V podnikové síti aplikace SD-WAN Orchestrator podporuje shromažďování vázaných událostí a protokolů brány firewall SD-WAN Orchestrator pocházejících z podnikových SD-WAN Edges na jeden nebo více centralizovaných vzdálených kolektorů syslog (serverů) v nativním formátu syslog. Pokud má kolektor syslogů z nakonfigurovaných Edge v podnikové síti na úrovni profilu obdržet události a protokoly brány firewall směrované do aplikace SD-WAN Orchestrator, je nutné za použití následujících kroků nakonfigurovat podrobnosti kolektoru syslogů pro každý segment v rámci SD-WAN Orchestrator.

Požadavky

  • Ujistěte se, že je pro SD-WAN Edge (ze které vázané události SD-WAN Orchestrator pocházejí) nakonfigurována cloudová virtuální privátní síť (nastavení větve do VPN větve) pro vytvoření cesty mezi SD-WAN Edge a kolektory syslog. Další informace naleznete v tématu Konfigurace cloudové VPN pro profily.

Procedura

  1. V aplikaci SD-WAN Orchestrator přejděte na nabídku Konfigurovat (Configure) > Profily (Profiles).
    Zobrazí se stránka Konfigurace profilů (Configuration Profiles).
  2. Zvolte profil, pro který chcete nastavení syslogu upravit, a klikněte na ikonu pod sloupcem Zařízení (Device).
    Otevře se stránka s nastavením zařízení pro vybraný profil.
  3. Z rozevírací nabídky Konfigurovat segment (Configure Segment) vyberte segment profilu pro konfiguraci nastavení syslog. Ve výchozím nastavení je vybrána možnost Globální segment [Řádný] (Global Segment [Regular]) .
  4. Přejděte do oblasti Nastavení syslogu (Syslog Settings) a upravte následující podrobnosti.
    1. Z rozevírací nabídky Kód zařízení (Facility Code) vyberte standardní hodnotu syslog, která mapuje, jak váš server syslog používá pole zařízení ke správě zpráv pro všechny události z SD-WAN Edges. Povolené hodnoty jsou local0local7.
      Poznámka: Pole Kód přístroje (Facility Code) lze nakonfigurovat pouze pro Globální segment (Global Segment) bez ohledu na to, zda je nastavení syslogu pro daný profil povoleno či nikoli. Ostatní segmenty dědí hodnotu kódu přístroje z globálního segmentu.
    2. Zaškrtněte pole Syslog povolen (Syslog Enabled).
    3. Do textového pole IP adresa (IP) zadejte IP adresu cíle pro kolektor syslogu.
    4. Z rozevírací nabídky Protokol (Protocol) vyberte protokol syslogu TCP nebo UDP.
    5. Do textového pole Port zadejte číslo portu kolektoru syslogu. Výchozí hodnota je 514.
    6. Vzhledem k tomu, že rozhraní Edge nejsou na úrovni profilu k dispozici, pole Zdrojové rozhraní (Source Interface) je nastaveno na hodnotu Automatické (Auto). Edge automaticky zvolí rozhraní s polem „Vysílat (Advertise)“ nastaveným jako rozhraní zdroje.
    7. Z rozevírací nabídky Role (Roles) vyberte jednu z následujících možností:
      • UDÁLOST EDGE (EDGE EVENT)
      • UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT)
      • UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT)
    8. Z rozevírací nabídky Úroveň syslogu (Syslog Level) vyberte úroveň závažnosti syslogu, kterou chcete nakonfigurovat. Pokud například zvolíte možnost KRITICKÉ (CRITICAL), SD-WAN Edge odešle všechny události, které jsou nastaveny jako „kritické“, „výstraha“ nebo „nouzové“.
      Poznámka: Ve výchozím nastavení jsou protokoly událostí brány firewall předávány s úrovní závažnosti syslogu INFO.

      Povolené úrovně závažnosti syslogu jsou tyto:

      • NOUZOVÉ (EMERGENCY)
      • VÝSTRAHA (ALERT)
      • KRITICKÉ (CRITICAL)
      • CHYBA (ERROR)
      • UPOZORNĚNÍ (WARNING)
      • OZNÁMENÍ (NOTICE)
      • INFO
      • LADĚNÍ (DEBUG)
    9. Do textového pole Tag vložte tag syslogu. Tag syslogu lze použít k rozlišení různých typů událostí v kolektoru syslogu. Maximální povolená délka je 32 znaků s výrazy oddělenými tečkou.
    10. Při konfiguraci kolektoru syslog s rolí UDÁLOST BRÁNY FIREWALL (FIREWALL EVENT) nebo UDÁLOST EDGE A BRÁNY FIREWALL (EDGE AND FIREWALL EVENT) zaškrtněte pole Všechny segmenty (All Segments), pokud má kolektor syslog přijímat protokoly brány firewall ze všech segmentů. Pokud pole není zaškrtnuté, bude kolektor syslog přijímat protokoly brány firewall pouze z toho konkrétního segmentu, ve kterém je kolektor nakonfigurován.
      Poznámka: Pokud je rolí UDÁLOST EDGE (EDGE EVENT), kolektor syslog nakonfigurovaný v jakémkoli segmentu bude přijímat protokoly události Edge ve výchozím nastavení.
  5. Kliknutím na tlačítko + (plus) přidejte další kolektor syslogu nebo klikněte na tlačítko Uložit změny (Save Changes). Vzdálený kolektor syslogu se konfiguruje v rámci SD-WAN Orchestrator.
    Poznámka: Nakonfigurovat můžete maximálně dva kolektory syslogu pro každý segment a 10 kolektorů syslogu pro každé Edge. Když počet nakonfigurovaných kolektorů dosáhne maximálního povoleného limitu, tlačítko + (plus) bude deaktivováno.
    Poznámka: Na základě vybrané role začne Edge exportovat odpovídající protokoly se zvolenou úrovni závažnosti do vzdáleného kolektoru syslogu. Chcete-li, aby automaticky generované místní události nástroje SD-WAN Orchestrator byly přijímány kolektorem syslog, musíte nakonfigurovat protokol syslog na úrovni SD-WAN Orchestrator pomocí systémových vlastností log.syslog.backendlog.syslog.upload.
    Chcete-li porozumět formátu zprávy Syslog pro protokoly brány firewall, prostudujte si téma Formát zprávy Syslog pro protokoly brány firewall.

Jak pokračovat dále

SD-WAN Orchestrator umožňuje povolení funkce předávání syslogu na úrovni profilu a Edge. Na stránce Brána firewall (Firewall) konfigurace profilu aktivujte tlačítko Předávání syslog (Syslog Forwarding), chcete-li předávat protokoly brány firewall pocházející z SD-WAN Edges podniku do nakonfigurovaných kolektorů syslog.
Poznámka: Ve výchozím nastavení je tlačítko Předávání syslog (Syslog Forwarding) na stránce Brána firewall (Firewall) v rámci konfigurace profilu nebo Edge dostupné a je deaktivováno.

Další informace o nastavení brány firewall na úrovni profilu naleznete v části Konfigurace brány firewall pro profily.