在企業網路中,SD-WAN Orchestrator 可用來將源自企業 SD-WAN EdgesSD-WAN Orchestrator 繫結事件和防火牆記錄,以原生 Syslog 格式收集到一或多個集中式遠端 Syslog 收集器 (伺服器)。若要讓 Syslog 收集器從企業中已設定 Edge 接收 SD-WAN Orchestrator 繫結事件和防火牆記錄,請在設定檔層級上執行此程序的步驟,以設定 SD-WAN Orchestrator 中每個區段的 Syslog 收集器詳細資料。

必要條件

  • 確定已為 SD-WAN Edge (此為產生 SD-WAN Orchestrator 繫結事件之處) 設定雲端虛擬私人網路 (分支到分支 VPN 設定),以建立 SD-WAN Edge 與 Syslog 收集器之間的路徑。如需詳細資訊,請參閱設定設定檔的雲端 VPN

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles)
    組態設定檔 (Configuration Profiles) 頁面隨即出現。
  2. 選取要設定 Syslog 設定的設定檔,然後按一下裝置 (Device) 資料行下的圖示。
    所選設定檔的 [裝置設定 (Device Settings)] 頁面隨即出現。
  3. 設定區段 (Configure Segment) 下拉式功能表中,選取設定檔區段以設定 Syslog 設定。依預設會選取全域區段 [一般] (Global Segment [Regular])
  4. 移至 Syslog 設定 (Syslog Settings) 區域,然後設定下列詳細資料。
    1. 設施代碼 (Facility Code) 下拉式功能表中選取一個 Syslog 標準值,而此值對應於您 Syslog 伺服器如何使用設施欄位對所有來自 SD-WAN Edges 的事件進行訊息管理。允許的值介於 local0local7 之間。
      備註: 無論是否在設定檔中啟用 Syslog 設定,都只能在 全域區段 (Global Segment) 設定 設施代碼 (Facility Code) 欄位。其他區段將繼承全域區段中的設施代碼值。
    2. 選取已啟用 Syslog (Syslog Enabled) 核取方塊。
    3. IP 文字方塊中,輸入 Syslog 收集器的目的地 IP 位址。
    4. 通訊協定 (Protocol) 下拉式功能表中,選取 TCPUDP 作為 Syslog 通訊協定。
    5. 連接埠 (Port) 文字方塊中,輸入 Syslog 收集器的連接埠號碼。預設值為 514。
    6. 由於 Edge 介面在設定檔層級無法使用,來源介面 (Source Interface) 欄位會設定為自動 (Auto)。Edge 會自動選取已將 [通告 (Advertise)] 欄位設定為來源介面的介面。
    7. 角色 (Role) 下拉式功能表中,選取下列其中一項:
      • EDGE 事件
      • 防火牆事件
      • EDGE 和防火牆事件
    8. Syslog 層級 (Syslog Level) 下拉式功能表中,選取需要設定的 Syslog 嚴重性層級。例如,如果已設定嚴重 (CRITICAL),則 SD-WAN Edge 會傳送所有設定為 [嚴重] 或 [警示] 或 [緊急] 的事件。
      備註: 依預設,會使用 Syslog 嚴重性層級 資訊 (INFO) 來轉送防火牆事件記錄。

      允許的 Syslog 嚴重性層級為:

      • 緊急 (EMERGENCY)
      • 警示 (ALERT)
      • 嚴重 (CRITICAL)
      • 錯誤 (ERROR)
      • 警告 (WARNING)
      • 注意 (NOTICE)
      • 資訊 (INFO)
      • 偵錯 (DEBUG)
    9. 或者,在標籤 (Tag) 文字方塊中,輸入 Syslog 的標籤。Syslog 標籤可在 Syslog 收集器上用來區分不同類型的事件。允許的字元長度上限為 32,以句號分隔。
    10. 使用防火牆事件 (FIREWALL EVENT)EDGE 和防火牆事件 (EDGE AND FIREWALL EVENT) 角色設定 Syslog 收集器時,如果要 Syslog 收集器接收來自所有區段的防火牆記錄,請選取所有區段 (All Segments) 核取方塊。如果停用此核取方塊,Syslog 收集器將僅從已設定收集器的特定區段接收防火牆記錄。
      備註: 當角色為 EDGE 事件 (EDGE EVENT) 時,任何區段中設定的 Syslog 收集器依預設會接收 Edge 事件記錄。
  5. 按一下 + 按鈕以新增另一個 Syslog 收集器,或按一下儲存變更 (Save Changes)。遠端 Syslog 收集器會設定於 SD-WAN Orchestrator 中。
    備註: 每個區段最多可設定兩個 Syslog 收集器,每個 Edge 可設定 10 個 Syslog 收集器。當已設定的收集器數目達到允許的限制上限時,就會停用 + 按鈕。
    備註: 根據選取的角色,Edge 會將指定嚴重性層級的對應記錄匯出至遠端 Syslog 收集器。如果您想要在 Syslog 收集器上接收 SD-WAN Orchestrator 自動產生的本機事件,則必須使用 log.syslog.backendlog.syslog.upload 系統內容在 SD-WAN Orchestrator 層級上設定 Syslog。
    若要瞭解防火牆記錄的 Syslog 訊息格式,請參閱 防火牆記錄的 Syslog 訊息格式

下一步

SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級啟用 Syslog 轉送功能。在設定檔組態的 防火牆 (Firewall) 頁面上,如果您想要將源自企業 SD-WAN Edges 的防火牆記錄轉送至已設定的 Syslog 收集器,請啟用 Syslog 轉送 (Syslog Forwarding) 按鈕。
備註: 依預設, Syslog 轉送 (Syslog Forwarding) 按鈕會在設定檔或 Edge 組態的 防火牆 (Firewall) 頁面上顯示並停用。

如需設定檔層級上防火牆設定的詳細資訊,請參閱設定設定檔的防火牆