Configurar as definições Syslog para os perfis

Numa rede da empresa, o SD-WAN Orchestrator suporta a recolha de eventos do SD-WAN Orchestrator ligados e registos de firewall originários do SD-WAN Edge de empresa a um ou mais coletores Syslog remotos centralizados (Servidores), no formato Syslog nativo. Para que o coletor Syslog receba eventos do SD-WAN Orchestrator ligados e registos de firewall dos Edges configurados numa empresa, ao nível do perfil, configure os detalhes do coletor Syslog por segmento no SD-WAN Orchestrator realizando os passos neste procedimento.

Pré-requisitos

Certifique-se de que a rede privada virtual de cloud (definições VPN ramo a ramo) está configurada para o SD-WAN Edge (de onde são originários os eventos vinculados do SD-WAN Orchestrator) para estabelecer um caminho entre o SD-WAN Edge e os coletores Syslog. Para obter mais informações, consulte Configurar a VPN de cloud para perfis.

Procedimento

No SD-WAN Orchestrator, aceda a Configurar > Perfis (Configure > Profiles).
É apresentada a página Perfis de configuração (Configuration Profiles).
Selecione um perfil para o qual pretende configurar as definições Syslog e clique no ícone abaixo da coluna Dispositivo (Device).
É apresentada a página Definições do dispositivo (Device Settings) do perfil selecionado.
No menu pendente Configurar segmento (Configure Segment), selecione um segmento de perfil para configurar as definições syslog. Por predefinição, está selecionada a opção Segmento global [Regular] (Global Segment [Regular]).
Aceda à área Definições Syslog (Syslog Settings) e configure os seguintes detalhes.
1. No menu pendente Código da instalação (Facility Code), selecione um valor padrão Syslog que mapeie como o servidor Syslog utiliza o campo de instalação para gerir mensagens para todos os eventos a partir do SD-WAN Edge. Os valores permitidos são de local0 até local7.
  
  Nota: O campo Código da instalação (Facility Code) é configurável apenas para o Segmento global (Global Segment), mesmo que as definições Syslog estejam ou não ativadas para o perfil. Os outros segmentos herdarão o valor de código da instalação do segmento Global.
2. Selecione a caixa de verificação Syslog ativado (Syslog Enabled).
3. Na caixa de texto IP, introduza o endereço IP de destino do coletor Syslog.
4. No menu pendente Protocolo (Protocol), selecione TCP ou UDP como o protocolo Syslog.
5. Na caixa de texto Porta (Port), introduza o número da porta do coletor Syslog. O valor predefinido é 514.
6. Como as interfaces do Edge não estão disponíveis ao nível do perfil, o campo Interface de origem (Source Interface) está definido como Automático (Auto). O Edge seleciona automaticamente uma interface com o campo “Anunciar” (Advertise) definido como a interface de origem.
7. No menu pendente Funções (Roles), selecione um dos seguintes:
  - EVENTO DE EDGE (EDGE EVENT)
  - EVENTO DE FIREWALL (FIREWALL EVENT)
  - EVENTO DE EDGE E FIREWALL (EDGE AND FIREWALL EVENT)
8. No menu pendente Nível Syslog (Syslog Level), selecione o nível de gravidade do Syslog que tem de ser configurado. Por exemplo, se estiver configurada a opção CRÍTICO (CRITICAL), o SD-WAN Edge enviará todos os eventos que forem definidos como crítico ou alerta ou emergência.
  
  Nota: Por predefinição, os registos de eventos de firewall são encaminhados com o nível de gravidade Syslog INFORMAÇÕES (INFO).
  Os níveis de gravidade permitidos do Syslog são:
  - EMERGÊNCIA (EMERGENCY)
  - ALERTA (ALERT)
  - CRÍTICO (CRITICAL)
  - ERRO (ERROR)
  - AVISO (WARNING)
  - NOTIFICAÇÃO (NOTICE)
  - INFORMAÇÕES (INFO)
  - DEPURAR (DEBUG)
9. Opcionalmente, na caixa de texto Etiqueta (Tag), introduza uma etiqueta para o syslog. A etiqueta do syslog pode ser utilizada para diferenciar os vários tipos de eventos no coletor Syslog. O comprimento máximo permitido é de 32 caracteres, delimitado por ponto final.
10. Ao configurar um coletor Syslog com a função EVENTO DE FIREWALL (FIREWALL EVENT) ou EVENTO DE EDGE E FIREWALL (EDGE AND FIREWALL EVENT), selecione a caixa de verificação Todos os segmentos (All Segments) se quiser que o coletor Syslog receba registos de firewall de todos os segmentos. Se a caixa de verificação não estiver selecionada, o coletor Syslog receberá registos de firewall apenas a partir do segmento específico em que o coletor está configurado.
  
  Nota: Quando a função for EVENTO DE EDGE (EDGE EVENT), o coletor Syslog configurado em qualquer segmento receberá, por predefinição, os registos de eventos de Edge.
Clique no botão + para adicionar outro coletor Syslog ou clique em Guardar alterações (Save Changes). O coletor syslog remoto está configurado no SD-WAN Orchestrator.

Nota: Pode configurar um máximo de dois coletores Syslog por segmento e 10 coletores Syslog por Edge. Quando o número de coletores configurados atingir o limite máximo permitido, o botão + será desativado.

Nota: Com base na função selecionada, o Edge exportará os registos correspondentes no nível de gravidade especificado para o coletor syslog remoto. Se quiser que os eventos locais gerados automaticamente pelo SD-WAN Orchestrator sejam recebidos no coletor Syslog, tem de configurar o Syslog ao nível do SD-WAN Orchestrator utilizando as propriedades do sistema log.syslog.backend e log.syslog.upload.

Para compreender o formato de uma mensagem Syslog para registos de firewall, consulte Formato de mensagem syslog para registos de firewall.

Como proceder a seguir

O SD-WAN Orchestrator permite-lhe ativar a funcionalidade Encaminhamento Syslog (Syslog Forwarding) ao nível do perfil e do Edge. Na página Firewall da configuração do perfil, ative o botão Encaminhamento Syslog (Syslog Forwarding) se pretender encaminhar registos de firewall originários do SD-WAN Edge de empresa para coletores Syslog configurados.

Nota: Por predefinição, o botão Encaminhamento Syslog (Syslog Forwarding) está disponível na página Firewall da configuração de perfil ou de Edge e está desativado.

Para obter mais informações sobre as definições da firewall ao nível do perfil, consulte Configurar a firewall para os perfis.