In una rete aziendale, SD-WAN Orchestrator supporta la raccolta di eventi associati a SD-WAN Orchestrator e registri del firewall provenienti da SD-WAN Edges dell'azienda per uno o più agenti di raccolta syslog remoti centralizzati (server), nel formato di syslog nativo. Affinché l'agente di raccolta syslog riceva gli eventi associati a SD-WAN Orchestrator e i registri del firewall dagli Edge configurati in un'azienda a livello di profilo, configurare i dettagli dell'agente di raccolta syslog per segmento in SD-WAN Orchestrator eseguendo i passaggi descritti nella procedura seguente.

Prerequisiti

  • Assicurarsi che la VPN del cloud (impostazioni VPN da filiale a filiale) sia configurata per SD-WAN Edge (da dove provengono gli eventi associati a SD-WAN Orchestrator) per stabilire un percorso tra SD-WAN Edge e gli agenti di raccolta syslog. Per ulteriori informazioni, vedere Configurazione della VPN cloud per i profili.

Procedura

  1. In SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles).
    Viene visualizzata la pagina Profili di configurazione (Configuration Profiles).
  2. Selezionare il profilo in cui si desidera configurare le impostazioni di syslog e fare clic sull'icona sotto la colonna Dispositivo (Device).
    Viene visualizzata la pagina Impostazioni dispositivo (Device Settings) per il profilo selezionato.
  3. Dal menu a discesa Configura segmento (Configure Segment), selezionare un segmento di profilo per configurare le impostazioni di syslog. Per impostazione predefinita, è selezionata l'opzione Segmento globale [regolare] (Global Segment [Regular]).
  4. Passare all'area Impostazioni syslog (Syslog Settings) e configurare i dettagli seguenti.
    1. Dal menu a discesa Codice funzionalità (Facility Code), selezionare un valore di syslog standard che mappa il modo in cui il server syslog utilizza il campo della funzionalità per gestire i messaggi per tutti gli eventi da SD-WAN Edges. I valori consentiti sono da local0 a local7.
      Nota: Il campo Codice funzionalità (Facility Code) è configurabile solo per Segmento globale (Global Segment), indipendentemente dal fatto che le impostazioni di syslog siano abilitate o meno per il profilo. Gli altri segmenti erediteranno il valore del codice funzionalità dal segmento globale.
    2. Selezionare la casella di controllo Syslog abilitato (Syslog Enabled).
    3. Nella casella di testo IP immettere l'indirizzo IP di destinazione dell'agente di raccolta di syslog.
    4. Dal menu a discesa Protocollo (Protocol), selezionare TCP o UDP come protocollo di syslog.
    5. Nella casella di testo Porta (Port), immettere il numero di porta dell'agente di raccolta di syslog. Il valore predefinito è 514.
    6. Poiché le interfacce dell'Edge non sono disponibili a livello di profilo, il campo Interfaccia origine (Source Interface) è impostato su Automatico (Auto). L'Edge seleziona automaticamente un'interfaccia con il campo "Annuncia (Advertise)" impostato come interfaccia di origine.
    7. Dal menu a discesa Ruoli (Roles), selezionare una delle opzioni seguenti:
      • EVENTO EDGE (EDGE EVENT)
      • EVENTO FIREWALL (FIREWALL EVENT)
      • EVENTO EDGE E FIREWALL (EDGE AND FIREWALL EVENT)
    8. Dal menu a discesa Livello syslog (Syslog Level), selezionare il livello di gravità di syslog che deve essere configurato. Ad esempio, se è configurata la gravità CRITICA (CRITICAL), SD-WAN Edge invierà tutti gli eventi impostati come critici, avviso o emergenza.
      Nota: Per impostazione predefinita, i registri degli eventi del firewall vengono inoltrati con livello di gravità di syslog INFORMAZIONI (INFO).

      I livelli di gravità di syslog consentiti sono:

      • EMERGENZA (EMERGENCY)
      • AVVISO (ALERT)
      • CRITICA (CRITICAL)
      • ERRORE (ERROR)
      • AVVISO (WARNING)
      • AVVISO (NOTICE)
      • INFORMAZIONI (INFO)
      • DEBUG
    9. Facoltativamente, nella casella di testo Tag, immettere un tag per syslog. Il tag di syslog può essere utilizzato per distinguere i vari tipi di eventi nell'agente di raccolta di syslog. Il numero massimo di caratteri consentito è 32, delimitati da un punto.
    10. Quando si configura un agente di raccolta syslog con il ruolo EVENTO FIREWALL (FIREWALL EVENT) o EVENTO EDGE E FIREWALL (EDGE AND FIREWALL EVENT), selezionare la casella di controllo Tutti i segmenti (All Segments) se si desidera che l'agente di raccolta Syslog riceva i registri del firewall da tutti i segmenti. Se la casella di controllo è disabilitata, l'agente di raccolta Syslog riceverà i registri del firewall solo da quel segmento specifico in cui è configurato l'agente di raccolta.
      Nota: Quando il ruolo è EVENTO EDGE (EDGE EVENT), l'agente di raccolta Syslog configurato in qualsiasi segmento riceverà i registri degli eventi Edge per impostazione predefinita.
  5. Fare clic sul pulsante + per aggiungere un altro agente di raccolta di syslog oppure fare clic su Salva modifiche (Save Changes). L'agente di raccolta di syslog remoto è configurato in SD-WAN Orchestrator.
    Nota: È possibile configurare al massimo due agenti di raccolta di syslog per segmento e 10 agenti di raccolta di syslog per Edge. Quando il numero di agenti di raccolta configurati raggiunge il limite massimo consentito, il pulsante + viene disabilitato.
    Nota: In base al ruolo selezionato, l'Edge esporterà i registri corrispondenti con il livello di gravità specificato nell'agente di raccolta di syslog remoto. Se si desidera che gli eventi locali di SD-WAN Orchestrator generati automaticamente vengano ricevuti dall'agente di raccolta di syslog, è necessario configurare syslog a livello di SD-WAN Orchestrator utilizzando le proprietà di sistema log.syslog.backend e log.syslog.upload.
    Per informazioni sul formato di un messaggio syslog per i registri del firewall, vedere Formato del messaggio di syslog per i registri del firewall.

Operazioni successive

SD-WAN Orchestrator consente di abilitare la funzionalità Inoltro syslog (Syslog Forwarding) a livello di profilo e di Edge. Nella pagina Firewall della configurazione del profilo, abilitare il pulsante Inoltro syslog (Syslog Forwarding) se si desidera inoltrare i registri del firewall provenienti da SD-WAN Edges dell'azienda agli agenti di raccolta di syslog configurati.
Nota: Per impostazione predefinita, il pulsante Inoltro syslog (Syslog Forwarding) è disponibile nella pagina Firewall della configurazione del profilo o dell'Edge ed è disabilitato.

Per ulteriori informazioni sulle impostazioni del firewall a livello di profilo, vedere Configurazione del firewall per i profili.