在企业网络中,SD-WAN Orchestrator 支持将来自于企业 SD-WAN EdgeSD-WAN Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 syslog 收集器(服务器)中(采用本机 syslog 格式)。要使 syslog 收集器接收来自企业中配置的 Edge 的 SD-WAN Orchestrator 范围事件和防火墙日志,请执行该过程中的步骤,以便在配置文件级别在 SD-WAN Orchestrator 中配置每个分段的 syslog 收集器详细信息。

前提条件

  • 确保为 SD-WAN Edge 配置了云虚拟专用网络(分支到分支 VPN 设置)(SD-WAN Orchestrator 范围的事件来自于该 Edge),以确定 SD-WAN Edge 和 syslog 收集器之间的路径。有关更多信息,请参阅为配置文件配置云 VPN

过程

  1. SD-WAN Orchestrator 中,转到配置 (Configure) > 配置文件 (Profiles)
    将显示 配置文件 (Configuration Profiles) 页面。
  2. 选择一个要配置 syslog 设置的配置文件,然后单击设备 (Device) 列下面的图标。
    将显示选定配置文件的“设备设置”(Device Settings) 页面。
  3. 配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置 syslog 设置。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
  4. 转到 Syslog 设置 (Syslog Settings) 区域,然后配置以下详细信息。
    1. 设备代码 (Facility Code) 下拉菜单中,选择一个 syslog 标准值,以映射到 syslog 服务器如何使用设施字段管理来自 SD-WAN Edge 的所有事件的消息。允许的值是 local0local7
      注: 只能为 全局分段 (Global Segment) 配置 设备代码 (Facility Code) 字段,而无论是否为配置文件启用了 syslog 设置。其他分段将从全局分段中继承设备代码值。
    2. 选中已启用 syslog (syslog Enabled) 复选框。
    3. IP 文本框中,输入 syslog 收集器的目标 IP 地址。
    4. 协议 (Protocol) 下拉菜单中,选择 TCPUDP 以作为 syslog 协议。
    5. 端口 (Port) 文本框中,输入 syslog 收集器的端口号。默认值为 514。
    6. 由于 Edge 接口在配置文件级别不可用,因此,源接口 (Source Interface) 字段设置为自动 (Auto)。Edge 自动选择一个接口,并将“通告”(Advertise) 字段设置为源接口。
    7. 角色 (Roles) 下拉菜单中,选择以下选项之一:
      • Edge 事件 (EDGE EVENT)
      • 防火墙事件 (FIREWALL EVENT)
      • Edge 和防火墙事件 (EDGE AND FIREWALL EVENT)
    8. syslog 级别 (syslog Level) 下拉菜单中,选择需要配置的 syslog 严重性级别。例如,如果配置了严重 (CRITICAL)SD-WAN Edge 将发送设置为严重、警示或紧急的所有事件。
      注: 默认情况下,将转发 syslog 严重性级别为 信息 (INFO) 的防火墙事件日志。

      允许的 syslog 严重性级别包括:

      • 紧急 (EMERGENCY)
      • 警示 (ALERT)
      • 严重 (CRITICAL)
      • 错误 (ERROR)
      • 警告 (WARNING)
      • 通知 (NOTICE)
      • 信息 (INFO)
      • 调试 (DEBUG)
    9. (可选)在标记 (Tag) 文本框中,为 syslog 输入一个标记。syslog 标记可用于区分 syslog 收集器中的各种类型的事件。允许的最大字符长度为 32,以句点分隔。
    10. 在使用防火墙事件 (FIREWALL EVENT)Edge 和防火墙事件 (EDGE AND FIREWALL EVENT) 角色配置 syslog 收集器时,如果希望 syslog 收集器从所有分段接收防火墙日志,请选中所有分段 (All Segments) 复选框。如果未选中该复选框,则 syslog 收集器将仅从配置了收集器的特定分段接收防火墙日志。
      注: 如果角色是 Edge 事件 (EDGE EVENT),默认情况下,任何分段中配置的 syslog 收集器都会接收 Edge 事件日志。
  5. 单击 + 按钮以添加另一个 syslog 收集器,否则,单击保存更改 (Save Changes)。将在 SD-WAN Orchestrator 中配置远程 syslog 收集器。
    注: 您最多可以为每个分段配置两个 syslog 收集器,并为每个 Edge 最多配置 10 个 syslog 收集器。在配置的收集器数达到允许的最大限制时,将停用 + 按钮。
    注: 根据选定的角色,Edge 将指定严重性级别的相应日志导出到远程 syslog 收集器。如果您希望在 syslog 收集器中接收 SD-WAN Orchestrator 自动生成的本地事件,则必须在 SD-WAN Orchestrator 级别使用 log.syslog.backendlog.syslog.upload 系统属性配置 syslog。
    要了解防火墙日志的 syslog 消息格式,请参阅 防火墙日志的 Syslog 消息格式

下一步做什么

SD-WAN Orchestrator 允许您在配置文件和 Edge 级别启用 syslog 转发功能。如果要将来自于企业 SD-WAN Edge 的防火墙日志转发到配置的 syslog 收集器,请在配置文件配置的 防火墙 (Firewall) 页面上启用 Syslog 转发 (Syslog Forwarding) 按钮。
注: 默认情况下,在配置文件或 Edge 配置的 防火墙 (Firewall) 页面上提供了 Syslog 转发 (Syslog Forwarding) 按钮并将其停用。

有关配置文件级别的防火墙设置的更多信息,请参阅为配置文件配置防火墙

安全 syslog 转发支持

5.0 版本支持安全 syslog 转发功能。确保 syslog 转发安全性是联合认证所必需的,也是满足大型企业的 Edge 强化要求所必需的。安全 syslog 转发过程从拥有支持 TLS 的 syslog 服务器开始。目前,SD-WAN Orchestrator 允许将日志转发到支持 TLS 的 syslog 服务器。5.0 版本允许 SD-WAN Orchestrator 控制 syslog 转发并执行默认安全检查,例如,分层 PKI 验证、CRL 验证,等等。此外,它还允许自定义转发安全性,方法是定义支持的密码套件,不允许自签名证书,等等。

安全 syslog 转发的另一个方面是,如何收集或集成吊销信息。SD-WAN Orchestrator 现在允许操作员输入吊销信息,可以手动或通过外部过程获取这些信息。SD-WAN Orchestrator 将获取该 CRL 信息,并在建立所有连接之前使用该信息验证转发安全性。此外,SD-WAN Orchestrator 还会定期获取该 CRL 信息,并在验证连接时使用该信息。

系统属性

安全 syslog 转发从配置 SD-WAN Orchestrator syslog 转发参数开始,以允许它连接到 syslog 服务器。为此,SD-WAN Orchestrator 接受 JSON 格式的字符串以完成以下配置参数,这是在“系统属性”(System Properties) 中配置的。

可以配置以下系统属性,如以下列表和下图中所示:
  • dendrochronological:后端服务 syslog 集成配置
  • log.syslog.portal:门户服务 syslog 集成配置
  • log.syslog.upload:上载服务 syslog 集成配置

在配置系统属性时,可以使用以下安全 syslog 配置 JSON 字符串。

  • config <Object>
    • enable: <true> <false> 启用或禁用 syslog 转发。请注意,即使启用了安全转发,该参数也会控制整个 syslog 转发。
    • options <Object>
      • host: <string> 运行 syslog 的主机,默认为 localhost。
      • port: <number> 运行 syslog 的主机上的端口,默认为 syslogd 的默认端口。
      • protocol: <string> tcp4、udp4、tls4。注意:tls4 使用默认设置启用安全 syslog 转发。要对其进行配置,请参见以下 secureOptions 对象
      • pid: <number> 日志消息来自的进程的 PID(默认值:process.pid)。
      • localhost: <string> 表示日志消息来自的主机(默认值:localhost)。
      • app_name: <string> 应用程序的名称(node-portal、node-backend 等)(默认值:process.title)。
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean>(可选)在验证时跳过 SAN 检查,即,如果服务器认证没有自签名证书的 SAN,则可以使用该字符串。默认值:false
      • fetchCRLEnabled: <boolean> 如果不是 false,则 SD-WAN Orchestrator 获取嵌入到提供的 CA 中的 CRL 信息。默认值:true
      • rejectUnauthorized: <boolean> 如果不为 false,则 SD-WAN Orchestrator 针对提供的 CA 列表应用分层 PKI 验证。默认值:true。(主要在测试时需要使用该字符串。请不要在生产中使用该字符串。)
      • caCertificate: <string> SD-WAN Orchestrator 可以接受包含 PEM 格式的证书的字符串,以选择性覆盖受信任的 CA 证书(可以包含多个采用 openssl 友好连接形式的 CRL)。默认设置是信任由 Mozilla 管理的已知 CA。该选项可用于允许接受由实体管理的本地 CA。例如,对于拥有自己的 CA 和 PKI 的内部部署客户。
      • crlPem:<string> SD-WAN Orchestrator 可以接受包含 PEM 格式的 CRL 的字符串(可以包含多个采用 openssl 友好连接形式的 CRL)。该选项可用于允许接受本地保存的 CRL。如果 fetchCRLEnabled 设置为 true,则 SD-WAN Orchestrator 将该信息与获取的 CRL 合并在一起。主要在证书中没有 CRL 分发点信息的特定场景中需要使用该字符串。
      • crlDistributionPoints: <Array> SD-WAN Orchestrator 可以选择接受“http”协议中的数组 CRL 分发点 URI。SD-WAN Orchestrator 不接受任何"https"URI
      • crlPollIntervalMinutes: <number> 如果 fetchCRLEnabled 未设置为 false,则 SD-WAN Orchestrator 每 12 小时轮询一次 CRL。不过,该参数可以选择性覆盖该默认行为,并根据提供的数字更新 CRL。

配置安全 syslog 转发示例

SD-WAN Orchestrator 使用以下系统属性选项,以通过描述的参数启用安全 syslog 转发。
注: 应根据信任链结构修改以下示例。

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

要配置 syslog 转发,请参阅以下 JSON 对象以作为示例(下图)。

如果配置成功,SD-WAN Orchestrator 将生成以下日志并开始转发。

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

处于 FIPS 模式的安全 syslog 转发

在为安全 syslog 转发启用 FIPS 模式时,如果 syslog 服务器未提供以下密码套件,则会拒绝连接:“TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256”。此外,如果 syslog 服务器证书没有设置“ServerAuth”属性的扩展密钥用法字段,则会拒绝连接,这与 FIPS 模式无关。

经常获取 CRL 信息

如果 fetchCRLEnabled 未设置为 false,则 SD-WAN Orchestrator 每 12 小时通过后端作业机制定期更新 CRL 信息。获取的 CRL 信息存储在标题为 log.syslog.lastFetchedCRL.{serverName} 的相应系统属性中。每次尝试连接到 syslog 服务器时,都会检查该 CRL 信息。如果在提取期间出现错误,则 SD-WAN Orchestrator 生成一个操作员事件。

如果 fetchCRLEnabled 设置为 true,则在 CRL 状态后面具有三个额外的系统属性(log.syslog.lastFetchedCRL.backend、log.syslog.lastFetchedCRL.portal、log.syslog.lastFetchedCRL.upload),如下图中所示。此信息将显示 CRL 和 CRL 信息的上次更新时间。

日志记录

如果“fetchCRLEnabled”选项设置为 true,则 SD-WAN Orchestrator 尝试获取 CRL。如果出现错误,则 SD-WAN Orchestrator 引发一个事件,如下图中所示。