Onglet « Syslog »

L’onglet Syslog permet de configurer jusqu'à 4 profils d'envoi de traces vers des serveurs Syslog.

Vous pouvez notamment envoyer les traces au serveur Stormshield Visibility Center (SVC), la solution de supervision de Stormshield, au format Syslog. Reportez-vous au Guide d'administration SVC disponible sur l'espace client MyStormshield.

Les syslogs sont au format UTF-8 et respectent le standard WELF. Le format WELF est une suite d'éléments, écrites sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.

Une trace correspond à une ligne terminée par un retour chariot (CRLF).

Grille de profils syslogs

Le tableau présentant les profils se compose de 2 colonnes :

Etat

Permet, par un double-clic d’activer ou de désactiver le profil.

Profil

Affiche le nom du profil Syslog

Configuration d’un profil

Détails

Nom

Nom attribué au profil Syslog.

Commentaire

Ce champ permet de rédiger un commentaire libre.

Serveur Syslog

Sélectionnez ou créez un objet machine correspondant au serveur Syslog. Il n'est pas possible de sélectionner un groupe.

Protocole

Sélectionnez le protocole utilisé pour l'envoi des traces vers le serveur :

  • UDP (perte de messages possible - messages envoyés en clair),
  • TCP (fiable - messages envoyés en clair),
  • TLS (fiable - messages cryptés).
 
Autorité de certification

Ce champ n'est actif que lorsque le protocole TLS a été choisi.

 

Indiquez l'autorité de certification (CA) ayant signé les certificat que présenteront le firewall et le serveur pour s'authentifier mutuellement.

Certificat serveur

Ce champ n'est actif que lorsque le protocole TLS a été choisi.

 

Sélectionnez le certificat que doit présenter le serveur Syslog pour s'authentifier auprès du firewall.

Certificat client

Ce champ n'est actif que lorsque le protocole TLS a été choisi.

 

Sélectionnez le certificat que doit présenter le firewall pour s'authentifier auprès du serveur Syslog.

Format

Choisissez le format Syslog à utiliser :

  • LEGACY (format limité à 1024 caractères par message Syslog),
  • LEGACY-LONG (pas de limite pour la longueur des messages),
  • RFC5424 (format respectant la RFC 5424).

Configuration avancée

Port Choisissez un objet correspondant au port de communication entre le firewall et le serveur Syslog. La valeur proposée par défaut est syslog (port 514).
Serveur de secours

Ce champ n'est actif que lorsque le protocole sélectionné est TCP ou TLS.

 

Il est dans ce cas possible de préciser un serveur vers lequel sont envoyés les messages Syslog en cas d'indisponibilité du serveur nominal. 10 minutes après avoir basculé ses flux vers le serveur de secours, le firewall tente à nouveau de joindre le serveur nominal. En cas d'échec, le firewall continue d'envoyer ses flux vers le serveur de secours tout en réessayant régulièrement de joindre le serveur nominal.

Port de secours

Ce champ n'est actif que lorsque le protocole sélectionné est TCP ou TLS.

 

Il s'agit du port d'écoute du serveur Syslog de secours

Catégorie (facility) Numéro ajouté au début d'une ligne de log. Il peut être utilisé pour différencier plusieurs firewalls lorsqu'ils envoient leurs traces vers un même serveur Syslog.

Traces activées

Cette grille permet de sélectionner le type de traces devant être envoyées au serveur Syslog.

Etat

Permet d’activer l'envoi du fichier de traces sélectionné.

Log

Type de traces à envoyer (Alarme, Connexion, Web, Filtrage…).