Version 9.4
Télécharger le PDF
Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.
Ce sujet a-t-il été utile ?
Comment pouvons-nous nous améliorer ?
*Ce champ est obligatoire. Veuillez nous indiquer comment nous pouvons mieux vous aider.
Exigences relatives aux produits
- Systèmes Reveal(x) Enterprise et ExtraHop Performance
Envoi de notifications système à un serveur syslog distant
L'option d'exportation syslog permet d'envoyer les alertes d'un système ExtraHop à tout système distant recevant des données syslog pour un archivage à long terme et une corrélation avec d'autres sources.
Un seul serveur syslog distant peut être configuré pour chaque système ExtraHop.
- Connectez-vous aux paramètres d'administration du système ExtraHop via https://<extrahop-hostname-or-IP-address>/admin.
- Dans la section Paramètres réseau, cliquez sur Notifications.
- Dans le champ Destination, saisissez l'adresse IP du serveur syslog distant.
- Dans le menu déroulant Protocole, sélectionnez TCP ou UDP. Cette option spécifie le protocole par lequel les informations seront envoyées à votre serveur syslog distant.
- Dans le champ Port, saisissez le numéro de port de votre serveur syslog distant. Par défaut, cette valeur est définie sur 514.
-
Cliquez sur Tester les paramètres pour vérifier que vos paramètres syslog sont corrects. Si les paramètres sont corrects, vous devriez voir une entrée dans le fichier journal syslog sur le serveur syslog similaire à ce qui suit :
Jul 27 21:54:56 extrahop name="ExtraHop Test" event_id=1
- Cliquez sur Enregistrer.
- Facultatif :
Modifier le format des messages syslog.
Par défaut, les messages syslog ne sont pas conformes à la RFC 3164 ou à la RFC 5424. Toutefois, vous pouvez formater les messages syslog de manière à ce qu'ils soient conformes en modifiant la configuration en cours d'exécution.
- Cliquez sur Admin.
- Cliquez sur Running Config (Unsaved Changes).
- Cliquez sur Edit Config.
-
Ajoutez une entrée sous syslog_notification où la clé est rfc_compliant_format et la valeur rfc5424 ou rfc3164.
La section syslog_notification doit ressembler au code suivant :
"syslog_notification": { "syslog_destination": "192.168.0.0", "syslog_ipproto": "udp", "syslog_port": 514, "rfc_compliant_format": "rfc5424" } - Cliquez sur Mettre à jour.
- Cliquez sur Terminé.
- Facultatif :
Modifier le fuseau horaire référencé dans les horodatages syslog.
Par défaut, les horodatages syslog font référence à l'heure UTC. Cependant, vous pouvez modifier les horodatages pour qu'ils fassent référence à l'heure du système ExtraHop en modifiant la configuration en cours d'exécution.
- Cliquez sur Admin.
- Cliquez sur Running Config (Unsaved Changes) (Configuration en cours d'exécution (modifications non enregistrées)).
- Cliquez sur Edit Config.
-
Ajoutez une entrée sous syslog_notification où la clé est syslog_use_localtime et la valeur true.
La section syslog_notification doit ressembler au code suivant :
"syslog_notification": { "syslog_destination": "192.168.0.0", "syslog_ipproto": "udp", "syslog_port": 514, "syslog_use_localtime": true } - Cliquez sur Mettre à jour.
- Cliquez sur Terminé.
Que faire ensuite
Une fois que vous avez confirmé que vos nouveaux paramètres fonctionnent comme prévu, conservez vos modifications de configuration pendant les événements de redémarrage et d'arrêt du système en enregistrant le fichier Running Config.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?