Домен даних - Налаштування системного журналу та безпечного системного журналу

Summary: Деякі повідомлення журналу можуть надсилатися із системи захисту до інших систем. DDOS використовує системний журнал для публікації повідомлень журналу в дистанційні системи.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Налаштування системного журналу

Система захисту експортує наступні селектори пріоритету facility.priority для файлів журналів.

Для отримання відомостей про керування селекторами та отримання повідомлень у сторонній системі зверніться до документації до системи-одержувача, наданої постачальником.

  • *.notice - Відправляє всі повідомлення з пріоритетом повідомлення і вище.
  • *.alert - Відправляє всі повідомлення з пріоритетом оповіщення і вище (оповіщення включені в *.notice).
  • Керн.* - Надсилає всі повідомлення ядра (kern.info файли журналу).

 

Об'єкт log host Команди керують процесом надсилання повідомлень журналу до іншої системи.

Перегляд конфігурації передачі файлу журналу

За допомогою кнопки log host show CLI для перегляду того, чи включена передача файлів журналу і які хости отримують файли журналів.

Кроки
Щоб відобразити конфігурацію, введіть log host show команда.

Приклад

# log host show

Увімкнено віддалене ведення журналу.
Віддалене логування хостів
Log-сервер

Увімкнення та вимкнення передавання повідомлень журналу

Ви повинні використовувати команди CLI, щоб увімкнути або вимкнути передавання повідомлень журналу.

Кроки

  1. Щоб увімкнути надсилання повідомлень журналу до інших систем, використовуйте команду log host enable команда.
  2. Щоб вимкнути надсилання повідомлень журналу до інших систем, скористайтеся функцією log host disable команда.

Додавання або видалення хоста приймача

Ви повинні використовувати команди CLI, щоб додати або видалити хост приймача.

Кроки

  1. Щоб додати систему до списку, який отримує повідомлення системного журналу захисту, скористайтеся командою.
  2. Щоб видалити систему зі списку, яка отримує повідомлення системного журналу, скористайтеся командою: # log host del.

Приклад
Наступна команда додає систему з іменем log-server до хостів, які отримують повідомлення журналів.

# log host add log-server

Наступна команда видаляє систему з іменем log-server з хостів, які отримують повідомлення журналів.

# log host del log-server

Наведена нижче команда вимикає надсилання журналів і очищає список адресатів хостів.

# log host reset

 

Налаштування secure-syslog для пересилання зашифрованого журналу

Примітка: Secure-syslog доступний починаючи з DDOS 7.12.

DDOS надає можливість шифрувати пересилання журналів на віддалений хост. Використовуйте інтерфейс командного рядка для налаштування цієї функціональності.

Про це завдання
Secure-syslog підтримує анонімний режим, який використовує лише автентифікацію сертифіката на стороні сервера. Для цього потрібно імпортувати:

Приклади кроків

Подальші дії

The syslog server requires a CA certificate, host certificate, and host key. The following example shows a sample server-side

configuration for secure-syslog:

global(

DefaultNetstreamDriver="gtls"

DefaultNetstreamDriverCAFile="/etc/rsyslog.d/cert/cacert.pem"

DefaultNetstreamDriverCertFile="/etc/rsyslog.d/cert/ser_cert.pem"

DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/cert/serkey.pem"

)

$ModLoad imtcp # TCP listener

$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode

$InputTCPServerStreamDriverAuthMode anon

$InputTCPServerRun 10514 # start up listener at port 10514

 

  • Сертифікат ЦС сервера syslog на системі DD
  • Сертифікат хоста та ключ вузла в системі
    сервера syslog Типовим портом сервера secure-syslog є 10514. DDOS підтримує кілька серверів системного журналу. Коли налаштовано кілька серверів syslog, вони використовують один і той самий порт сервера secure-syslog, налаштований у системі DD.
  • Не вдається підключитися до сервера secure-syslog
  • Сертифікат CA сервера secure-syslog здається недійсним
    Виконайте наведені нижче кроки, щоб налаштувати secure-syslog.

    1. Запустіть команду log secure-syslog host add <host> для додавання хоста secure-syslog до системи.

      # log secure-syslog host add 10.198.177.6

      Безпечне ведення журналу віддаленого хоста не ввімкнено. Увімкніть за допомогою 'log secure-syslog host enabled'.

      Хост "10.198.177.6" додано.

      •Хост має відповідати генерації CN під час створення сертифіката хоста.

      •Також переконайтеся, що DD може розпізнати це ім'я.

    2. Запустіть команду adminaccess certificate import ca application secure-syslog для імпорту сертифіката ЦС для сервера secure-syslog.

      # adminaccess certificate import ca application secure-syslog

      Введіть сертифікат і натисніть Control-D або натиснітьControl-C, щоб скасувати.

      MIIDgTCCAmmgAwIBAgIJAIsFi6huU/QSMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV BAYTAlVTMQswCQYDVQQIDAJZWTELMAkGA1UEBwwCSlMxHDAaBgNVBAoME0RlZmF1 bHQgQ29tcGFueSBMdGQxEDAOBgNVBAMMBzEuMi4zLjQwHhcNMjMwMzI4MDc0MzAz WhcNMjYwMzI3MDc0MzAzWjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCWVkxCzAJ BgNVBAcMAkpTMRwwGgYDVQQKDBNEZWZhdWx0IENvbXBhbnkgTHRkMRAwDgYDVQQD DAcxLjIuMy40MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArQIWAlhv KqSY/iaXS5O6vxJ9HHSgts7OWI/uhjO9yA/may2yHBvjxmLheg1ixseOjpKxvLfY Of9ufLGKWpbVIJGoXkG6x+zde1hwbctK4EhN0XTJ/xoUVVu/F2DqeeM1B6bt+26Q GR2xx3kJuFMBxtDvcrql/yXPH2BNPHyJJ6CIa1hwbx5iwxJJNUkLe/pjKBhRNyS0 T4trEwGgsNOVSyYGCkAo3BWPyijBagatPQFs36SrOVc3AcFu3ie9q67NEJDxOwfk

	iFHvT8zYVRkDNYYmN7wt76TGK4G8HuldyZ19z+0fa6m6pMKbuOht19PtiP3MBXWh e+jZYuzrmPVRHwIDAQABo1AwTjAdBgNVHQ4EFgQUXLSU4KHIiNlnXAKJdCexeA9X ROwwHwYDVR0jBBgwFoAUXLSU4KHIiNlnXAKJdCexeA9XROwwDAYDVR0TBAUwAwEB /zANBgkqhkiG9w0BAQsFAAOCAQEAUt0kgFbSfegkskrVDv4DwKKWlIkxgBJEVsvH y+T16KszhedvUOUIM2quv6J1E1BqmrUlQSYb8RbJqOO6vWpruxVd4RYBSRIJzQT0 p3fGV3M90oi/bhmSt7v/Q7DpzzJgxDVSuKNXMf4WgPY212pubmUMfJFkDkK0t/pG 5OnLL9ChsAvZSX5mHDr7wbojO+GJJNAeLvLSBVtnNyB1e1xj0dpheIYyVP329sPN C79uP+HdXma0ujOQgqpnpwAYY0faB6tcb/mkn/SyL30Fx01HaXRwdF6CivoakOgw Hkrf88XDMPXBK4kstEqGoO0RRFPL0tAQN4hu+hQpRmr03nzhyQ==

      Відбиток SHA1 для імпортованого сертифіката ЦС:

      AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

      Бажаєте імпортувати цей сертифікат? (так|ні) [так]: так сертифікат ЦС імпортовано для додатків: "secure-syslog".

    3. Запустіть команду adminaccess certificate show imported-ca application secure-syslog , щоб переконатися, що сертифікат імпортовано.

      # adminaccess certificate show imported-ca application secure-syslog

	Subject Type Application Valid From Valid Until

	 Fingerprint

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	1.2.3.4 imported-ca secure-syslog Tue Mar 28 00:43:03 2023 Fri Mar 27 00:43:03

	2026 AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	Certificate signing request (CSR) exists at /ddvar/certificates/

	CertificateSigningRequest.csr

    4. Запустіть команду log secure-syslog host enable для ввімкнення пересилання журналу secure-syslog.

      # log secure-syslog host enable

      Увімкнено віддалене ведення журналу хоста Secure-syslog.

    5. Запустіть команду log secure-syslog host show Увімкнено команду для перевірки пересилання журналу Secure-syslog.

      # log secure-syslog host show

      Увімкнено віддалене ведення журналу Secure-syslog.

      Хости віддаленого ведення журналів
      10.198.177.6

    6. Запустіть команду log secure-syslog server-port show команда для перевірки порту для пересилання журналу secure-syslog.

      # log secure-syslog server-port show

      Порт сервера 10514

    7. Якщо необхідно, запустіть log secure-syslog server-port set port-number команда для зміни номера порту.

Additional Information

Інші команди системного журналу

вузол журналу додати <вузол> Додати вузол віддаленого журналу
Хост дель <хост> Видалити хост віддаленого
журналювання вимкнути Вимкнути ведення журналу для віддалених
хостів увімкнути Увімкнути ведення журналу для віддалених хостів
  Скидання хоста журналу Скидання (за замовчуванням) всіх хостів віддаленого ведення журналу
Показати віддалене ведення журналу хости
скидання сервера-порту Скидання номера порту
системного журналу log-порту встановленого <порту> порту Встановлює номер
порту syslog log сервер-порт показати Показати порт служби syslog

 
Служба Протокол Порт Налаштовується порт За промовчанням Опис
Системний журнал УДП 514 Ні Вимкнуто Використовується системою для надсилання повідомлень системного журналу, якщо увімкнено. Використовуйте журнальне відображення хостів для відображення хостів призначення та статусу служби.
Захищений системний журнал ПТС 10514 Так Вимкнуто  Використовується системою для надсилання зашифрованих повідомлень системного журналу, якщо увімкнено. Використовуйте відображення хоста log secure-syslog для відображення хоста призначення та статусу служби. Використання 
# log secure-syslog server-port set port-number
, щоб встановити порт хоста призначення. Налаштований порт однаковий для всіх налаштованих вузлів призначення.

Affected Products

Data Domain
Article Properties
Article Number: 000205689
Article Type: How To
Last Modified: 08 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.