在企业网络中,SASE Orchestrator 支持将来自于企业 SD-WAN EdgeSASE Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 syslog 收集器(服务器)中(采用本机 syslog 格式)。在 Edge 级别,您可以选中启用 Edge 覆盖 (Enable Edge Override) 复选框以覆盖配置文件中指定的 syslog 设置。

要在 Edge 级别覆盖 syslog 设置,请执行以下步骤。

前提条件

  • 确保为 SD-WAN Edge 配置了云 VPN(分支到分支 VPN 设置)(SASE Orchestrator 范围的事件来自于该 Edge),以确定 SD-WAN Edge 和 syslog 收集器之间的路径。有关更多信息,请参阅为配置文件配置云 VPN

过程

  1. 在企业门户的 SD-WAN 服务中,转到配置 (Configure) > Edge (Edges)Edge (Edges) 页面将显示现有的 Edge。
  2. 单击指向要覆盖的 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。
    将在 设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 分段 (Segment) 下拉菜单中,选择一个配置文件分段以配置 syslog 设置。默认情况下,将选择全局分段 (Global Segment)
  4. 向下滚动到遥测 (Telemetry) 类别,转到 Syslog 区域,然后选中覆盖 (Override) 复选框。
  5. 源接口 (Source Interface) 下拉菜单中,选择分段中配置的一个 Edge 接口以作为源接口。
    注:

    在 Edge 传输流量时,数据包标头将具有选定源接口的 IP 地址,而数据包可以根据目标路由通过任何接口进行发送。

  6. 按照为配置文件配置 syslog 设置中的步骤 4,覆盖与 Edge 关联的配置文件中指定的其他 syslog 设置。
  7. 单击 + 添加 (+ ADD) 按钮以添加另一个 syslog 收集器,否则,单击保存更改 (Save Changes)。将覆盖 Edge 的 syslog 设置。
    注: 您最多可以为每个分段配置两个 syslog 收集器,并为每个 Edge 最多配置 10 个 syslog 收集器。在配置的收集器数达到允许的最大限制时,将停用 + 按钮。
    注: 根据选定的角色,Edge 将指定严重性级别的相应日志导出到远程 syslog 收集器。如果您希望在 syslog 收集器中接收 SASE Orchestrator 自动生成的本地事件,则必须在 SASE Orchestrator 级别使用 log.syslog.backendlog.syslog.upload 系统属性配置 syslog。
    要了解防火墙日志的 syslog 消息格式,请参阅 防火墙日志的 syslog 消息格式

下一步做什么

如果要将来自于企业 SD-WAN Edge 的防火墙日志转发到配置的 syslog 收集器,请在 Edge 配置的 防火墙 (Firewall) 页面上启用 Syslog 转发 (Syslog Forwarding) 按钮。
注: 默认情况下,在配置文件或 Edge 配置的 防火墙 (Firewall) 页面上提供了 Syslog 转发 (Syslog Forwarding) 按钮并将其停用。

有关 Edge 级别的防火墙设置的更多信息,请参阅配置 Edge 防火墙