简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

启用审核日志的远程日志记录

提供者

您可以在配置审核日志对话框中选中 * 启用远程日志记录 * 复选框以启用远程审核日志记录。您可以使用此功能将审核日志传输到远程系统日志服务器。这样,当存在空间限制时,您可以管理审核日志。

远程记录审核日志可提供防篡改备份,以防 Active IQ Unified Manager 服务器上的审核日志文件被篡改。

步骤
  1. 在 * 配置审核日志 * 对话框中,选中 * 启用远程日志记录 * 复选框。

    此时将显示用于配置远程日志记录的其他字段。

  2. 输入要连接到的远程服务器的 * HOSTNAME* 和 * 端口 * 。

  3. 在 * 服务器 CA 证书 * 字段中,单击 * 浏览 * 以选择目标服务器的公有证书。

    此证书应以 ` .pem` 格式上传。此证书应从目标系统日志服务器获取,并且不应过期。此证书应包含`subjectAltName` ( SAN )属性中的选定 "` hostname `S" 。

  4. 输入以下字段的值: * 连接超时 * , * 重新连接延迟 * 。

    这些字段的值应以毫秒为单位。

  5. 在 * 格式 * 和 * 协议 * 字段中选择所需的系统日志格式和 TLS 协议版本。

  6. 如果目标系统日志服务器需要基于证书的身份验证,请选中 * 启用客户端身份验证 * 复选框。

    在保存审核日志配置之前,您需要下载客户端身份验证证书并将其上传到系统日志服务器,否则连接将失败。根据系统日志服务器的类型,您可能需要为客户端身份验证证书创建哈希。

    示例: syslog-ng 要求使用命令 openssl x509 -noout -hash -in cert.pem 创建证书的 <hash> ,然后您应以符号方式将客户端身份验证证书链接到以 <hash> .0 命名的文件。

  7. 单击 * 保存 * 以配置与服务器的连接并启用远程日志记录。

    您将重定向到 " 审核日志 " 页面。