启用审计日志的远程记录
建议更改
PDF
您可以在“配置审计日志”对话框中选中“启用远程日志记录”复选框来启用远程审计日志记录。您可以使用此功能将审计日志传输到远程 Syslog 服务器。这将使您能够在空间受限的情况下管理审计日志。
审计日志的远程记录提供了防篡改备份,以防Active IQ Unified Manager服务器上的审计日志文件被篡改。
-
在*配置审计日志*对话框中,选中*启用远程日志记录*复选框。
显示用于配置远程日志记录的附加字段。
-
输入您想要连接的远程服务器的 HOSTNAME 和 PORT。
-
在*服务器 CA 证书*字段中,单击*浏览*以选择目标服务器的公共证书。
证书应上传至
.pem`格式。此证书应从目标 Syslog 服务器获取,并且不应过期。证书应包含所选的“主机名”作为 `SubjectAltName(SAN)属性。 -
输入以下字段的值:CHARSET、CONNECTION TIMEOUT、RECONNECTION DELAY。
这些字段的值应以毫秒为单位。
-
在 FORMAT 和 PROTOCOL 字段中选择所需的 Syslog 格式和 TLS 协议版本。
-
如果目标 Syslog 服务器需要基于证书的身份验证,请选中“启用客户端身份验证”复选框。
在保存审计日志配置之前,您需要下载客户端身份验证证书并将其上传到 Syslog 服务器,否则连接将失败。根据 Syslog 服务器的类型,您可能需要创建客户端身份验证证书的哈希值。
示例:syslog-ng 需要使用以下命令创建证书的 <hash>
openssl x509 -noout -hash -in cert.pem,然后您应该将客户端身份验证证书符号链接到以 <hash> .0 命名的文件。 -
单击“保存”以配置与服务器的连接并启用远程日志记录。
您将被重定向到审计日志页面。
*连接超时*值会影响配置。如果配置响应的时间比定义值长,则可能由于连接错误导致配置失败。要建立成功的连接,请增加*连接超时*值,然后再次尝试配置。