在企业网络中,SASE Orchestrator 支持将来自于企业 SD-WAN EdgeSASE Orchestrator 范围事件和防火墙日志收集到一个或多个集中式远程 syslog 收集器(服务器)中(采用本机 syslog 格式)。要使 syslog 收集器接收来自企业中配置的 Edge 的 SASE Orchestrator 范围事件和防火墙日志,请执行该过程中的步骤,以便在配置文件级别在 SASE Orchestrator 中配置每个分段的 syslog 收集器详细信息。

前提条件

  • 确保为 SD-WAN Edge 配置了云虚拟专用网络(分支到分支 VPN 设置)(SASE Orchestrator 范围的事件来自于该 Edge),以确定 SD-WAN Edge 和 syslog 收集器之间的路径。有关更多信息,请参阅为配置文件配置云 VPN

过程

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > 配置文件 (Profiles)配置文件 (Profiles) 页面将显示现有的配置文件。
  2. 要配置一个配置文件,请单击指向该配置文件的链接,或者单击该配置文件的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示配置选项。
  3. 配置分段 (Configure Segment) 下拉菜单中,选择一个配置文件分段以配置 syslog 设置。默认情况下,将选择全局分段 [常规] (Global Segment [Regular])
  4. 遥测 (Telemetry) 下,转到 Syslog 区域并配置以下详细信息。
    1. 设施 (Facility) 下拉菜单中,选择一个 syslog 标准值,以映射到 syslog 服务器如何使用设施字段管理来自 SD-WAN Edge 的所有事件的消息。允许的值是 local0local7
      注: 无论配置文件的 syslog 设置如何,只能为 全局分段 (Global Segment) 配置 设施 (Facility) 字段。其他分段将从全局分段中继承设备代码值。
    2. 选中启用 Syslog (Enable Syslog) 复选框。
    3. 单击 + 添加 (+ ADD) 按钮,然后配置以下详细信息:
      字段 描述
      IP 输入 syslog 收集器的目标 IP 地址。
      协议 (Protocol) 从下拉菜单中选择 TCPUDP 作为 syslog 协议。
      端口 (Port) 输入 syslog 收集器的端口号。默认值为 514。
      源接口 (Source Interface) 由于 Edge 接口在配置文件级别不可用,因此,源接口 (Source Interface) 字段设置为自动 (Auto)。Edge 自动选择一个接口,并将“通告”(Advertise) 字段设置为源接口。
      角色 (Roles) 选择以下选项之一:
      • Edge 事件 (EDGE EVENT)
      • 防火墙事件 (FIREWALL EVENT)
      • Edge 和防火墙事件 (EDGE AND FIREWALL EVENT)
      Syslog 级别 (Syslog Level) 选择需要配置的 syslog 严重性级别。例如,如果配置了严重 (CRITICAL)SD-WAN Edge 将发送设置为严重、警示或紧急的所有事件。
      注: 默认情况下,将转发 syslog 严重性级别为 信息 (INFO) 的防火墙事件日志。

      允许的 syslog 严重性级别包括:

      • 紧急 (EMERGENCY)
      • 警示 (ALERT)
      • 严重 (CRITICAL)
      • 错误 (ERROR)
      • 警告 (WARNING)
      • 通知 (NOTICE)
      • 信息 (INFO)
      • 调试 (DEBUG)
      标记 (Tag) (可选)输入 syslog 的标记。syslog 标记可用于区分 syslog 收集器中的各种类型的事件。允许的最大字符长度为 32,以句点分隔。
      所有分段 (All Segments) 在使用防火墙事件 (FIREWALL EVENT)Edge 和防火墙事件 (EDGE AND FIREWALL EVENT) 角色配置 syslog 收集器时,如果希望 syslog 收集器从所有分段接收防火墙日志,请选中所有分段 (All Segments) 复选框。如果未选中该复选框,则 syslog 收集器将仅从配置了收集器的特定分段接收防火墙日志。
      注: 如果角色是 Edge 事件 (EDGE EVENT),默认情况下,任何分段中配置的 syslog 收集器都会接收 Edge 事件日志。
  5. 单击 + 添加 (+ ADD) 按钮以添加另一个 syslog 收集器,否则,单击保存更改 (Save Changes)。将在 SASE Orchestrator 中配置远程 syslog 收集器。
    注: 您最多可以为每个分段配置两个 syslog 收集器,并为每个 Edge 最多配置 10 个 syslog 收集器。在配置的收集器数达到允许的最大限制时,将停用 + 按钮。
    注: 根据选定的角色,Edge 将指定严重性级别的相应日志导出到远程 syslog 收集器。如果您希望在 syslog 收集器中接收 SASE Orchestrator 自动生成的本地事件,则必须在 SASE Orchestrator 级别使用 log.syslog.backendlog.syslog.upload 系统属性配置 syslog。
    要了解防火墙日志的 syslog 消息格式,请参阅 防火墙日志的 syslog 消息格式

下一步做什么

SASE Orchestrator 允许您在配置文件和 Edge 级别激活 syslog 转发功能。如果要将来自于企业 SD-WAN Edge 的防火墙日志转发到配置的 syslog 收集器,请在配置文件配置的 防火墙 (Firewall) 页面上激活 Syslog 转发 (Syslog Forwarding) 按钮。
注: 默认情况下,在配置文件或 Edge 配置的 防火墙 (Firewall) 页面上提供了 Syslog 转发 (Syslog Forwarding) 按钮并将其停用。

有关配置文件级别的防火墙设置的更多信息,请参阅设置配置文件防火墙

安全 syslog 转发支持

5.0 版本支持安全 syslog 转发功能。确保 syslog 转发安全性是联合认证所必需的,也是满足大型企业的 Edge 强化要求所必需的。安全 syslog 转发过程从拥有支持 TLS 的 syslog 服务器开始。目前,SASE Orchestrator 允许将日志转发到支持 TLS 的 syslog 服务器。5.0 版本允许 SASE Orchestrator 控制 syslog 转发并执行默认安全检查,例如分层 PKI 验证、CRL 验证等等。此外,它还允许自定义转发安全性,方法是定义支持的密码套件,不允许自签名证书,等等。

安全 syslog 转发的另一个方面是,如何收集或集成吊销信息。SASE Orchestrator 现在允许操作员输入吊销信息,可以手动或通过外部过程获取这些信息。SASE Orchestrator 将获取该 CRL 信息,并在建立所有连接之前使用该信息验证转发安全性。此外,SASE Orchestrator 还会定期获取该 CRL 信息,并在验证连接时使用该信息。

系统属性

安全 syslog 转发从配置 SASE Orchestrator syslog 转发参数开始,以允许它连接到 syslog 服务器。为此,SASE Orchestrator 接受 JSON 格式的字符串以完成以下配置参数,这些参数是在“系统属性”(System Properties) 中配置的。

可以配置以下系统属性,如以下列表和下图中所示:
  • log.syslog.backend:后端服务 syslog 集成配置
  • log.syslog.portal:门户服务 syslog 集成配置
  • log.syslog.upload:上载服务 syslog 集成配置

在配置系统属性时,可以使用以下安全 syslog 配置 JSON 字符串。

  • config <Object>
    • enable: <true> <false> 激活或停用 syslog 转发。请注意,即使激活了安全转发,该参数也会控制整个 syslog 转发。
    • options <Object>
      • host: <string> 运行 syslog 的主机,默认为 localhost。
      • port: <number> 运行 syslog 的主机上的端口,默认为 syslogd 的默认端口。
      • protocol: <string> tcp4、udp4、tls4。注意:tls4 允许使用默认设置进行安全 syslog 转发。要对其进行配置,请参阅以下 secureOptions 对象
      • pid: <number> 日志消息来自的进程的 PID(默认值:process.pid)。
      • localhost: <string> 表示日志消息来自的主机(默认值:localhost)。
      • app_name: <string> 应用程序的名称(node-portal、node-backend 等)(默认值:process.title)。
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean>(可选)在验证时跳过 SAN 检查,即,如果服务器认证没有自签名证书的 SAN,则可以使用该字符串。默认值:false
      • fetchCRLEnabled: <boolean> 如果不为 false,则 SASE Orchestrator 会获取嵌入到提供的 CA 中的 CRL 信息。默认值:true
      • rejectUnauthorized: <boolean> 如果不为 false,则 SASE Orchestrator 会针对提供的 CA 列表应用分层 PKI 验证。默认值:true。(主要在测试时需要使用该字符串。请不要在生产中使用该字符串。)
      • caCertificate: <string> SASE Orchestrator 可以接受包含 PEM 格式证书的字符串,以选择性覆盖受信任的 CA 证书(可以包含多个采用 openssl 友好连接形式的 CRL)。默认设置是信任由 Mozilla 管理的已知 CA。该选项可用于允许接受由实体管理的本地 CA。例如,对于拥有自己的 CA 和 PKI 的内部部署客户。
      • crlPem:<string> SASE Orchestrator 可以接受包含 PEM 格式 CRL 的字符串(可以包含多个采用 openssl 友好连接形式的 CRL)。该选项可用于允许接受本地保存的 CRL。如果 fetchCRLEnabled 设置为 true,则 SASE Orchestrator 会将该信息与获取的 CRL 合并在一起。主要在证书中没有 CRL 分发点信息的特定场景中需要使用该字符串。
      • crlDistributionPoints: <Array> SASE Orchestrator 可以选择接受“http”协议中的数组 CRL 分发点 URI。SASE Orchestrator 不接受任何“https”URI
      • crlPollIntervalMinutes: <number> 如果 fetchCRLEnabled 未设置为 false,则 SASE Orchestrator 会每 12 小时轮询一次 CRL。不过,该参数可以选择性覆盖该默认行为,并根据提供的数字更新 CRL。

配置安全 syslog 转发示例

SASE Orchestrator 使用以下系统属性选项,通过描述的参数来允许安全 syslog 转发。
注: 应根据信任链结构修改以下示例。

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

要配置 syslog 转发,请参阅以下 JSON 对象以作为示例(下图)。

如果配置成功,SASE Orchestrator 将生成以下日志并开始转发。

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

处于 FIPS 模式的安全 syslog 转发

在为安全 syslog 转发激活 FIPS 模式后,如果 syslog 服务器未提供以下密码套件,则会拒绝连接:“TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256”。此外,如果 syslog 服务器证书没有设置“ServerAuth”属性的扩展密钥用法字段,则会拒绝连接,这与 FIPS 模式无关。

经常获取 CRL 信息

如果 fetchCRLEnabled 未设置为 false,则 SASE Orchestrator 会每 12 小时通过后端作业机制定期更新 CRL 信息。获取的 CRL 信息存储在标题为 log.syslog.lastFetchedCRL.{serverName} 的相应系统属性中。每次尝试连接到 syslog 服务器时,都会检查该 CRL 信息。如果在获取期间出现错误,则 SASE Orchestrator 会生成一个操作员事件。

如果 fetchCRLEnabled 设置为 true,则在 CRL 状态后面具有三个额外的系统属性(log.syslog.lastFetchedCRL.backend、log.syslog.lastFetchedCRL.portal、log.syslog.lastFetchedCRL.upload),如下图中所示。此信息将显示 CRL 和 CRL 信息的上次更新时间。

日志记录

如果“fetchCRLEnabled”选项设置为 true,则 SASE Orchestrator 将尝试获取 CRL。如果发生错误,SASE Orchestrator 会生成一个事件,并在“操作员事件”(Operator Events) 页面中显示该事件。