Dans un réseau d'entreprise, SASE Orchestrator prend en charge la collecte des événements liés à SASE Orchestrator et des journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers un ou plusieurs collecteurs Syslog distants centralisés (serveurs), au format Syslog natif. Au niveau du dispositif Edge, vous pouvez remplacer les paramètres Syslog spécifiés dans le profil en cochant la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).

Pour remplacer les paramètres Syslog au niveau du dispositif Edge, procédez comme suit.

Conditions préalables

  • Assurez-vous que le VPN cloud (paramètres VPN branche-vers-branche) est configuré pour le dispositif SD-WAN Edge (à partir de l'emplacement d'origine des événements liés à SASE Orchestrator) pour établir un chemin entre le dispositif SD-WAN Edge et les collecteurs Syslog. Pour plus d'informations, reportez-vous à la section Configurer le VPN cloud pour les profils.

Procédure

  1. Dans le service SD-WAN du portail d'entreprise, accédez à Configurer (Configure) > Dispositifs Edge (Edges). La page Dispositifs Edge (Edges) affiche les dispositifs Edge existants.
  2. Cliquez sur le lien d'accès à un dispositif Edge ou sur le lien Afficher (View) dans la colonne Périphérique (Device) du dispositif Edge que vous souhaitez remplacer.
    Les options de configuration du dispositif Edge sélectionné s'affichent dans l'onglet Périphérique (Device).
  3. Dans le menu déroulant Segment, sélectionnez un segment du profil pour configurer les paramètres Syslog. Par défaut, Segment global (Global Segment) est sélectionné.
  4. Faites défiler la liste vers le bas jusqu'à la catégorie Télémétrie (Telemetry), accédez à la zone Syslog, puis cochez la case Remplacer (Override).
  5. Dans le menu déroulant Interface source (Source Interface), sélectionnez l'une des interfaces Edge configurées dans le segment comme interface source.
    Note :

    Lorsque le dispositif Edge transmet le trafic, l'en-tête de paquet aura l'adresse IP de l'interface source sélectionnée, tandis que les paquets peuvent être envoyés via n'importe quelle interface en fonction de la route de destination.

  6. Remplacez les autres paramètres Syslog spécifiés dans le profil associé au dispositif Edge en suivant l'étape 4 de la section Configurer les paramètres Syslog pour les profils.
  7. Cliquez sur le bouton + AJOUTER (+ ADD) pour ajouter un autre collecteur Syslog ou cliquez sur Enregistrer les modifications (Save Changes). Les paramètres Syslog du dispositif Edge seront remplacés.
    Note : Vous pouvez configurer un maximum de deux collecteurs Syslog par segment et 10 collecteurs Syslog par dispositif Edge. Lorsque le nombre de collecteurs configurés atteint la limite maximale autorisée, le bouton  + est désactivé.
    Note : En fonction du rôle sélectionné, le dispositif Edge exporte les journaux correspondants dans le niveau de gravité spécifié vers le collecteur Syslog distant. Si vous souhaitez que les événements locaux générés automatiquement par SASE Orchestrator soient reçus au niveau du collecteur Syslog, vous devez configurer Syslog au niveau de SASE Orchestrator à l'aide des propriétés système log.syslog.backend et log.syslog.upload.
    Pour comprendre le format d'un message Syslog pour les journaux de pare-feu, reportez-vous à la section Format de message Syslog pour les journaux de pare-feu.

Que faire ensuite

Sur la page Pare-feu (Firewall) de la configuration du dispositif Edge, activez le bouton Transfert Syslog (Syslog Forwarding) si vous souhaitez transférer les journaux de pare-feu provenant du dispositif SD-WAN Edge d'entreprise vers les collecteurs Syslog configurés.
Note : Par défaut, le bouton Transfert Syslog (Syslog Forwarding) est disponible sur la page Pare-feu (Firewall) de la configuration du profil ou du dispositif Edge, et est désactivé.

Pour plus d'informations sur les paramètres de pare-feu au niveau du dispositif Edge, reportez-vous à la section Configurer le pare-feu Edge.