配置 SIEM 集成设置

默认情况下，不使用 SIEM 集成。您可以启用和禁用 SIEM 集成，并配置相关设置（参见下表）。

SIEM 集成设置

设置	默认值	描述
通过 syslog 协议发送事件到远程 syslog 服务器	未应用	可以分别通过选择或清除该复选框来启用或禁用 SIEM 集成。
删除已被发送到远程 syslog 服务器的事件本地副本	未应用	可以通过选中或清除复选框来配置将日志发送到 SIEM 服务器后存储日志本地副本的设置。
事件格式	结构化数据	可以选择两种格式之一，应用程序在将事件发送到 syslog 服务器以便 SIEM 服务器能够更好进行识别之前，将事件转换为该格式。
连接协议	TCP	可以使用下拉列表来配置通过 UDP 或 TCP 协议与主 syslog 服务器和镜像 syslog 服务器的连接。
主 syslog 服务器连接设置	IP 地址：127.0.0.1 端口：514	可以使用适当的字段来配置用于连接到主 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。
如果无法访问主服务器则使用镜像 syslog 服务器	未应用	可以使用复选框来启用或禁用镜像 syslog 服务器。
镜像 syslog 服务器连接设置	IP 地址：127.0.0.1 端口：514	可以使用适当的字段来配置用于连接到镜像 syslog 服务器的 IP 地址和端口。 可以指定 IP 地址仅为 IPv4 格式。

要配置与 SIEM 集成的设置：

1. 在应用程序控制台树中，打开“日志和通知”节点的上下文菜单。
2. 选择“属性”。

   将打开“日志和通知设置”窗口。

3. 选择“SIEM 集成”选项卡。
4. 在“集成设置”块中，选中“通过 syslog 协议发送事件到远程 syslog 服务器”复选框。
   

   该复选框可启用或禁用将已发布的事件发送到外部 syslog 服务器的功能。

   如果选中该复选框，则应用程序将根据配置的 SIEM 集成设置将已发布的事件发送到 SIEM 服务器。

   如果清除该复选框，则应用程序不执行 SIEM 集成。如果该复选框已被清除，则无法配置 SIEM 集成设置。

   默认下，复选框被清除。

5. 如果需要，在“集成设置”块中，选中“删除已被发送到远程 syslog 服务器的事件本地副本”复选框。
   

   该复选框可启用或禁用发送到 SIEM 服务器后日志本地副本的删除。

   如果选中该复选框，则应用程序在事件被成功发布到 SIEM 服务器后删除事件的本地副本。推荐在低性能设备上使用此模式。

   如果清除该复选框，则应用程序仅将事件发送到 SIEM 服务器。日志的副本将继续保存在本地。

   默认下，复选框被清除。

   “删除已被发送到远程 syslog 服务器的事件本地副本”复选框的状态不会影响保存安全日志事件的设置：应用程序永远不会自动删除安全日志事件。

6. 在“事件格式”块中，指定您要将应用程序事件转换成的格式，以便能够将它们发送到 SIEM 服务器。

   默认情况下，应用程序将它们转换为结构化数据格式。

7. 在“连接设置”块中：
   • 指定 SIEM 连接协议。
   • 在同名字段中，指定用于连接到主 syslog 服务器的 IPv4 地址和端口。
   • 当无法发送事件到主 syslog 服务器时，如果想让应用程序使用其他连接设置，请选中“如果无法访问主服务器则使用镜像 syslog 服务器”复选框。
   • 在同名字段中，指定用于连接到其他 syslog 服务器的 IPv4 地址和端口。
8. 单击“确定”按钮。

   将应用已配置的 SIEM 集成设置。

页面顶部