在企業網路中,SASE Orchestrator 可用來將源自企業 SD-WAN EdgeSASE Orchestrator 繫結事件和防火牆記錄,以原生 Syslog 格式收集到一或多個集中式遠端 Syslog 收集器 (伺服器)。若要讓 Syslog 收集器從企業中已設定 Edge 接收 SASE Orchestrator 繫結事件和防火牆記錄,請在設定檔層級上執行此程序的步驟,以設定 SASE Orchestrator 中每個區段的 Syslog 收集器詳細資料。

必要條件

  • 確定已為 SD-WAN Edge (此為產生 SASE Orchestrator 繫結事件之處) 設定雲端虛擬私人網路 (分支到分支 VPN 設定),以建立 SD-WAN Edge 與 Syslog 收集器之間的路徑。如需詳細資訊,請參閱為設定檔的雲端 VPN 進行設定

程序

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > 設定檔 (Profiles)設定檔 (Profiles) 頁面即會顯示現有的設定檔。
  2. 若要為設定檔進行設定,請按一下設定檔的連結或按一下設定檔的裝置 (Device) 資料行中的檢視 (View) 連結。裝置 (Device) 索引標籤中會顯示組態選項。
  3. 設定區段 (Configure Segment) 下拉式功能表中,選取設定檔區段以設定 Syslog 設定。依預設會選取全域區段 [一般] (Global Segment [Regular])
  4. 遙測 (Telemetry) 下,移至 Syslog 區域並設定下列詳細資料。
    1. 設施 (Facility) 下拉式功能表中選取一個 Syslog 標準值,而此值對應於您 Syslog 伺服器如何使用設施欄位對所有來自 SD-WAN Edge 的事件進行訊息管理。允許的值介於 local0local7 之間。
      備註: 無論設定檔的 Syslog 設定為何,都只能在 全域區段 (Global Segment) 設定 設施 (Facility) 欄位。其他區段將繼承全域區段中的設施代碼值。
    2. 選取啟用 Syslog (Enable Syslog) 核取方塊。
    3. 按一下 + 新增 (+ ADD) 按鈕,然後設定下列詳細資料:
      欄位 說明
      IP 輸入 Syslog 收集器的目的地 IP 位址。
      通訊協定 (Protocol) 從下拉式功能表中選取 TCPUDP 作為 Syslog 通訊協定。
      連接埠 (Port) 輸入 Syslog 收集器的連接埠號碼。預設值為 514。
      來源介面 (Source Interface) 由於 Edge 介面在設定檔層級無法使用,來源介面 (Source Interface) 欄位會設定為自動 (Auto)。Edge 會自動選取已將 [通告 (Advertise)] 欄位設定為來源介面的介面。
      角色 選取下列其中一項:
      • EDGE 事件
      • 防火牆事件
      • EDGE 和防火牆事件
      Syslog 層級 選取需要設定的 Syslog 嚴重性層級。例如,如果已設定嚴重 (CRITICAL),則 SD-WAN Edge 會傳送所有設定為 [嚴重] 或 [警示] 或 [緊急] 的事件。
      備註: 依預設,會使用 Syslog 嚴重性層級 資訊 (INFO) 來轉送防火牆事件記錄。

      允許的 Syslog 嚴重性層級為:

      • 緊急 (EMERGENCY)
      • 警示 (ALERT)
      • 嚴重 (CRITICAL)
      • 錯誤 (ERROR)
      • 警告 (WARNING)
      • 注意 (NOTICE)
      • 資訊 (INFO)
      • 偵錯 (DEBUG)
      標籤 (選用) 輸入 Syslog 的標籤。Syslog 標籤可在 Syslog 收集器上用來區分不同類型的事件。允許的字元長度上限為 32,以句號分隔。
      所有區段 使用防火牆事件 (FIREWALL EVENT)EDGE 和防火牆事件 (EDGE AND FIREWALL EVENT) 角色設定 Syslog 收集器時,如果要 Syslog 收集器接收來自所有區段的防火牆記錄,請選取所有區段 (All Segments) 核取方塊。如果未選取此核取方塊,Syslog 收集器將僅從已設定收集器的特定區段接收防火牆記錄。
      備註: 當角色為 EDGE 事件 (EDGE EVENT) 時,任何區段中設定的 Syslog 收集器依預設會接收 Edge 事件記錄。
  5. 按一下 + 新增 (+ ADD) 按鈕以新增另一個 Syslog 收集器,或按一下儲存變更 (Save Changes)。遠端 Syslog 收集器會設定於 SASE Orchestrator 中。
    備註: 每個區段最多可設定兩個 Syslog 收集器,每個 Edge 可設定 10 個 Syslog 收集器。當已設定的收集器數目達到允許的限制上限時,就會停用 + 按鈕。
    備註: 根據選取的角色,Edge 會將指定嚴重性層級的對應記錄匯出至遠端 Syslog 收集器。如果您想要在 Syslog 收集器上接收 SASE Orchestrator 自動產生的本機事件,則必須使用 log.syslog.backendlog.syslog.upload 系統內容在 SASE Orchestrator 層級上設定 Syslog。
    若要瞭解防火牆記錄的 Syslog 訊息格式,請參閱 防火牆記錄的 Syslog 訊息格式

下一步

SASE Orchestrator 可讓您在設定檔和 Edge 層級啟用 Syslog 轉送功能。在設定檔組態的 防火牆 (Firewall) 頁面上,如果您想要將源自企業 SD-WAN Edge 的防火牆記錄轉送至已設定的 Syslog 收集器,請啟用 Syslog 轉送 (Syslog Forwarding) 按鈕。
備註: 依預設, Syslog 轉送 (Syslog Forwarding) 按鈕會在設定檔或 Edge 組態的 防火牆 (Firewall) 頁面上顯示並停用。

如需設定檔層級上防火牆設定的詳細資訊,請參閱進行設定檔防火牆的設定

安全 Syslog 轉送支援

5.0 版支援安全 Syslog 轉送功能。確保 Syslog 轉送安全性是聯合認證所需要的,也是符合大型企業 Edge 強化需求所需要的。安全 Syslog 轉送程序從支援 TLS 的 Syslog 伺服器開始。目前,SASE Orchestrator 允許將記錄轉送到支援 TLS 的 Syslog 伺服器。5.0 版可讓 SASE Orchestrator 控制 Syslog 轉送,並執行預設安全檢查,例如,階層式 PKI 驗證、CRL 驗證等。此外,它還允許自訂轉送安全性,其作法是定義支援的加密套件,不允許自我簽署憑證等。

安全 Syslog 轉送的另一個層面是,如何收集或整合撤銷資訊。SASE Orchestrator 現在可讓操作員輸入撤銷資訊,並可手動或透過外部程序擷取這些資訊。SASE Orchestrator 將取得該 CRL 資訊,並在建立所有連線之前,使用該資訊來驗證轉送的安全性。此外,SASE Orchestrator 還會定期擷取該 CRL 資訊,並在驗證連線時使用。

系統內容

安全 Syslog 轉送從設定 SASE Orchestrator Syslog 轉送參數開始,以允許它連線到 Syslog 伺服器。為此,SASE Orchestrator 接受 JSON 格式的字串,以完成以下組態參數,這是在 [系統內容 (System Properties)] 中設定的。

可以設定以下系統內容,如下列清單和下圖所示:
  • log.syslog.backend:後端服務 Syslog 整合組態
  • log.syslog.portal:入口網站服務 Syslog 整合組態
  • log.syslog.upload:上傳服務 Syslog 整合組態

在設定系統內容時,可以使用以下安全 Syslog 組態 JSON 字串。

  • config <Object>
    • enable: <true> <false> 啟用或停用 Syslog 轉送。請注意,即使啟用了安全轉送,此參數還是會控制整個 Syslog 轉送。
    • options <Object>
      • host: <string> 執行 Syslog 的主機,預設值為 localhost。
      • port: <number> 執行 Syslog 之主機上的連接埠,預設值為 syslogd 的預設連接埠。
      • protocol: <string> tcp4、udp4、tls4。注意:tls4 使用預設設定來啟用安全 Syslog 轉送。若要進行設定,請參閱下列 secureOptions 物件
      • pid: <number> 作為記錄訊息來源之程序的 PID (預設值:process.pid)。
      • localhost: <string> 代表記錄訊息來源的主機 (預設值:localhost)。
      • app_name: <string> 應用程式的名稱 (node-portal、node-backend 等) (預設值:process.title)。
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> (選用) 在驗證時跳過 SAN 檢查,亦即,如果伺服器的認證沒有自我簽署憑證的 SAN,則可以使用該字串。預設值:false
      • fetchCRLEnabled: <boolean> 如果不是 false,則 SASE Orchestrator 會擷取內嵌在所提供 CA 中的 CRL 資訊。預設值:true
      • rejectUnauthorized: <boolean> 如果不是 false,則 SASE Orchestrator 會針對所提供的 CA 清單,套用階層式 PKI 驗證。預設值:true。(主要是在測試時需要用到。在生產時,請勿使用該字串。)
      • caCertificate: <string> SASE Orchestrator 可以接受字串中含有 PEM 格式的憑證,以選擇性覆寫受信任的 CA 憑證 (可以採用適合 openssl 的串連形式,來包含多個 CRL)。預設設定是信任由 Mozilla 管理的已知 CA。此選項可用來允許接受由實體控管的本機 CA。例如,對於擁有自己 CA 和 PKI 的內部部署客戶。
      • crlPem:<string> SASE Orchestrator 可以接受字串中含有 PEM 格式的 CRL (可以採用適合 openssl 的串連形式,來包含多個 CRL)。此選項可用來允許接受本機保留的 CRL。如果 fetchCRLEnabled 設為 true,則 SASE Orchestrator 會將該資訊與所擷取的 CRL 結合在一起。在大多數情況下,當憑證中沒有 CRL 分佈點資訊時,才需用到此字串。
      • crlDistributionPoints: <Array> SASE Orchestrator 可以選擇性地接受「http」通訊協定中的陣列 CRL 分佈點 URI。SASE Orchestrator 不接受任何「https」URI
      • crlPollIntervalMinutes: <number> 如果 fetchCRLEnabled 未設定為 false,則 SASE Orchestrator 會每 12 小時輪詢一次 CRL。不過,此參數可以選擇性覆寫此預設行為,並根據所提供的數字來更新 CRL。

設定安全 Syslog 轉送範例

SASE Orchestrator 使用下列系統內容選項來安排所說明的參數,以啟用安全 Syslog 轉送。
備註: 請根據信任鏈的結構,修改以下範例。

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

若要設定 Syslog 轉送,請參閱下列 JSON 物件以作為範例 (下圖)。

如果設定成功,SASE Orchestrator 會產生以下記錄,並開始轉送。

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] Remote Log has been successfully configured for the following options {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

FIPS 模式的安全 Syslog 轉送

針對安全 Syslog 轉送啟用 FIPS 模式時,如果 Syslog 伺服器未提供以下加密套件,則會拒絕連線:「TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256」。此外,如果 Syslog 伺服器憑證沒有用來設定「ServerAuth」屬性的擴充金鑰使用方法欄位,則會拒絕連線,這與 FIPS 模式無關。

持續擷取 CRL 資訊

如果 fetchCRLEnabled 未設定為 false,則 SASE Orchestrator 會透過後端工作機制,每 12 小時定期更新 CRL 資訊。所擷取的 CRL 資訊會儲存在標題為 log.syslog.lastFetchedCRL。{serverName} 的對應系統內容中。每次嘗試連線到 Syslog 伺服器時,都會檢查該 CRL 資訊。如果在擷取期間發生錯誤,則 SASE Orchestrator 會產生操作員事件。

如果 fetchCRLEnabled 設為 true,則 CRL 狀態後面會緊跟著三個額外的系統內容 (log.syslog.lastFetchedCRL.backend、log.syslog.lastFetchedCRL.portal、log.syslog.lastFetchedCRL.upload),如下圖所示。此資訊會顯示 CRL 和 CRL 資訊的上次更新時間。

記錄

如果「fetchCRLEnabled」選項設為 true,則 SASE Orchestrator 會嘗試擷取 CRL。如果發生錯誤,SASE Orchestrator 會產生事件,並在 [操作員事件 (Operator Events)] 頁面中引發該事件。