配置 SIEM 整合設定

預設情況下，不使用 SIEM 整合。您可以啟用和停用 SIEM 整合，並配置相關設定（參見下表）。

SIEM 整合設定

設定	預設值	敘述
透過 syslog 協定傳送事件到遠端 syslog 伺服器	未套用	可以分別透過選擇或清除該核取方塊來啟用或停用 SIEM 整合。
刪除已被傳送到遠端 syslog 伺服器的事件本機副本	未套用	可以透過選中或清除核取方塊來配置將記錄傳送到 SIEM 伺服器後儲存記錄本機副本的設定。
事件格式	結構化資料	可以選擇兩種格式之一，應用程式在將事件傳送到 syslog 伺服器以便 SIEM 伺服器能夠更好進行識別之前，將事件轉換為該格式。
連線協定	TCP	可以使用下拉清單來配置透過 UDP 或 TCP 協定與主 syslog 伺服器和映像 syslog 伺服器的連線。
主 syslog 伺服器連線設定	IP 地址：127.0.0.1 端口：1-4	可以使用適當的欄位來配置用於連線到主 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。
如果無法存取主伺服器則使用映像 syslog 伺服器	未套用	可以使用核取方塊來啟用或停用映像 syslog 伺服器。
映像 syslog 伺服器連線設定	IP 地址：127.0.0.1 端口：1-4	可以使用適當的欄位來配置用於連線到映像 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。

要配置 SIEM 整合設定：

1. 在應用程式主控台樹狀目錄中，開啟“記錄和通知”節點的內容功能表。
2. 選擇“內容”。

   將開啟“記錄和通知設定”視窗。

3. 選擇“SIEM 整合”標籤。
4. 在“整合設定”部分中，選擇“透過 syslog 協定傳送事件到遠端 syslog 伺服器”核取方塊。
   

   該核取方塊可啟用或停用將已發佈的事件傳送到外部 syslog 伺服器的功能。

   如果選中該核取方塊，則應用程式將根據配置的 SIEM 整合設定將已發佈的事件傳送到 SIEM 伺服器。

   如果清除該核取方塊，則應用程式不執行 SIEM 整合。如果該核取方塊已被清除，則無法配置 SIEM 整合設定。

   預設取消選定該核取方塊。

5. 如果需要，在“整合設定”部分中，選擇“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊。
   

   該核取方塊可啟用或停用傳送到 SIEM 伺服器後記錄本機副本的刪除。

   如果選中該核取方塊，則應用程式在事件被成功發佈到 SIEM 伺服器後刪除事件的本機副本。建議在低效能裝置上使用此模式。

   如果清除該核取方塊，則應用程式僅將事件傳送到 SIEM 伺服器。記錄的副本將繼續儲存在本機。

   預設取消選定該核取方塊。

   “刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊的狀態不會影響儲存安全記錄檔案事件的設定：應用程式永遠不會自動刪除安全記錄事件。

6. 在“事件格式”部分中，指定您要將應用程式事件轉換成的格式，以便能夠將它們傳送到 SIEM 伺服器。

   預設情況下，應用程式將它們轉換為結構化資料格式。

7. 在“連線設定”部分中：
   • 指定 SIEM 連線協定。
   • 指定用於連線到主 syslog 伺服器的設定。

     只能指定 IPv4 格式的 IP 位址。

   • 當無法傳送事件到主 syslog 伺服器時，如果想讓應用程式使用其他連線設定，請選中“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊。

     指定以下用于连接到镜像 syslog 服务器的设置：“地址”和“端口”。

     如果已清除“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊，則無法編輯映像 syslog 伺服器的“位址”和“埠號”欄位。

     只能指定 IPv4 格式的 IP 位址。

8. 點擊“確定”。

   將套用已配置的 SIEM 整合設定。

頁面頂部