En una red empresarial, SASE Orchestrator admite la recopilación de los registros de firewall y los eventos enlazados de SASE Orchestrator procedentes de las instancias de SD-WAN Edge de la empresa en uno o varios recopiladores de Syslog remotos centralizados (servidores) en el formato Syslog nativo. Es posible anular la configuración de Syslog especificada en el perfil si se selecciona la casilla de verificación Habilitar anulación de Edge (Enable Edge Override) en el nivel de Edge.

Para anular la configuración de Syslog en el nivel de Edge, realice los siguientes pasos.

Requisitos previos

  • Asegúrese de que se haya configurado la opción VPN de nube (configuración de VPN de sucursal a sucursal) para SD-WAN Edge (desde donde se originan los eventos enlazados de SASE Orchestrator) con el fin de establecer una ruta entre SD-WAN Edge y los recopiladores de Syslog. Para obtener más información, consulte Configurar VPN de nube para perfiles.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, vaya a Configurar (Configure) > Instancias de Edge (Edges). La página Instancias de Edge (Edges) muestra las instancias de Edge existentes.
  2. Haga clic en el vínculo a una instancia de Edge o haga clic en el vínculo Ver (View) en la columna Dispositivo (Device) de la instancia de Edge que desea anular.
    Las opciones de configuración de la instancia de Edge seleccionada se muestran en la pestaña Dispositivo (Device).
  3. En el menú desplegable Segmento (Segment), seleccione un segmento de perfil para configurar los ajustes de Syslog. De forma predeterminada, la opción Segmento global (Global Segment) se encuentra seleccionada.
  4. Desplácese hacia abajo hasta la categoría Telemetría (Telemetry), vaya al área Syslog y seleccione la casilla de verificación Anular (Override).
  5. En el menú desplegable Interfaz de origen (Source Interface), seleccione una de las interfaces de Edge configuradas en el segmento como la interfaz de origen.
    Nota:

    Cuando Edge transmita el tráfico, el encabezado del paquete tendrá la dirección IP de la interfaz de origen seleccionada, y los paquetes se pueden enviar a través de cualquier interfaz basada en la ruta de destino.

  6. Anule el resto de la configuración de Syslog especificada en el perfil asociado con la instancia de Edge. Para ello, siga el paso 4 de Configurar ajustes de Syslog para perfiles.
  7. Haga clic en el botón +AGREGAR (+ADD) para agregar otro recopilador Syslog, o bien haga clic en Guardar cambios (Save Changes). Se anulará la configuración de Syslog para la instancia de Edge.
    Nota: Puede configurar un máximo de dos recopiladores de Syslog por segmento y 10 recopiladores de Syslog por instancia de Edge. Cuando la cantidad de recopiladores configurados alcance el límite máximo permitido, se desactivará el botón +.
    Nota: Según la función seleccionada, Edge exportará los registros correspondientes en el nivel de gravedad especificado al recopilador de Syslog remoto. Si desea que los eventos locales de SASE Orchestrator generados automáticamente se reciban en el recopilador de Syslog, debe configurar Syslog en el nivel de SASE Orchestrator mediante las propiedades del sistema log.syslog.backend y log.syslog.upload.
    Para comprender el formato de un mensaje de syslog para los registros del firewall, consulte Formato de mensaje de syslog para registros de firewall.

Qué hacer a continuación

En la página Firewall de la configuración de Edge, habilite el botón Enrutamiento de Syslog (Syslog Forwarding) si desea reenviar los registros de firewall procedentes de las instancias de SD-WAN Edge de la empresa a los recopiladores de Syslog configurados.
Nota: De forma predeterminada, el botón Enrutamiento de Syslog (Syslog Forwarding) está disponible en la página Firewall de la configuración de Edge o de perfil, pero se encuentra desactivado.

Para obtener más información sobre la configuración del firewall en el nivel de Edge, consulte Configurar firewall de Edge.