Onglet Syslog

L’onglet Syslog permet de configurer jusqu'à 4 profils d'envoi de traces vers des serveurs Syslog.

Afin de renforcer la sécurité des traces transmises, les serveurs Syslog doivent être configurés avec des algorithmes conformes au RGS.

Les Syslog sont au format UTF-8 et respectent le standard WELF. Le format WELF est une suite d'éléments, écrits sous la forme champ=valeur et séparés par des espaces. Les valeurs sont éventuellement délimitées par des guillemets doubles.

Une trace correspond à une ligne terminée par un retour chariot (CRLF).

Profils Syslog

État Active ou désactive le profil Syslog grâce à un double-clic.
Nom Affiche le nom du profil Syslog.

Détails

Cette zone permet de visualiser ou de modifier la configuration du profil Syslog sélectionné dans la grille de gauche.

Nom Nom attribué au profil Syslog.
Commentaire Ce champ permet de rédiger un commentaire libre.
Serveur Syslog Sélectionnez ou créez un objet machine correspondant au serveur Syslog. Il n'est pas possible de sélectionner un groupe.
Protocole Sélectionnez le protocole utilisé pour l'envoi des traces vers le serveur :
  • UDP (perte de messages possible - messages envoyés en clair),
  • TCP (fiable - messages envoyés en clair),
  • TLS (fiable - messages cryptés).

NOTE
Il est recommandé de sélectionner TLS.
Port Port utilisé par le serveur Syslog.
Autorité de certification Ce champ n'est actif que lorsque le protocole TLS a été choisi.
Indiquez l'autorité de certification (CA) ayant signé les certificat que présenteront le firewall et le serveur pour s'authentifier mutuellement.
Certificat serveur

Ce champ n'est actif que lorsque le protocole TLS a été choisi.
Sélectionnez le certificat que doit présenter le serveur Syslog pour s'authentifier auprès du firewall.

L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.
Certificat client

Ce champ n'est actif que lorsque le protocole TLS a été choisi.
Sélectionnez le certificat que doit présenter le firewall pour s'authentifier auprès du serveur Syslog.

L'icône indique les certificats dont la clé privée est protégée par le TPM. Pour plus d'informations sur le TPM, reportez-vous à la section Trusted Platform Module.

Assurez-vous que le serveur Syslog dispose bien du certificat client sélectionné. Vous pouvez exporter le certificat au format P12 dans Configuration > Objets > Certificats et PKI.
Format Choisissez le format Syslog à utiliser :
  • LEGACY (format limité à 1024 caractères par message Syslog),
  • LEGACY-LONG (pas de limite pour la longueur des messages),
  • RFC5424 (format respectant la RFC 5424).

Configuration avancée

Serveur de secours

Ce champ n'est actif que lorsque le protocole TLS ou TCP a été choisi.

Sélectionnez ou créez un objet machine correspondant au serveur Syslog de secours. Il n'est pas possible de sélectionner un groupe.
Port de secours

Ce champ n'est actif que lorsque le protocole TLS ou TCP a été choisi.

Port utilisé par le serveur Syslog de secours.
Catégorie (facility) Permet d'associer à un système applicatif les logs envoyés au serveur Syslog.
Sekoia Intake Key

Si vous disposez d'un abonnement pour envoyer vos données vers les serveurs sekoia.io, entrez la clé d'authentification que vous a fournie Sekoia. Cette clé se compose de 32 caractères.

Effacez la clé renseignée dans ce champ et validez la configuration pour désactiver ce service.

NOTE
Ce champ n'est affiché que lorsque le format syslog RFC 5424 et le protocole TLS ont été choisis.

Traces activées

Cette grille permet de sélectionner les traces devant être envoyées au serveur Syslog.

État Active ou désactive l'envoi du fichier de traces sélectionné. Double-cliquez pour changer l'état.
Nom Type de traces à envoyer (Alarme, Connexion, Web, Filtrage…).