In einem Unternehmensnetzwerk unterstützt SASE Orchestrator die Erfassung von SASE Orchestrator-gebundenen Ereignissen und Firewallprotokollen, die vom Unternehmens-SD-WAN Edge stammen, in einer oder mehreren zentralen Remote-Syslog-Collector-Instanzen (Server) im nativen Syslog-Format. Auf der Edge-Ebene können Sie die im Profil angegebenen Syslog-Einstellungen überschreiben, indem Sie das Kontrollkästchen Edge-Überschreibung aktivieren (Enable Edge Override) aktivieren.

Führen Sie die folgenden Schritte aus, um die Syslog-Einstellungen auf der Edge-Ebene zu überschreiben.

Voraussetzungen

  • Stellen Sie sicher, dass Cloud-VPN (Zweigstelle-zu-Zweigstelle-VPN-Einstellungen) für den SD-WAN Edge konfiguriert ist (von dem die SASE Orchestrator-gebundenen Ereignisse stammen), um einen Pfad zwischen dem SD-WAN Edge und den Syslog-Collectors herzustellen. Weitere Informationen finden Sie unter Konfigurieren von Cloud-VPN für Profile.

Prozedur

  1. Navigieren Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Edges. Auf der Seite Edges werden die vorhandenen Edges angezeigt.
  2. Klicken Sie auf den Link zu einem Edge oder auf den Link Anzeigen (View) in der Spalte Gerät (Device) des Edges, den Sie überschreiben möchten.
    Die Konfigurationsoptionen für den ausgewählten Edge werden auf der Registerkarte Gerät (Device) angezeigt.
  3. Wählen Sie im Dropdown-Menü Segment (Segment) ein Profilsegment aus, um die Syslog-Einstellungen zu konfigurieren. Standardmäßig ist Globales Segment (Global Segment) ausgewählt.
  4. Scrollen Sie nach unten zur Kategorie Telemetrie (Telemetry), navigieren Sie zum Bereich Syslog und aktivieren Sie das Kontrollkästchen Überschreiben (Override).
  5. Wählen Sie im Dropdown-Menü Quellschnittstelle (Source Interface) eine der im Segment konfigurierten Edge-Schnittstellen als Quellschnittstelle aus.
    Hinweis:

    Wenn der Edge den Datenverkehr überträgt, hat die Paketkopfzeile die IP-Adresse der ausgewählten Quellschnittstelle, während die Pakete über eine beliebige Schnittstelle basierend auf der Zielroute gesendet werden können.

  6. Überschreiben Sie die anderen im Profil verknüpften Syslog-Einstellungen, die dem Edge zugeordnet sind, indem Sie Schritt 4 in Konfigurieren von Syslog-Einstellungen für Profile ausführen.
  7. Klicken Sie auf die Schaltfläche + Hinzufügen (+ ADD), um einen weiteren Syslog-Collector hinzuzufügen, oder klicken Sie auf Änderungen speichern (Save Changes). Die Syslog-Einstellungen für den Edge werden überschrieben.
    Hinweis: Sie können maximal zwei Syslog-Collectors pro Segment und 10 Syslog-Collectors pro Edge konfigurieren. Wenn die Anzahl der konfigurierten Collector-Instanzen den maximal zulässigen Grenzwert erreicht, wird die Schaltfläche + deaktiviert.
    Hinweis: Basierend auf der ausgewählten Rolle exportiert der Edge die entsprechenden Protokolle in der angegebenen Schweregradstufe in den Remote-Syslog-Collector. Wenn Sie möchten, dass die von SASE Orchestrator automatisch erstellen lokalen Ereignisse auf dem Syslog-Collector empfangen werden, müssen Sie Syslog auf der SASE Orchestrator-Ebene mithilfe der Systemeinstellungen log.syslog.backend und log.syslog.upload konfigurieren.
    Informationen zum Format einer Syslog-Nachricht für Firewall-Protokolle finden Sie unter Format der Syslog-Meldungen für Firewallprotokolle.

Nächste Maßnahme

Aktivieren Sie auf der Seite Firewall der Edge-Konfiguration die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding), wenn Sie Firewallprotokolle, die vom Unternehmens- SD-WAN Edge stammen, an konfigurierte Syslog-Collector-Instanzen weiterleiten möchten.
Hinweis: Die Schaltfläche Syslog-Weiterleitung (Syslog Forwarding) ist auf der Seite Firewall der Profil- oder Edge-Konfiguration verfügbar und standardmäßig deaktiviert.

Weitere Informationen zu Firewalleinstellungen auf der Edge-Ebene finden Sie unter Konfigurieren der Edge-Firewallprotokollierung.