EventSentry kann einen Unix-/Linux-Syslog-Server emulieren, der es ihm ermöglicht, Syslog-Nachrichten von Syslog-fähigen Hosts und Geräten zu empfangen. Der Syslog-Dämon unterstützt UDP-, TCP- und TCP+TLS-Verbindungen, und Sie können eingehende Syslog-Nachrichten entweder im Ereignisprotokoll der Anwendung protokollieren oder in einer Datenbank speichern.
Um den Syslog-Dämon zu aktivieren, aktivieren Sie eines der Kontrollkästchen im Abschnitt Syslog-Dämonen auf der Registerkarte "General Syslog Settings" und konfigurieren Sie entweder die Datenbank- oder die Ereignisprotokollfunktion.
Syslog-Daemon
Der Syslog-Dämon kann UDP- und TCP-Verbindungen von entfernten Syslog-fähigen Geräten annehmen. Um eines der beiden Protokolle zu aktivieren, markieren Sie das entsprechende Kontrollkästchen. Der Standardport für das Syslog-Protokoll ist 514, kann aber zur Verwendung eines benutzerdefinierten Ports angepasst werden.
TCP + TLS
Erstellt automatisch eine selbstsignierte Zertifikatsdatei, wenn die Funktion zum ersten Mal aktiviert wird, um die TLS-Kommunikation zu ermöglichen. Erstellt die folgenden Dateien:
•%SYSTEMROOT%\system32\eventsentry\secure\es_network_svc.pfx
•%SYSTEMROOT%\system32\eventsentry\secure\es_network_svc.pem (öffentliches Zertifikat zur Verteilung)
Die öffentliche PEM-Datei kann auf entfernte Syslog-Clients kopiert werden, die diese Datei benötigen, um der selbstsignierten Zertifikatsdatei zu vertrauen.
Schwellenwert-Einstellungen
Um die Anzahl der Syslog-Meldungen, die vom Syslog-Daemon verarbeitet werden, zu begrenzen, ändern Sie die maximale Anzahl von Meldungen und den anwendbaren Zeitraum. Der Syslog-Dämon verwirft eingehende Pakete, wenn die Anzahl die unter Maximale Anzahl zulässiger Nachrichten für den Konfigurationszeitraum angegebene Anzahl überschreitet.
Autorisierte IP-Adressen / Netzwerke
Für erhöhte Sicherheit kann der Syslog-Dämon so konfiguriert werden, dass er nur Pakete von bestimmten IP-Adressen und/oder Netzwerken akzeptiert. Hostnamen sind in der Liste nicht erlaubt, es können nur IP-Adressen angegeben werden.
IP-Adressen können mit oder ohne Angabe der Subnetzbits eingegeben werden. Wenn Sie z.B. nur zwei Server mit den IP-Adressen 184.23.22.11 und 184.23.22.43 hinzufügen möchten, fügen Sie einfach diese beiden IP-Adressen der Liste hinzu.
Um ein ganzes Subnetz zu autorisieren, zum Beispiel die IP-Adressen 184.23.22.1 - 184.23.22.254, fügen Sie 184.23.22.0/24 hinzu. Um nur den Bereich von 184.23.22.128 - 184.23.22.22.254 zuzulassen, geben Sie dann 184.23.22.128/25 an.
Kompatibilität
Der EventSentry Syslog-Dämon funktioniert mit jedem Unix-Syslog-Dämon (jeder Linux-, Solaris-, OSX-, ...) und Netzwerkgeräten, die das Syslog RFC 3164-Protokoll unterstützen.
