|
Sophos XG/S要將log外拋到第三方log server其實很簡單,
只要在 CONFIGURE / System services / Log settings 中將第三方log server的IP, port等資訊加入。
(一般log server使用的port是514。)
然後再選擇需要外拋log類別即可。
不過在透過以上設定後,或許你會發現為什麼有時候這樣的設定可以外拋成功,
但在另外一台設定卻又不行??
其實上述的設定還有一個重點,
那就是Sophos防火牆的log事件在Severity level中是屬於information(資訊)層級,
Severity必需是information(資訊)或更高的debug(偵錯),Firewall的log才會外拋到第三方logserver.
若選擇了其它層級,你會發現你要的 防火牆log完全不會拋出去。
另外,在外拋的偵錯上,我們可以在advanced shell中,輸入以下指令(通訊port為514)來進行觀察。
tcpdump -nie any port 514
以我的LAB為例,我的第三方Logserver IP是10.1.1.136。
在tcpdump的觀察中,就會看到XG本身IP 127.0.0.1對10.1.1.136的514封包。
若將severity改為notification,則看不到對10.1.1.136的任何封包。
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2024-11-28, 11:42
《分享》外拋第三方log sever
