配置 SIEM 集成设置
默认情况下,不使用 SIEM 集成。您可以启用和禁用 SIEM 集成,并配置相关设置(参见下表)。
SIEM 集成设置
设置 | 默认值 | 描述 |
通过 syslog 协议发送事件到远程 syslog 服务器 | 未应用 | 可以分别通过选择或清除该复选框来启用或禁用 SIEM 集成。 |
删除已被发送到远程 syslog 服务器的事件本地副本 | 未应用 | 可以通过选中或清除复选框来配置将日志发送到 SIEM 服务器后存储日志本地副本的设置。 |
事件格式 | 结构化数据 | 可以选择两种格式之一,应用程序在将事件发送到 syslog 服务器以便 SIEM 服务器能够更好进行识别之前,将事件转换为该格式。 |
连接协议 | TCP | 可以使用下拉列表来配置通过 UDP 或 TCP 协议与主 syslog 服务器和镜像 syslog 服务器的连接。 |
主 syslog 服务器连接设置 | IP 地址:127.0.0.1 端口:514 | 可以使用适当的字段来配置用于连接到主 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。 |
如果无法访问主服务器则使用镜像 syslog 服务器 | 未应用 | 可以使用复选框来启用或禁用镜像 syslog 服务器。 |
镜像 syslog 服务器连接设置 | IP 地址:127.0.0.1 端口:514 | 可以使用适当的字段来配置用于连接到镜像 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。 |
要配置 SIEM 集成设置:
- 在应用程序控制台树中,打开“日志和通知”节点的上下文菜单。
- 选择“属性”。
将打开“日志和通知设置”窗口。
- 选择“SIEM 集成”选项卡。
- 在“集成设置”部分中,选择“通过 syslog 协议发送事件到远程 syslog 服务器”复选框。
- 如果需要,在“集成设置”部分中,选中“删除已被发送到远程 syslog 服务器的事件本地副本”复选框。
“删除已被发送到远程 syslog 服务器的事件本地副本”复选框的状态不会影响保存安全日志事件的设置:应用程序永远不会自动删除安全日志事件。
- 在“事件格式”部分中,指定您要将应用程序事件转换成的格式,以便能够将它们发送到 SIEM 服务器。
默认情况下,应用程序将它们转换为结构化数据格式。
- 在“连接设置”部分中:
- 指定 SIEM 连接协议。
- 指定用于连接到主 syslog 服务器的设置。
只能指定 IPv4 格式的 IP 地址。
- 当无法发送事件到主 syslog 服务器时,如果想让应用程序使用其他连接设置,请选中“如果无法访问主服务器则使用镜像 syslog 服务器”复选框。
指定以下用于连接到镜像 syslog 服务器的设置:“地址”和“端口”。
如果已清除“如果无法访问主服务器则使用镜像 syslog 服务器”复选框,则无法编辑镜像 syslog 服务器的“地址”和“端口”字段。
只能指定 IPv4 格式的 IP 地址。
- 单击“确定”。
将应用已配置的 SIEM 集成设置。
