Demo Starten

Senden Sie Systembenachrichtigungen an einen Remote-Syslog-Server

Mit der Syslog-Exportoption können Sie Warnmeldungen von einem ExtraHop-System an jedes Remotesystem senden, das Syslog-Eingaben zur Langzeitarchivierung und Korrelation mit anderen Quellen empfängt.

Für jedes ExtraHop-System kann nur ein Remote-Syslog-Server konfiguriert werden.
  1. Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
  2. In der Netzwerk-Einstellungen Abschnitt, klicken Benachrichtigungen.
  3. Geben Sie im Feld Ziel die IP-Adresse des Remote-Syslog-Servers ein.
  4. Wählen Sie im Dropdownmenü Protokoll die Option TCP oder UDP. Diese Option gibt das Protokoll an, über das die Informationen an Ihren Remote-Syslog-Server gesendet werden.
  5. Geben Sie im Feld Port die Portnummer für Ihren Remote-Syslog-Server ein. Standardmäßig ist dieser Wert auf 514 festgelegt.
  6. klicken Einstellungen testen um zu überprüfen, ob Ihre Syslog-Einstellungen korrekt sind. Wenn die Einstellungen korrekt sind, sollten Sie in der Syslog-Protokolldatei auf dem Syslog-Server einen Eintrag sehen, der dem folgenden ähnelt: 
    Jul 27 21:54:56 extrahop name="ExtraHop Test" event_id=1
  7. klicken Speichern.
  8. Optional: Ändern Sie das Format von Syslog-Meldungen.
    Standardmäßig sind Syslog-Meldungen nicht mit RFC 3164 oder RFC 5424 kompatibel. Sie können Syslog-Meldungen jedoch so formatieren, dass sie konform sind, indem Sie die laufende Konfiguration ändern.
    1. klicken Admin.
    2. klicken Konfiguration ausführen (nicht gespeicherte Änderungen).
    3. klicken Konfiguration bearbeiten.
    4. Füge einen Eintrag hinzu unter syslog_notification wo der Schlüssel ist rfc_compliant_format und der Wert ist entweder rfc5424 oder rfc3164.
      Die syslog_notification Der Abschnitt sollte dem folgenden Code ähneln:
          "syslog_notification": {
        "syslog_destination": "192.168.0.0",
        "syslog_ipproto": "udp",
        "syslog_port": 514,
        "rfc_compliant_format": "rfc5424"
    }
    5. klicken Aktualisiere.
    6. klicken Erledigt.
  9. Optional: Ändern Sie die Zeitzone, auf die in Syslog-Zeitstempeln verwiesen wird.
    Standardmäßig verweisen Syslog-Zeitstempel auf die UTC-Zeit. Sie können die Zeitstempel jedoch so ändern, dass sie auf die ExtraHop-Systemzeit verweisen, indem Sie die laufende Konfiguration ändern.
    1. klicken Admin.
    2. klicken Konfiguration ausführen (nicht gespeicherte Änderungen).
    3. klicken Konfiguration bearbeiten.
    4. Füge einen Eintrag hinzu unter syslog_notification wo der Schlüssel ist syslog_use_localtime und der Wert ist true.
      Die syslog_notification Der Abschnitt sollte dem folgenden Code ähneln:
          "syslog_notification": {
        "syslog_destination": "192.168.0.0",
        "syslog_ipproto": "udp",
        "syslog_port": 514,
        "syslog_use_localtime": true
    }
    5. klicken Aktualisiere.
    6. klicken Erledigt.

Nächste Maßnahme

Nachdem Sie sich vergewissert haben, dass Ihre neuen Einstellungen erwartungsgemäß funktionieren, können Sie Ihre Konfigurationsänderungen bei Systemneustarts und Systemabschaltungen beibehalten, indem Sie die Running Config-Datei speichern.
Published 2023-11-07