配置 SIEM 整合設定
預設情況下,不使用 SIEM 整合。您可以啟用和停用 SIEM 整合,並配置相關設定(參見下表)。
SIEM 整合設定
設定 |
預設值 |
敘述 |
透過 syslog 協定傳送事件到遠端 syslog 伺服器 |
未套用 |
可以分別透過選擇或清除該核取方塊來啟用或停用 SIEM 整合。 |
刪除已被傳送到遠端 syslog 伺服器的事件本機副本 |
未套用 |
可以透過選中或清除核取方塊來配置將記錄傳送到 SIEM 伺服器後儲存記錄本機副本的設定。 |
事件格式 |
結構化資料 |
可以選擇兩種格式之一,應用程式在將事件傳送到 syslog 伺服器以便 SIEM 伺服器能夠更好進行識別之前,將事件轉換為該格式。 |
連線協定 |
TCP |
可以使用下拉清單來配置透過 UDP 或 TCP 協定與主 syslog 伺服器和映像 syslog 伺服器的連線。 |
主 syslog 伺服器連線設定 |
IP 位址:127.0.0.1 連接埠:514 |
可以使用適當的欄位來配置用於連線到主 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
如果無法存取主伺服器則使用映像 syslog 伺服器 |
未套用 |
可以使用核取方塊來啟用或停用映像 syslog 伺服器。 |
映像 syslog 伺服器連線設定 |
IP 位址:127.0.0.1 連接埠:514 |
可以使用適當的欄位來配置用於連線到映像 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
若要設定與 SIEM 整合的設定:
- 在應用程式主控台樹狀目錄中,開啟“記錄和通知”節點的內容功能表。
- 選擇“內容”。
將開啟“記錄和通知設定”視窗。
- 選擇“SIEM 整合”標籤。
- 在整合設定區塊中,選擇透過 syslog 協定傳送事件到遠端 syslog 伺服器核取方塊。
- 如果需要,在整合設定區塊中,選擇刪除已被傳送到遠端 syslog 伺服器的事件本機副本核取方塊。
“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊的狀態不會影響儲存安全記錄檔案事件的設定:應用程式永遠不會自動刪除安全記錄事件。
- 在事件格式區塊中,指定您要將應用程式事件轉換成的格式,以便能夠將它們傳送到 SIEM 伺服器。
預設情況下,應用程式將它們轉換為結構化資料格式。
- 在連線設定區塊中:
- 指定 SIEM 連線協定。
- 在名稱相同的欄位中,指定用於連線至主 syslog 伺服器的 IPv4 位址和連接埠。
- 當無法傳送事件到主 syslog 伺服器時,如果想讓應用程式使用其他連線設定,請選中“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊。
- 在名稱相同的欄位中,指定用於連線至附加 syslog 伺服器的 IPv4 位址和連接埠。
- 點擊“確定”按鈕。
將套用已配置的 SIEM 整合設定。
