Настройка экспорта журналов

enabled

Включение или отключение правила:

• on;

• off

description

Описание правила

server-type

Тип сервера:

• ssh;

• ftp;

• syslog.

При выборе типа сервера доступны следующие дополнительные настройки:

• port — порт сервера, на который следует отправлять данные.

• login — имя учетной записи для подключения к удаленному серверу (не применяется к методу отправки syslog).

• password — пароль учетной записи для подключения к удаленному серверу (не применяется к методу отправки syslog).

• path — каталог на сервере для копирования файлов журналов (не применяется к методу отправки syslog).

• passive — пассивный режим ftp.

• transport — только для типа серверов syslog. TCP или UDP.

• protocol — только для типа серверов syslog. RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.

• severity — только для типа серверов syslog. Критичность. Возможны следующие значения: alert, critical, error, warning, notice, info.

• facility — только для типа серверов syslog. Объект. Возможны следующие значения: user-level, system-daemons, security-auth, log-audit, log-alert, local- (0-7).

• hostname — только для типа серверов syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN).

• app-name — только для типа серверов syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog

logs

Журналы для экспорта:

• dns — журнал DNS;

• events — журнал событий;

• webaccess — журнал веб-доступа;

• traffic — журнал трафика;

• userid — журнал UserID.

Для каждого журнала можно выбрать синтаксис выгрузки:

• cef; 

• cef-compact;

• json;

• cee-json;

• off.