保存更改 (Save Changes)。将在 SD-WAN Orchestrator 中配置远程 syslog 收集器。
    注: 您最多可以为每个分段配置两个 syslog 收集器,并为每个 Edge 最多配置 10 个 syslog 收集器。在配置的收集器数达到允许的最大限制时,将停用 + 按钮。
    注: 根据选定的角色,Edge 将指定严重性级别的相应日志导出到远程 syslog 收集器。如果您希望在 syslog 收集器中接收 SD-WAN Orchestrator 自动生成的本地事件,则必须在 SD-WAN Orchestrator 级别使用 log.syslog.backendlog.syslog.upload 系统属性配置 syslog。
    要了解防火墙日志的 syslog 消息格式,请参阅 防火墙日志的 syslog 消息格式

下一步做什么

SD-WAN Orchestrator 允许您在配置文件和 Edge 级别启用 syslog 转发功能。如果要将来自于企业 SD-WAN Edge 的防火墙日志转发到配置的 syslog 收集器,请在配置文件配置的 防火墙 (Firewall) 页面上启用 Syslog 转发 (Syslog Forwarding) 按钮。
注: 默认情况下,在配置文件或 Edge 配置的 防火墙 (Firewall) 页面上提供了 Syslog 转发 (Syslog Forwarding) 按钮并将其停用。

有关配置文件级别的防火墙设置的更多信息,请参阅为配置文件配置防火墙