Sie können Ereignisprotokollaufzeichnungen entweder über das UDP- oder TCP-Protokoll an entfernte Unix/Linux-Syslog-Server senden. Ereignisprotokollaufzeichnungen können in einer Vielzahl von Formaten gesendet werden, einschließlich Snare, Graylog, CEF und anderen.
Hostname
Die IP-Adresse oder der Hostname des entfernten Syslog-Servers.
Anschluss
Der Port, auf dem der Remote-Syslog-Server auf eingehende Anforderungen lauscht, standardmäßig 514.
Protokoll
Das zu verwendende Protokoll, entweder UDP oder TCP. Die meisten Hosts verwenden das UDP-Protokoll.
TLS verwenden
TLS-Verschlüsselung verwenden, wenn vom entfernten Syslog-Server unterstützt, erfordert TCP.
Format
Das Format, in dem Ereignisprotokollaufzeichnungen gesendet werden. Das "EventSentry"-Format ist unten dargestellt.
Direkt (ohne Collector):
hostname: optional prefix[timestamp-eventnumber]ID=eventid:eventlog:eventsource:eventcategory:severity:eventuser:eventmessage:binarydata
Indirekt (mit Collector):
hostname: optional prefix[timestamp-eventnumber]ID=eventid:eventcomputer:eventlog:eventsource:eventcategory:severity:eventuser:eventmessage
Event-Kategorie, Event-Benutzer und Binärdaten sind nur enthalten, wenn sie im Event-Datensatz vorhanden sind. Carriage Returns im Ereignisprotokolldatensatz werden automatisch entfernt.
Weitere unterstützte Formate sind Snare, RFC 5424, Graylog (GELF), CEF, Nagios Log Server sowie ein benutzerdefiniertes JSON-Format.
Kritikalität (nur Snare-Format)
Wenn das "Snare"-Format gewählt wird, konfigurieren Sie eine Kritikalität.
Präfix
Sie können jeder Syslog-Nachricht, die von EventSentry versendet wird, einen Textstring voranstellen lassen. Geben Sie die Zeichenfolge einfach in das Feld Präfix ein.
Begrenzer
Standardmäßig werden alle Felder aus dem Ereignisprotokoll mit einem Doppelpunkt (:) verkettet, aber es kann ein anderes Trennzeichen angegeben werden.
Protokolltext in UTF8 konvertieren
Konvertiert die Ereignisprotokollnachricht in das UTF8-Format.
Einschließen von Ereignis-Binärdaten
Schließt Ereignis-Binärdaten, falls vorhanden, in die Syslog-Nachricht ein.
Strukturierte Daten einbeziehen (nur RFC 5424)
Enthält Schlüsselereignisfelder als strukturierte Daten zusätzlich zur Syslog-Meldung.
komprimieren
Komprimiert Daten, nur Unterstützung für das GELF-Format über UDP
Testen Sie
Senden einer Syslog-UDP-Nachricht an den entfernten Host
|
Die meisten Syslog-Dämonen auf Unix/Linux-Servern akzeptieren standardmäßig keine entfernten Syslog-Pakete. Bitte lesen Sie die entsprechenden Man Pages, wenn Sie nicht wissen, wie Sie diese Funktion aktivieren können. Auf den meisten Linux-Distributionen müssen Sie dem Syslog-Daemon beim Start entweder die Option -r oder -x übergeben. |
