Dans un réseau d'entreprise, SD-WAN Orchestrator prend en charge la collecte des événements liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edges d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format Syslog natif. Pour que le collecteur Syslog reçoive les événements liés à SD-WAN Orchestrator et les journaux de pare-feu provenant de dispositifs Edge configurés dans une entreprise, au niveau du profil, configurez les détails du collecteur Syslog par segment dans SD-WAN Orchestrator en suivant les étapes de cette procédure.

Conditions préalables

  • Assurez-vous que le VPN (Virtual Private Network, réseau privé virtuel) cloud (paramètres VPN branche-vers-branche) est configuré pour le dispositif SD-WAN Edge (à partir de l'emplacement d'origine des événements liés à SD-WAN Orchestrator) pour établir un chemin entre le dispositif SD-WAN Edge et les collecteurs Syslog. Pour plus d'informations, reportez-vous à la section Configurer le VPN cloud.

Procédure

  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).
    La page Profils de configuration (Configuration Profiles) s'affiche.
  2. Sélectionnez un profil pour configurer les paramètres Syslog, puis cliquez sur l'icône dans la colonne Périphérique (Device).
    La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.
  3. Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un segment du profil pour configurer les paramètres Syslog. Par défaut, Segment global [Normal] (Global Segment [Regular]) est sélectionné.
  4. Accédez à la zone Paramètres Syslog (Syslog Settings) et configurez les détails suivants.
    1. Dans le menu déroulant Code d'installation (Facility Code), sélectionnez une valeur standard Syslog qui correspond à la manière dont votre serveur Syslog utilise le champ d'installation pour gérer les messages de tous les événements du dispositif SD-WAN Edges. Les valeurs autorisées proviennent de local0 via local7.
      Note : Le champ Code d'installation (Facility Code) est configurable uniquement pour le Segment global (Global Segment), même si les paramètres Syslog sont activés ou non pour le profil. Les autres segments héritent la valeur du code d'installation du segment global.
    2. Cochez la case Syslog activé (Syslog Enabled).
    3. Dans la zone de texte Adresse IP (IP), entrez l'adresse IP de destination du collecteur Syslog.
    4. Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole Syslog.
    5. Dans la zone de texte Port, entrez le numéro de port du collecteur Syslog. La valeur par défaut est de 514.
    6. Comme les interfaces Edge ne sont pas disponibles au niveau du profil, le champ Interface source (Source Interface) est défini sur Auto. Le dispositif Edge sélectionne automatiquement une interface dont le champ « Annoncer (Advertise) » est défini comme interface source.
    7. Dans le menu déroulant Rôles (Roles), sélectionnez l'un des éléments suivants :
      • EDGE EVENT
      • FIREWALL EVENT
      • EDGE AND FIREWALL EVENT
    8. Dans le menu déroulant Niveau Syslog (Syslog Level), sélectionnez le niveau de gravité Syslog qui doit être configuré. Par exemple, si CRITICAL est configuré, le dispositif SD-WAN Edge envoie tous les événements qui sont définis comme critique (critical), alerte (alert) ou urgence (emergency).
      Note : Par défaut, les journaux d'événements de pare-feu sont transférés avec le niveau de gravité Syslog INFO.

      Les niveaux de gravité Syslog autorisés sont les suivants :

      • EMERGENCY
      • ALERT
      • CRITICAL
      • ERROR
      • WARNING
      • NOTICE
      • INFO
      • DEBUG
    9. Si vous le souhaitez, dans la zone de texte Balise (Tag), entrez une balise pour Syslog. La balise Syslog peut être utilisée pour différencier les différents types d'événements au niveau du collecteur Syslog. La longueur de caractères maximale autorisée est 32, délimitée par un point.
    10. Lors de la configuration d'un collecteur Syslog doté du rôle ÉVÉNEMENT DE PARE-FEU (FIREWALL EVENT) ou ÉVÉNEMENT DE DISPOSITIF EDGE ET DE PARE-FEU (EDGE AND FIREWALL EVENT), cochez la case Tous les segments (All Segments) si vous souhaitez que le collecteur Syslog reçoive des journaux de pare-feu de tous les segments. Si la case est désactivée, le collecteur Syslog reçoit des journaux de pare-feu uniquement à partir du segment particulier dans lequel le collecteur est configuré.
      Note : Lorsque le rôle est ÉVÉNEMENT DE DISPOSITIF EDGE (EDGE EVENT), le collecteur Syslog configuré dans un segment reçoit par défaut des journaux d'événements de dispositifs Edge.
  5. Cliquez sur le bouton + pour ajouter un autre collecteur Syslog ou cliquez sur Enregistrer les modifications (Save Changes). Le collecteur Syslog distant est configuré dans SD-WAN Orchestrator.
    Note : Vous pouvez configurer un maximum de deux collecteurs Syslog par segment et 10 collecteurs Syslog par dispositif Edge. Lorsque le nombre de collecteurs configurés atteint la limite maximale autorisée, le bouton  + est désactivé.
    Note : En fonction du rôle sélectionné, le dispositif Edge exporte les journaux correspondants dans le niveau de gravité spécifié vers le collecteur Syslog distant. Si vous souhaitez que les événements locaux générés automatiquement par SD-WAN Orchestrator soient reçus au niveau du collecteur Syslog, vous devez configurer Syslog au niveau de SD-WAN Orchestrator à l'aide des propriétés système log.syslog.backend et log.syslog.upload.
    Pour comprendre le format d'un message Syslog pour les journaux de pare-feu, reportez-vous à la section Format de message Syslog pour les journaux de pare-feu.

Que faire ensuite

SD-WAN Orchestrator vous permet d'activer la fonctionnalité de transfert Syslog au niveau du profil et du dispositif Edge. Sur la page Pare-feu (Firewall) de la configuration du profil, activez le bouton Transfert Syslog (Syslog Forwarding) si vous souhaitez transférer les journaux de pare-feu provenant du dispositif SD-WAN Edges d'entreprise vers les collecteurs Syslog configurés.
Note : Par défaut, le bouton Transfert Syslog (Syslog Forwarding) est disponible sur la page Pare-feu (Firewall) de la configuration du profil ou du dispositif Edge, et est désactivé.

Pour plus d'informations sur les paramètres de pare-feu au niveau du profil, reportez-vous à la section Configurer le pare-feu pour les profils.