在企業網路中,SD-WAN Orchestrator 可用來將源自企業 SD-WAN EdgeSD-WAN Orchestrator 繫結事件和防火牆記錄,以原生 Syslog 格式收集到一或多個集中式遠端 Syslog 收集器 (伺服器)。若要讓 Syslog 收集器從企業中已設定 Edge 接收 SD-WAN Orchestrator 繫結事件和防火牆記錄,請在設定檔層級上執行此程序的步驟,以設定 SD-WAN Orchestrator 中每個區段的 Syslog 收集器詳細資料。

必要條件

  • 確定已為 SD-WAN Edge (此為產生 SD-WAN Orchestrator 繫結事件之處) 設定雲端虛擬私人網路 (分支到分支 VPN 設定),以建立 SD-WAN Edge 與 Syslog 收集器之間的路徑。如需詳細資訊,請參閱設定設定檔的雲端 VPN

程序

  1. SD-WAN Orchestrator,移至設定 (Configure) > 設定檔 (Profiles)
    組態設定檔 (Configuration Profiles) 頁面隨即出現。
  2. 選取要設定 Syslog 設定的設定檔,然後按一下裝置 (Device) 資料行下的圖示。
    所選設定檔的 [裝置設定 (Device Settings)] 頁面隨即出現。
  3. 設定區段 (Configure Segment) 下拉式功能表中,選取設定檔區段以設定 Syslog 設定。依預設會選取全域區段 [一般] (Global Segment [Regular])
  4. 移至 Syslog 設定 (Syslog Settings) 區域,然後設定下列詳細資料。
    1. 設施代碼 (Facility Code) 下拉式功能表中選取一個 Syslog 標準值,而此值對應於您 Syslog 伺服器如何使用設施欄位對所有來自 SD-WAN Edge 的事件進行訊息管理。允許的值介於 local0local7 之間。
      備註: 無論是否在設定檔中啟用 Syslog 設定,都只能在 全域區段 (Global Segment) 設定 設施代碼 (Facility Code) 欄位。其他區段將繼承全域區段中的設施代碼值。
    2. 選取已啟用 Syslog (Syslog Enabled) 核取方塊。
    3. IP 文字方塊中,輸入 Syslog 收集器的目的地 IP 位址。
    4. 通訊協定 (Protocol) 下拉式功能表中,選取 TCPUDP 作為 Syslog 通訊協定。
    5. 連接埠 (Port) 文字方塊中,輸入 Syslog 收集器的連接埠號碼。預設值為 514。
    6. 由於 Edge 介面在設定檔層級無法使用,來源介面 (Source Interface) 欄位會設定為自動 (Auto)。Edge 會自動選取已將 [通告 (Advertise)] 欄位設定為來源介面的介面。
    7. 角色 (Role) 下拉式功能表中,選取下列其中一項:
      • EDGE 事件
      • 防火牆事件
      • EDGE 和防火牆事件
    8. Syslog 層級 (Syslog Level) 下拉式功能表中,選取需要設定的 Syslog 嚴重性層級。例如,如果已設定嚴重 (CRITICAL),則 SD-WAN Edge 會傳送所有設定為 [嚴重] 或 [警示] 或 [緊急] 的事件。
      備註: 依預設,會使用 Syslog 嚴重性層級 資訊 (INFO) 來轉送防火牆事件記錄。

      允許的 Syslog 嚴重性層級為:

      • 緊急 (EMERGENCY)
      • 警示 (ALERT)
      • 嚴重 (CRITICAL)
      • 錯誤 (ERROR)
      • 警告 (WARNING)
      • 注意 (NOTICE)
      • 資訊 (INFO)
      • 偵錯 (DEBUG)
    9. 或者,在標籤 (Tag) 文字方塊中,輸入 Syslog 的標籤。Syslog 標籤可在 Syslog 收集器上用來區分不同類型的事件。允許的字元長度上限為 32,以句號分隔。
    10. 使用防火牆事件 (FIREWALL EVENT)EDGE 和防火牆事件 (EDGE AND FIREWALL EVENT) 角色設定 Syslog 收集器時,如果要 Syslog 收集器接收來自所有區段的防火牆記錄,請選取所有區段 (All Segments) 核取方塊。如果未選取此核取方塊,Syslog 收集器將僅從已設定收集器的特定區段接收防火牆記錄。
      備註: 當角色為 EDGE 事件 (EDGE EVENT) 時,任何區段中設定的 Syslog 收集器依預設會接收 Edge 事件記錄。
  5. 按一下 + 按鈕以新增另一個 Syslog 收集器,或按一下儲存變更 (Save Changes)。遠端 Syslog 收集器會設定於 SD-WAN Orchestrator 中。
    備註: 每個區段最多可設定兩個 Syslog 收集器,每個 Edge 可設定 10 個 Syslog 收集器。當已設定的收集器數目達到允許的限制上限時,就會停用 + 按鈕。
    備註: 根據選取的角色,Edge 會將指定嚴重性層級的對應記錄匯出至遠端 Syslog 收集器。如果您想要在 Syslog 收集器上接收 SD-WAN Orchestrator 自動產生的本機事件,則必須使用 log.syslog.backendlog.syslog.upload 系統內容在 SD-WAN Orchestrator 層級上設定 Syslog。
    若要瞭解防火牆記錄的 Syslog 訊息格式,請參閱 防火牆記錄的 Syslog 訊息格式

下一步

SD-WAN Orchestrator 可讓您在設定檔和 Edge 層級啟用 Syslog 轉送功能。在設定檔組態的 防火牆 (Firewall) 頁面上,如果您想要將源自企業 SD-WAN Edge 的防火牆記錄轉送至已設定的 Syslog 收集器,請啟用 Syslog 轉送 (Syslog Forwarding) 按鈕。
備註: 依預設, Syslog 轉送 (Syslog Forwarding) 按鈕會在設定檔或 Edge 組態的 防火牆 (Firewall) 頁面上顯示並停用。

如需設定檔層級上防火牆設定的詳細資訊,請參閱設定設定檔的防火牆

安全 Syslog 轉送支援

5.0 版支援安全 Syslog 轉送功能。確保 Syslog 轉送安全性是聯合認證所需要的,也是符合大型企業 Edge 強化需求所需要的。安全 Syslog 轉送程序從支援 TLS 的 Syslog 伺服器開始。目前,SD-WAN Orchestrator 允許將記錄轉送到支援 TLS 的 Syslog 伺服器。5.0 版可讓 SD-WAN Orchestrator 控制 Syslog 轉送,並執行預設安全檢查,例如,階層式 PKI 驗證、CRL 驗證等。此外,它還允許自訂轉送安全性,其作法是定義支援的加密套件,不允許自我簽署憑證等。

安全 Syslog 轉送的另一個層面是,如何收集或整合撤銷資訊。SD-WAN Orchestrator 現在可讓操作員輸入撤銷資訊,並可手動或透過外部程序擷取這些資訊。SD-WAN Orchestrator 將取得該 CRL 資訊,並在建立所有連線之前,使用該資訊來驗證轉送的安全性。此外,SD-WAN Orchestrator 還會定期擷取該 CRL 資訊,並在驗證連線時使用。

系統內容

安全 Syslog 轉送從設定 SD-WAN Orchestrator Syslog 轉送參數開始,以允許它連線到 Syslog 伺服器。為此,SD-WAN Orchestrator 接受 JSON 格式的字串,以完成以下組態參數,這是在 [系統內容 (System Properties)] 中設定的。

可以設定以下系統內容,如下列清單和下圖所示:
  • dendrochronological:後端服務 Syslog 整合組態
  • log.syslog.portal:入口網站服務 Syslog 整合組態
  • log.syslog.upload:上傳服務 Syslog 整合組態

在設定系統內容時,可以使用以下安全 Syslog 組態 JSON 字串。

  • config <Object>
    • enable: <true> <false> 啟用或停用 Syslog 轉送。請注意,即使啟用了安全轉送,此參數還是會控制整個 Syslog 轉送。
    • options <Object>
      • host: <string> 執行 Syslog 的主機,預設值為 localhost。
      • port: <number> 執行 Syslog 之主機上的連接埠,預設值為 syslogd 的預設連接埠。
      • protocol: <string> tcp4、udp4、tls4。注意:tls4 使用預設設定來啟用安全 Syslog 轉送。若要進行設定,請參閱以下 secureOptions 物件
      • pid: <number> 作為記錄訊息來源之程序的 PID (預設值:process.pid)。
      • localhost: <string> 代表記錄訊息來源的主機 (預設值:localhost)。
      • app_name: <string> 應用程式的名稱 (node-portal、node-backend 等) (預設值:process.title)。
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> (選用) 在驗證時跳過 SAN 檢查,亦即,如果伺服器的認證沒有自我簽署憑證的 SAN,則可以使用該字串。預設值:false
      • fetchCRLEnabled: <boolean> 如果不是 false,則 SD-WAN Orchestrator 會擷取內嵌在所提供 CA 中的 CRL 資訊。預設值:true
      • rejectUnauthorized: <boolean> 如果不是 false,則 SD-WAN Orchestrator 會針對所提供的 CA 清單,套用階層式 PKI 驗證。預設值:true。(主要是在測試時需要用到。在生產時,請勿使用該字串。)
      • caCertificate: <string> SD-WAN Orchestrator 可以接受字串中含有 PEM 格式的憑證,以選擇性覆寫受信任的 CA 憑證 (可以採用適合 openssl 的串連形式,來包含多個 CRL)。預設設定是信任由 Mozilla 管理的已知 CA。此選項可用來允許接受由實體控管的本機 CA。例如,對於擁有自己 CA 和 PKI 的內部部署客戶。
      • crlPem:<string> SD-WAN Orchestrator 可以接受字串中含有 PEM 格式的 CRL (可以採用適合 openssl 的串連形式,來包含多個 CRL)。此選項可用來允許接受本機保留的 CRL。如果 fetchCRLEnabled 設為 true,則 SD-WAN Orchestrator 會將該資訊與所擷取的 CRL 結合在一起。在大多數情況下,當憑證中沒有 CRL 分佈點資訊時,才需用到此字串。
      • crlDistributionPoints: <Array> SD-WAN Orchestrator 可以選擇性地接受「http」通訊協定中的陣列 CRL 分佈點 URI。SD-WAN Orchestrator 不接受任何「https」URI
      • crlPollIntervalMinutes: <number> 如果 fetchCRLEnabled 未設為 false,則 SD-WAN Orchestrator 每 12 小時會輪詢一次 CRL。不過,此參數可以選擇性覆寫此預設行為,並根據所提供的數字來更新 CRL。

設定安全 Syslog 轉送範例

SD-WAN Orchestrator 使用下列系統內容選項來安排所說明的參數,以啟用安全 Syslog 轉送。
備註: 請根據信任鏈的結構,修改以下範例。

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

若要設定 Syslog 轉送,請參閱下列 JSON 物件以作為範例 (下圖)。

如果設定成功,SD-WAN Orchestrator 會產生以下記錄,並開始轉送。

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

FIPS 模式的安全 Syslog 轉送

針對安全 Syslog 轉送啟用 FIPS 模式時,如果 Syslog 伺服器未提供以下加密套件,則會拒絕連線:「TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256」。此外,如果 Syslog 伺服器憑證沒有用來設定「ServerAuth」屬性的擴充金鑰使用方法欄位,則會拒絕連線,這與 FIPS 模式無關。

持續擷取 CRL 資訊

如果 fetchCRLEnabled 未設定為 false,則 SD-WAN Orchestrator 會透過後端工作機制,每 12 小時定期更新 CRL 資訊。所擷取的 CRL 資訊會儲存在標題為 log.syslog.lastFetchedCRL。{serverName} 的對應系統內容中。每次嘗試連線到 Syslog 伺服器時,都會檢查該 CRL 資訊。如果在擷取期間發生錯誤,則 SD-WAN Orchestrator 會產生操作員事件。

如果 fetchCRLEnabled 設為 true,則 CRL 狀態後面會緊跟著三個額外的系統內容 (log.syslog.lastFetchedCRL.backend、log.syslog.lastFetchedCRL.portal、log.syslog.lastFetchedCRL.upload),如下圖所示。此資訊會顯示 CRL 和 CRL 資訊的上次更新時間。

記錄

如果「fetchCRLEnabled」選項設為 true,則 SD-WAN Orchestrator 會嘗試擷取 CRL。如果發生錯誤,則 SD-WAN Orchestrator 會引發一個事件,如下圖所示。