Dans un réseau d'entreprise, SD-WAN Orchestrator prend en charge la collecte des événements liés à SD-WAN Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format Syslog natif. Pour que le collecteur Syslog reçoive les événements liés à SD-WAN Orchestrator et les journaux de pare-feu provenant de dispositifs Edge configurés dans une entreprise, au niveau du profil, configurez les détails du collecteur Syslog par segment dans SD-WAN Orchestrator en suivant les étapes de cette procédure.

Conditions préalables

  • Assurez-vous que le VPN (Virtual Private Network, réseau privé virtuel) cloud (paramètres VPN branche-vers-branche) est configuré pour le dispositif SD-WAN Edge (à partir de l'emplacement d'origine des événements liés à SD-WAN Orchestrator) pour établir un chemin entre le dispositif SD-WAN Edge et les collecteurs Syslog. Pour plus d'informations, reportez-vous à la section Configurer le VPN cloud pour les profils.

Procédure

  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles).
    La page Profils de configuration (Configuration Profiles) s'affiche.
  2. Sélectionnez un profil pour configurer les paramètres Syslog, puis cliquez sur l'icône dans la colonne Périphérique (Device).
    La page Paramètres du périphérique (Device Settings) pour le profil sélectionné s'affiche.
  3. Dans le menu déroulant Configurer le segment (Configure Segment), sélectionnez un segment du profil pour configurer les paramètres Syslog. Par défaut, Segment global [Normal] (Global Segment [Regular]) est sélectionné.
  4. Accédez à la zone Paramètres Syslog (Syslog Settings) et configurez les détails suivants.
    1. Dans le menu déroulant Code d'installation (Facility Code), sélectionnez une valeur standard Syslog qui correspond à la manière dont votre serveur Syslog utilise le champ d'installation pour gérer les messages de tous les événements du dispositif SD-WAN Edge. Les valeurs autorisées proviennent de local0 via local7.
      Note : Le champ Code d'installation (Facility Code) est configurable uniquement pour le Segment global (Global Segment), même si les paramètres Syslog sont activés ou non pour le profil. Les autres segments héritent la valeur du code d'installation du segment global.
    2. Cochez la case Syslog activé (Syslog Enabled).
    3. Dans la zone de texte Adresse IP (IP), entrez l'adresse IP de destination du collecteur Syslog.
    4. Dans le menu déroulant Protocole (Protocol), sélectionnez TCP ou UDP comme protocole Syslog.
    5. Dans la zone de texte Port, entrez le numéro de port du collecteur Syslog. La valeur par défaut est de 514.
    6. Comme les interfaces Edge ne sont pas disponibles au niveau du profil, le champ Interface source (Source Interface) est défini sur Auto. Le dispositif Edge sélectionne automatiquement une interface dont le champ « Annoncer (Advertise) » est défini comme interface source.
    7. Dans le menu déroulant Rôles (Roles), sélectionnez l'un des éléments suivants :
      • EDGE EVENT
      • FIREWALL EVENT
      • EDGE AND FIREWALL EVENT
    8. Dans le menu déroulant Niveau Syslog (Syslog Level), sélectionnez le niveau de gravité Syslog qui doit être configuré. Par exemple, si CRITICAL est configuré, le dispositif SD-WAN Edge envoie tous les événements qui sont définis comme critique (critical), alerte (alert) ou urgence (emergency).
      Note : Par défaut, les journaux d'événements de pare-feu sont transférés avec le niveau de gravité Syslog INFO.

      Les niveaux de gravité Syslog autorisés sont les suivants :

      • EMERGENCY
      • ALERT
      • CRITICAL
      • ERROR
      • WARNING
      • NOTICE
      • INFO
      • DEBUG
    9. Si vous le souhaitez, dans la zone de texte Balise (Tag), entrez une balise pour Syslog. La balise Syslog peut être utilisée pour différencier les différents types d'événements au niveau du collecteur Syslog. La longueur de caractères maximale autorisée est 32, délimitée par un point.
    10. Lors de la configuration d'un collecteur Syslog doté du rôle ÉVÉNEMENT DE PARE-FEU (FIREWALL EVENT) ou ÉVÉNEMENT DE DISPOSITIF EDGE ET DE PARE-FEU (EDGE AND FIREWALL EVENT), cochez la case Tous les segments (All Segments) si vous souhaitez que le collecteur Syslog reçoive des journaux de pare-feu de tous les segments. Si la case est décochée, le collecteur Syslog reçoit des journaux de pare-feu uniquement à partir de ce segment particulier dans lequel le collecteur est configuré.
      Note : Lorsque le rôle est ÉVÉNEMENT DE DISPOSITIF EDGE (EDGE EVENT), le collecteur Syslog configuré dans un segment reçoit par défaut des journaux d'événements de dispositifs Edge.
  5. Cliquez sur le bouton + pour ajouter un autre collecteur Syslog ou cliquez sur Enregistrer les modifications (Save Changes). Le collecteur Syslog distant est configuré dans SD-WAN Orchestrator.
    Note : Vous pouvez configurer un maximum de deux collecteurs Syslog par segment et 10 collecteurs Syslog par dispositif Edge. Lorsque le nombre de collecteurs configurés atteint la limite maximale autorisée, le bouton  + est désactivé.
    Note : En fonction du rôle sélectionné, le dispositif Edge exporte les journaux correspondants dans le niveau de gravité spécifié vers le collecteur Syslog distant. Si vous souhaitez que les événements locaux générés automatiquement par SD-WAN Orchestrator soient reçus au niveau du collecteur Syslog, vous devez configurer Syslog au niveau de SD-WAN Orchestrator à l'aide des propriétés système log.syslog.backend et log.syslog.upload.
    Pour comprendre le format d'un message Syslog pour les journaux de pare-feu, reportez-vous à la section Format de message Syslog pour les journaux de pare-feu.

Que faire ensuite

SD-WAN Orchestrator vous permet d'activer la fonctionnalité de transfert Syslog au niveau du profil et du dispositif Edge. Sur la page Pare-feu (Firewall) de la configuration du profil, activez le bouton Transfert Syslog (Syslog Forwarding) si vous souhaitez transférer les journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers les collecteurs Syslog configurés.
Note : Par défaut, le bouton Transfert Syslog (Syslog Forwarding) est disponible sur la page Pare-feu (Firewall) de la configuration du profil ou du dispositif Edge, et est désactivé.

Pour plus d'informations sur les paramètres de pare-feu au niveau du profil, reportez-vous à la section Configurer le pare-feu pour les profils.

Prise en charge du transfert Syslog sécurisé

La version 5.0 prend en charge la capacité de transfert Syslog sécurisé. La garantie de la sécurité du transfert Syslog est requise pour les certifications fédérales et est nécessaire pour répondre aux exigences de sécurisation renforcée du dispositif Edge des grandes entreprises. Le processus de transfert Syslog sécurisé commence par la mise en place d'un serveur Syslog compatible TLS. Actuellement, SD-WAN Orchestrator permet de transférer des journaux vers un serveur Syslog prenant en charge TLS. La version 5.0 permet à SD-WAN Orchestrator de contrôler le transfert Syslog et d'effectuer des vérifications de sécurité par défaut telles que la vérification PKI hiérarchique, la validation CRL, etc. En outre, elle permet également de personnaliser la sécurité du transfert en définissant des suites de chiffrement prises en charge, en n'autorisant pas les certificats auto-signés, etc.

Un autre aspect du transfert Syslog sécurisé est la manière dont les informations de révocation sont collectées ou intégrées. SD-WAN Orchestrator peut désormais activer la saisie d'informations de révocation à partir d'un opérateur qui peut être extrait manuellement ou via un processus externe. SD-WAN Orchestrator récupère ces informations CRL et les utilise pour vérifier la sécurité du transfert avant l'établissement de toutes les connexions. En outre, SD-WAN Orchestrator extrait régulièrement ces informations CRL et les utilise lors de la validation de la connexion.

Propriétés système

Le transfert Syslog sécurisé commence par la configuration des paramètres de transfert Syslog de SD-WAN Orchestrator pour lui permettre de se connecter à un serveur Syslog. Pour ce faire, SD-WAN Orchestrator accepte une chaîne au format JSON pour exécuter les paramètres de configuration suivants, qui sont configurés dans Propriétés système (System Properties).

Les propriétés système suivantes peuvent être configurées, comme indiqué dans la liste et l'image ci-dessous :
  • dendrochronological : configuration de l'intégration Syslog du service principal
  • log.syslog.portal : configuration de l'intégration Syslog du service de portail
  • log.syslog.upload : charger la configuration de l'intégration Syslog du service

Lors de la configuration des propriétés système, la chaîne JSON de la configuration Syslog sécurisée suivante peut être utilisée.

  • config <Object>
    • enable: <true> <false> Activez ou désactivez le transfert Syslog. Notez que ce paramètre contrôle le transfert Syslog global même si le transfert sécurisé est activé.
    • options <Object>
      • host: <string> L'hôte exécutant Syslog, par défaut localhost.
      • port : <number> Le port sur l'hôte sur lequel Syslog s'exécute, est défini par défaut sur le port par défaut de syslogd.
      • protocol : <string> tcp4, udp4, tls4. Remarque : (tls4 active le transfert Syslog sécurisé avec les paramètres par défaut). Pour le configurer, consultez l'objet secureOptions suivant
      • pid : <number> PID du processus d'où proviennent les messages de journal (par défaut : process.pid).
      • localhost : <string> Hôte pour indiquer que les messages de journal proviennent de (par défaut : localhost).
      • app_name : <string> Nom de l'application (node-portal, node-backend, etc.) (Par défaut : process.title).
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> Ignorer éventuellement la vérification SAN lors de la validation. Cette valeur peut être utilisée si la certification du serveur ne dispose pas d'un SAN pour les certificats auto-signés. Par défaut false.
      • fetchCRLEnabled: <boolean>Si non false, SD-WAN Orchestrator extrait les informations CRL intégrées dans les autorités de certification fournies. Par défaut : true
      • rejectUnauthorized: <boolean> Si non false, SD-WAN Orchestrator applique la validation PKI hiérarchique par rapport à la liste des autorités de certification fournies. Par défaut : true. (Cela est principalement requis à des fins de test. Ne l'utilisez pas en production.)
      • caCertificate: <string> SD-WAN Orchestrator peut accepter une chaîne contenant des certificats au format PEM pour éventuellement remplacer les certificats d'autorité de certification approuvés (peut contenir plusieurs CRL sous forme concaténée conviviale openssl). La valeur par défaut est de faire confiance aux autorités de certification connues organisées par Mozilla. Cette option peut être utilisée pour permettre d'accepter une autorité de certification locale qui contrôlée par l'entité. Par exemple, pour les clients sur site qui disposent de leurs propres autorités de certification et PKI.
      • crlPem:<string> SD-WAN Orchestrator peut accepter une chaîne contenant des CRL au format PEM (peuvent contenir plusieurs CRL sous forme concaténée conviviale openssl). Cette option peut être utilisée pour permettre d'accepter des CRL conservées localement. Si la valeur fetchCRLEnabled est définie sur true, SD-WAN Orchestrator combine ces informations avec les CRL extraites. Cela est principalement requis pour un scénario spécifique dans lequel les certificats ne contiennent pas d'informations sur les points CRLDistribution.
      • crlDistributionPoints : <Array> SD-WAN Orchestrator peut éventuellement accepter un URI de points de distribution CRL de tableau dans le protocole « http ». SD-WAN Orchestrator n'accepte aucun URI « https »
      • crlPollIntervalMinutes : <number> si fetchCRLEnabled n'est pas défini sur false, SD-WAN Orchestrator interroge les CRL toutes les 12 heures. Cependant, ce paramètre peut éventuellement remplacer ce comportement par défaut et mettre à jour la CRL en fonction du nombre fourni.

Configuration de l'exemple de transfert Syslog sécurisé

SD-WAN Orchestrator dispose des options de propriétés système suivantes pour organiser les paramètres décrits afin d'activer le transfert Syslog sécurisé.
Note : L'exemple ci-dessous doit être modifié en fonction de la structure de la chaîne d'approbation.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Pour configurer le transfert Syslog, reportez-vous à l'exemple d'objet JSON suivant (image ci-dessous).

Si la configuration réussit, SD-WAN Orchestrator génère le journal suivant et commence le transfert.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Le journal distant a été configuré pour les options suivantes {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Transfert Syslog sécurisé en mode FIPS

Lorsque le mode FIPS est activé pour le transfert Syslog sécurisé, la connexion sera rejetée si le serveur Syslog ne propose pas les suites de chiffrement suivantes : "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256." En outre, indépendamment du mode FIPS, la connexion est rejetée si le certificat du serveur Syslog ne dispose pas d'un champ d'utilisation de clé étendu qui définit l'attribut « ServerAuth ».

Extraction constante d'informations CRL

Si fetchCRLEnabled n'est pas défini sur false, SD-WAN Orchestrator met régulièrement à jour les informations CRL toutes les 12 heures via le mécanisme de tâche principale. Les informations CRL extraites sont stockées dans la propriété système correspondante intitulée, log.syslog.lastFetchedCRL.{serverName}. Ces informations CRL seront vérifiées à chaque tentative de connexion au serveur Syslog. Une erreur se produit lors de l'extraction. SD-WAN Orchestrator génère un événement d'opérateur.

Si fetchCRLEnabled est défini sur true, trois propriétés système supplémentaires suivent l'état de la CRL, comme suit : log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, comme indiqué sur l'image ci-dessous. Ces informations affichent l'heure de la dernière mise à jour de la CRL et des informations de celle-ci.

Journalisation

Si l'option « fetchCRLEnabled » est définie sur true, SD-WAN Orchestrator tente d'extraire les CRL. Si une erreur se produit, SD-WAN Orchestrator déclenche un événement, comme indiqué sur l'image suivante.