Data Domain - 設定 syslog 與 secure-syslog

Summary: 某些記錄訊息可從保護系統傳送至其他系統。DDOS 使用系統記錄將記錄訊息發佈至 遠端系統。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

設定系統記錄

保護系統會匯出下列功能。記錄檔的優先順序選擇器。

有關在第三方系統上管理選擇器和接收消息的資訊,請參閱供應商為接收系統提供的文檔。

  • *.notice - 按通知優先順序及更高優先順序發送所有消息。
  • *.alert - 以警報優先順序及更高優先順序發送所有消息(警報包含在 *.note 中)。
  • 克恩。- 發送所有內核消息(kern.info 日誌檔)。

 

可使用 log host 命令管理將日誌消息發送到另一個系統的過程。

檢視記錄檔傳輸組態

使用 log host show CLI 命令,以查看記錄檔傳輸是否已啟用,以及哪些主機接收記錄檔。


若要顯示組態,請輸入 log host show 命令。

範例

# log host show

遠端紀錄已啟用。
遠端記錄主機
紀錄伺服器

啟用和停用記錄訊息傳輸

您必須使用 CLI 命令來啟用或停用記錄訊息傳輸。

步驟

  1. 若要啟用將記錄訊息傳送到其他系統,請使用 log host enable 命令。
  2. 若要停用傳送記錄訊息至其他系統,請使用 log host disable 命令。

新增或移除接收器主機

您必須使用 CLI 命令來新增或移除接收器主機。

步驟

  1. 若要將系統新增至接收保護系統記錄訊息的清單,請使用該命令。
  2. 若要從接收系統記錄訊息的清單中移除系統,請使用以下命令: # log host del


以下命令將名為日誌伺服器的系統添加到接收日誌消息的主機。

# log host add log-server

以下命令從接收日誌消息的主機中刪除系統命名的日誌伺服器。

# log host del log-server

以下命令禁止發送日誌並清除目標主機名清單。

# log host reset

 

配置安全 syslog 以進行加密的記錄轉送

注意:Secure-syslog 自 DDOS 7.12 起提供。

DDOS 提供加密紀錄轉送至遠端主機的功能。使用 CLI 設定此功能。

關於此工作
Secure-syslog 支援匿名模式,僅使用伺服器端憑證認證。這需要匯入:

範例步驟

後續步驟

The syslog server requires a CA certificate, host certificate, and host key. The following example shows a sample server-side

configuration for secure-syslog:

global(

DefaultNetstreamDriver="gtls"

DefaultNetstreamDriverCAFile="/etc/rsyslog.d/cert/cacert.pem"

DefaultNetstreamDriverCertFile="/etc/rsyslog.d/cert/ser_cert.pem"

DefaultNetstreamDriverKeyFile="/etc/rsyslog.d/cert/serkey.pem"

)

$ModLoad imtcp # TCP listener

$InputTCPServerStreamDriverMode 1 # run driver in TLS-only mode

$InputTCPServerStreamDriverAuthMode anon

$InputTCPServerRun 10514 # start up listener at port 10514

 

  • DD 系統上的 syslog 伺服器 CA 憑證
  • 系統記錄伺服器系統
    上的主機憑證和主機金鑰 預設的安全 syslog 伺服器連接埠為 10514。DDOS 支援多個系統記錄伺服器。設定多個 syslog 伺服器時,它們會使用在 DD 系統上設定的相同安全 syslog 伺服器連接埠。
  • 連線至安全系統記錄伺服器失敗
  • 安全 syslog 伺服器 CA 憑證似乎無效
    完成下列步驟以設定 secure-syslog。

    1. 執行 log secure-syslog host add <host> 命令,將安全 syslog 主機新增至系統。

      # log secure-syslog host add 10.198.177.6

      未啟用安全遠端主機記錄。以「log secure-syslog host enable」啟用。

      主機「10.198.177.6」已新增。

      •主機必須與創建主機證書期間生成的 CN 匹配。

      •還要確保 DD 可以解析該名稱。

    2. 執行 adminaccess certificate import ca application secure-syslog 命令,以匯入安全系統記錄伺服器的 CA 憑證。

      # adminaccess certificate import ca application secure-syslog

      輸入憑證,然後按下 Control-D,或按下 Control-C 以取消。

      MIIDgTCCAmmgAwIBAgIJAIsFi6huU/QSMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV BAYTAlVTMQswCQYDVQQIDAJZWTELMAkGA1UEBwwCSlMxHDAaBgNVBAoME0RlZmF1 bHQgQ29tcGFueSBMdGQxEDAOBgNVBAMMBzEuMi4zLjQwHhcNMjMwMzI4MDc0MzAz WhcNMjYwMzI3MDc0MzAzWjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCWVkxCzAJ BgNVBAcMAkpTMRwwGgYDVQQKDBNEZWZhdWx0IENvbXBhbnkgTHRkMRAwDgYDVQQD DAcxLjIuMy40MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArQIWAlhv KqSY/iaXS5O6vxJ9HHSgts7OWI/uhjO9yA/may2yHBvjxmLheg1ixseOjpKxvLfY Of9ufLGKWpbVIJGoXkG6x+zde1hwbctK4EhN0XTJ/xoUVVu/F2DqeeM1B6bt+26Q GR2xx3kJuFMBxtDvcrql/yXPH2BNPHyJJ6CIa1hwbx5iwxJJNUkLe/pjKBhRNyS0 T4trEwGgsNOVSyYGCkAo3BWPyijBagatPQFs36SrOVc3AcFu3ie9q67NEJDxOwfk

	iFHvT8zYVRkDNYYmN7wt76TGK4G8HuldyZ19z+0fa6m6pMKbuOht19PtiP3MBXWh e+jZYuzrmPVRHwIDAQABo1AwTjAdBgNVHQ4EFgQUXLSU4KHIiNlnXAKJdCexeA9X ROwwHwYDVR0jBBgwFoAUXLSU4KHIiNlnXAKJdCexeA9XROwwDAYDVR0TBAUwAwEB /zANBgkqhkiG9w0BAQsFAAOCAQEAUt0kgFbSfegkskrVDv4DwKKWlIkxgBJEVsvH y+T16KszhedvUOUIM2quv6J1E1BqmrUlQSYb8RbJqOO6vWpruxVd4RYBSRIJzQT0 p3fGV3M90oi/bhmSt7v/Q7DpzzJgxDVSuKNXMf4WgPY212pubmUMfJFkDkK0t/pG 5OnLL9ChsAvZSX5mHDr7wbojO+GJJNAeLvLSBVtnNyB1e1xj0dpheIYyVP329sPN C79uP+HdXma0ujOQgqpnpwAYY0faB6tcb/mkn/SyL30Fx01HaXRwdF6CivoakOgw Hkrf88XDMPXBK4kstEqGoO0RRFPL0tAQN4hu+hQpRmr03nzhyQ==

      匯入的 CA 憑證的 SHA1 指紋為:

      AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

      是否要匯入此憑證?(是|否)[是]:是為應用程式導入 CA 證書:「secure-syslog」

    3. 執行 adminaccess certificate show imported-ca application secure-syslog 以驗證是否已導入證書。

      # adminaccess certificate show imported-ca application secure-syslog

	Subject Type Application Valid From Valid Until

	 Fingerprint

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	1.2.3.4 imported-ca secure-syslog Tue Mar 28 00:43:03 2023 Fri Mar 27 00:43:03

	2026 AD:61:28:84:71:EB:5B:7F:E7:9A:EC:3B:16:25:9B:99:28:9E:33:58

	------- ----------- ------------- ------------------------

	------------------------ -----------------------------------------------------------

	Certificate signing request (CSR) exists at /ddvar/certificates/

	CertificateSigningRequest.csr

    4. 執行 log secure-syslog host enable 命令以啟用安全 syslog 記錄轉送。

      # log secure-syslog host enable

      已啟用安全 syslog 遠端主機記錄。

    5. 執行 log secure-syslog host show 確認 Secure-syslog 記錄轉送已啟用的命令。

      # log secure-syslog host show

      已啟用安全 syslog 遠端記錄。

      遠端紀錄主機
      10.198.177.6

    6. 執行 log secure-syslog server-port show 檢查連接埠以進行安全 syslog 記錄轉送的命令。

      # log secure-syslog server-port show

      伺服器連接埠 10514

    7. 如有必要,請執行 log secure-syslog server-port set port-number 命令以更改埠號。

Additional Information

其他系統記錄命令

記錄主機 新增<主機> 新增遠端紀錄記錄主機
紀錄主機 del <主機> 移除遠端紀錄記錄主機
紀錄主機 停用遠端主機紀錄記錄 啟用遠端主機

紀錄記錄 記錄主機重置 重置 (預設) 所有遠端紀錄記錄主機
紀錄主機顯示 顯示遠端紀錄記錄主機
紀錄伺服器連接埠重置 重置系統日誌埠號
紀錄伺服器連接埠設定 <連接埠編號> 設定 syslog 連接埠號
記錄伺服器連接埠 show syslog 服務連接埠

 
服務 通訊協定 連接埠 可設定連接埠 預設 說明
系統記錄 UDP 514 已停用 系統用來傳送系統記錄訊息 (若已啟用)。使用日誌主機秀顯示目標主機和服務狀態。
安全系統記錄 TCP 10514 已停用  系統用來傳送加密的系統記錄訊息 (若已啟用)。使用log secure-syslog host show 顯示目的地主機和服務狀態。使用 
# log secure-syslog server-port set port-number
以設置目標主機埠。配置的埠對於配置的所有目標主機都是相同的。

Affected Products

Data Domain
Article Properties
Article Number: 000205689
Article Type: How To
Last Modified: 08 Feb 2025
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.