In una rete aziendale, SASE Orchestrator supporta la raccolta di eventi associati a SASE Orchestrator e i registri del firewall provenienti da SD-WAN Edge aziendali per uno o più agenti di raccolta syslog remoti centralizzati (server), in formato syslog nativo. A livello di Edge, è possibile sostituire le impostazioni di syslog specificate nel profilo selezionando la casella di controllo Abilita override dell'Edge (Enable Edge Override).

Per sostituire le impostazioni di syslog a livello di Edge, eseguire i passaggi seguenti.

Prerequisiti

  • Assicurarsi che la VPN del cloud (impostazioni VPN da filiale a filiale) sia configurata per SD-WAN Edge (da dove provengono gli eventi associati a SASE Orchestrator) per stabilire un percorso tra SD-WAN Edge e gli agenti di raccolta syslog. Per ulteriori informazioni, vedere Configurazione della VPN cloud per i profili.

Procedura

  1. Nel servizio SD-WAN del portale dell'azienda, passare a Configura (Configure) > Edge (Edges). Nella pagina Edge (Edges) sono visualizzati gli Edge esistenti.
  2. Fare clic sul link di un Edge o sul link Visualizza (View) nella colonna Dispositivo (Device) dell'Edge che vuoi sostituire.
    Le opzioni di configurazione per l'Edge selezionato vengono visualizzate nella scheda Dispositivo (Device).
  3. Dal menu a discesa Segmento (Segment), selezionare un segmento di profilo per configurare le impostazioni di syslog. Per impostazione predefinita, è selezionata l'opzione Segmento globale (Global Segment).
  4. Scorrere verso il basso fino alla categoria Telemetria (Telemetry) e passare all'area Syslog e selezionare la casella di controllo Sostituisci (Override).
  5. Dal menu a discesa Interfaccia origine (Source Interface), selezionare una delle interfacce dell'Edge configurate nel segmento come interfaccia di origine.
    Nota:

    Quando l'Edge trasmette il traffico, l'intestazione del pacchetto avrà l'indirizzo IP dell'interfaccia di origine selezionata, mentre i pacchetti possono essere inviati tramite un'interfaccia qualsiasi in base alla route di destinazione.

  6. Sostituire le altre impostazioni di syslog specificate nel profilo associato all'Edge eseguendo il passaggio 4 in Configurazione delle impostazioni syslog per i profili.
  7. Fare clic sul pulsante + AGGIUNGI (+ ADD) per aggiungere un altro agente di raccolta syslog oppure fare clic su Salva modifiche (Save Changes). Le impostazioni di syslog per l'Edge verranno sostituite.
    Nota: È possibile configurare al massimo due agenti di raccolta di syslog per segmento e 10 agenti di raccolta di syslog per Edge. Quando il numero di agenti di raccolta configurati raggiunge il limite massimo consentito, il pulsante + viene disattivato.
    Nota: In base al ruolo selezionato, l'Edge esporta i registri corrispondenti con il livello di gravità specificato nell'agente di raccolta di syslog remoto. Se si desidera che gli eventi locali di SASE Orchestrator generati automaticamente vengano ricevuti dall'agente di raccolta di syslog, è necessario configurare syslog a livello di SASE Orchestrator utilizzando le proprietà di sistema log.syslog.backend e log.syslog.upload.
    Per informazioni sul formato di un messaggio syslog per i registri del firewall, vedere Formato del messaggio di syslog per i registri del firewall.

Operazioni successive

Nella pagina Firewall della configurazione dell'Edge, abilitare il pulsante Inoltro syslog (Syslog Forwarding) se si desidera inoltrare i registri del firewall provenienti da SD-WAN Edge aziendali agli agenti di raccolta di syslog configurati.
Nota: Per impostazione predefinita, il pulsante Inoltro syslog (Syslog Forwarding) è disponibile nella pagina Firewall della configurazione del profilo o dell'Edge ed è disattivato.

Per ulteriori informazioni sulle impostazioni del firewall a livello di Edge, vedere Configurazione firewall Edge.