启用审核日志的远程日志记录
建议更改
PDF
您可以在配置审核日志对话框中选中 * 启用远程日志记录 * 复选框以启用远程审核日志记录。您可以使用此功能将审核日志传输到远程系统日志服务器。这样,当存在空间限制时,您可以管理审核日志。
远程记录审核日志可提供防篡改备份,以防 Active IQ Unified Manager 服务器上的审核日志文件被篡改。
-
在 * 配置审核日志 * 对话框中,选中 * 启用远程日志记录 * 复选框。
此时将显示用于配置远程日志记录的其他字段。
-
输入要连接到的远程服务器的 * HOSTNAME* 和 * 端口 * 。
-
在 * 服务器 CA 证书 * 字段中,单击 * 浏览 * 以选择目标服务器的公有证书。
此证书应上传到中
.pem格式。此证书应从目标系统日志服务器获取,并且不应过期。此证书应包含选定的"`hostname`"作为的一部分SubjectAltName(SAN)属性。 -
输入以下字段的值: * 连接超时 * , * 重新连接延迟 * 。
这些字段的值应以毫秒为单位。
-
在 * 格式 * 和 * 协议 * 字段中选择所需的系统日志格式和 TLS 协议版本。
-
如果目标系统日志服务器需要基于证书的身份验证,请选中 * 启用客户端身份验证 * 复选框。
在保存审核日志配置之前,您需要下载客户端身份验证证书并将其上传到系统日志服务器,否则连接将失败。根据系统日志服务器的类型,您可能需要为客户端身份验证证书创建哈希。
示例:syslog-ng要求使用命令创建证书的<hash>
openssl x509 -noout -hash -in cert.pem、然后、您应以符号方式将客户端身份验证证书链接到以<hash>.0命名的文件。 -
单击 * 保存 * 以配置与服务器的连接并启用远程日志记录。
您将重定向到 " 审核日志 " 页面。