In einem Unternehmensnetzwerk unterstützt SD-WAN Orchestrator die Erfassung von SD-WAN Orchestrator-gebundenen Ereignissen und Firewallprotokollen, die vom Unternehmens-SD-WAN Edges stammen, in einer oder mehreren zentralen Remote-Syslog-Collector-Instanzen (Server) im nativen Syslog-Format. Damit der Syslog-Collector SD-WAN Orchestrator-gebundene Ereignisse und Firewallprotokolle von den konfigurierten Edges in einem Unternehmen empfangen kann, konfigurieren Sie auf der Profilebene die Details des Syslog-Collectors pro Segment auf der SD-WAN Orchestrator-Instanz, indem Sie die Schritte in diesem Verfahren ausführen.

Voraussetzungen

  • Stellen Sie sicher, dass Cloud-Virtual Private Network (Zweigstelle-zu-Zweigstelle-VPN-Einstellungen) für den SD-WAN Edge konfiguriert ist (von dem die SD-WAN Orchestrator-gebundenen Ereignisse stammen), um einen Pfad zwischen dem SD-WAN Edge und den Syslog-Collector-Instanzen einzurichten. Weitere Informationen finden Sie unter Konfigurieren von Cloud-VPN.

Prozedur

  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles).
    Die Seite Konfigurationsprofile (Configuration Profiles) wird angezeigt.
  2. Wählen Sie ein Profil aus, für das Sie die Syslog-Einstellungen konfigurieren möchten, und klicken Sie auf das Symbol unter der Spalte Gerät (Device).
    Die Seite „Geräteeinstellungen (Device Settings)“ wird für das ausgewählte Profil angezeigt.
  3. Wählen Sie im Dropdown-Menü Segment konfigurieren (Configure Segment) ein Profilsegment aus, um die Syslog-Einstellungen zu konfigurieren. Standardmäßig ist Globales Segment [Normal] (Global Segment [Regular]) ausgewählt.
  4. Navigieren Sie zum Bereich Syslog-Einstellungen (Syslog Settings) und konfigurieren Sie die folgenden Details.
    1. Wählen Sie im Dropdown-Menü Anlagencode (Facility Code) einen Syslog-Standardwert aus, der festlegt, wie Ihr Syslog-Server das Anlagenfeld verwendet, um Meldungen für alle Ereignisse aus SD-WAN Edges zu verwalten. Die zulässigen Werte reichen von local0 bis local7.
      Hinweis: Das Feld Anlagencode (Facility Code) ist nur für Globales Segment (Global Segment) konfigurierbar, egal, ob die Syslog-Einstellungen für das Profil aktiviert sind oder nicht. Die anderen Segmente erben den Wert des Anlagencodes aus dem globalen Segment.
    2. Aktivieren Sie das Kontrollkästchen Syslog aktiviert (Syslog Enabled).
    3. Geben Sie im Textfeld IP die Ziel-IP-Adresse des Syslog-Collectors ein.
    4. Wählen Sie im Dropdown-Menü Protokoll (Protocol) entweder TCP oder UDP als Syslog-Protokoll aus.
    5. Geben Sie im Textfeld Port die Portnummer des Syslog-Collectors ein. Der Standardwert ist 514.
    6. Da Edge-Schnittstellen auf der Profilebene nicht verfügbar sind, wird das Feld Quellschnittstelle (Source Interface) auf Automatisch (Auto) festgelegt. Der Edge wählt automatisch eine Schnittstelle aus, bei der das Feld „Ankündigen (Advertise)“ als Quellschnittstelle eingestellt ist.
    7. Wählen Sie im Dropdown-Menü Rollen (Roles) eine der folgenden Optionen aus:
      • EDGE-EREIGNIS (EDGE EVENT)
      • FIREWALL-EREIGNIS (FIREWALL EVENT)
      • EDGE- UND FIREWALL-EREIGNIS (EDGE AND FIREWALL EVENT)
    8. Wählen Sie im Dropdown-Menü Syslog-Ebene (Syslog Level) den Syslog-Schweregrad aus, der konfiguriert werden muss. Wenn beispielsweise KRITISCH (CRITICAL) konfiguriert ist, sendet der SD-WAN Edge alle Ereignisse, die entweder als kritisch oder als Warnung oder Notfall festgelegt sind.
      Hinweis: Firewallereignisprotokolle werden standardmäßig mit dem Syslog-Schweregrad INFO weitergeleitet.

      Zulässige Syslog-Schweregrade:

      • NOTFALL (EMERGENCY)
      • ALARM (ALERT)
      • KRITISCH (CRITICAL)
      • FEHLER (ERROR)
      • WARNUNG (WARNING)
      • HINWEIS (NOTICE)
      • INFO
      • DEBUGGEN (DEBUG)
    9. Geben Sie optional im Textfeld Tag ein Tag für das Syslog ein. Das Syslog-Tag kann verwendet werden, um die verschiedenen Ereignistypen auf dem Syslog-Collector zu differenzieren. Die maximal zulässige Zeichenlänge beträgt 32 (getrennt durch einen Punkt).
    10. Aktivieren Sie bei der Konfiguration eines Syslog-Collectors mit der Rolle FIREWALL-EREIGNIS (FIREWALL EVENT) oder EDGE- UND FIREWALL-EREIGNIS (EDGE AND FIREWALL EVENT) das Kontrollkästchen Alle Segmente (All Segments), wenn der Syslog-Collector Firewallprotokolle aus allen Segmenten erhalten soll. Wenn das Kontrollkästchen deaktiviert ist, empfängt der Syslog-Collector nur Firewallprotokolle aus dem Segment, in dem der Collector konfiguriert ist.
      Hinweis: Wenn die Rolle EDGE-EREIGNIS (EDGE EVENT) verwendet wird, empfängt der in einem beliebigen Segment konfigurierte Syslog-Collector standardmäßig Edge-Ereignisprotokolle.
  5. Klicken Sie auf die Schaltfläche +, um einen weiteren Syslog-Collector hinzuzufügen, oder klicken Sie auf Änderungen speichern (Save Changes). Der Remote-Syslog-Collector ist in SD-WAN Orchestrator konfiguriert.
    Hinweis: Sie können maximal zwei Syslog-Collectors pro Segment und 10 Syslog-Collectors pro Edge konfigurieren. Wenn die Anzahl der konfigurierten Collector-Instanzen den maximal zulässigen Grenzwert erreicht, wird die Schaltfläche + deaktiviert.
    Hinweis: Basierend auf der ausgewählten Rolle exportiert der Edge die entsprechenden Protokolle mit dem angegebenen Schweregrad auf den Remote-Syslog-Collector. Wenn Sie möchten, dass die von SD-WAN Orchestrator automatisch erstellen lokalen Ereignisse auf dem Syslog-Collector empfangen werden, müssen Sie Syslog auf der SD-WAN Orchestrator-Ebene mithilfe der Systemeinstellungen log.syslog.backend und log.syslog.upload konfigurieren.
    Informationen zum Format einer Syslog-Nachricht für Firewall-Protokolle finden Sie unter Format der Syslog-Meldungen für Firewallprotokolle.

Nächste Maßnahme

SD-WAN Orchestrator ermöglicht es Ihnen, die Funktion „Syslog-Weiterleitung (Syslog Forwarding)“ im Profil und auf dem Edge zu aktivieren. Aktivieren Sie auf der Seite Firewall der Profilkonfiguration die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding), wenn Sie Firewallprotokolle, die vom Unternehmens- SD-WAN Edges stammen, an konfigurierte Syslog-Collector-Instanzen weiterleiten möchten.
Hinweis: Standardmäßig ist die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding) auf der Seite Firewall der Profil- oder Edge-Konfiguration verfügbar und deaktiviert.

Weitere Informationen zu Firewalleinstellungen auf der Profilebene finden Sie unter Konfigurieren der Firewall für Profile.