配置 SIEM 整合設定
預設情況下,不使用 SIEM 整合。您可以啟用和停用 SIEM 整合,並配置相關設定(參見下表)。
SIEM 整合設定
設定 | 預設值 | 敘述 |
透過 syslog 協定傳送事件到遠端 syslog 伺服器 | 未套用 | 可以分別透過選擇或清除該核取方塊來啟用或停用 SIEM 整合。 |
刪除已被傳送到遠端 syslog 伺服器的事件本機副本 | 未套用 | 可以透過選中或清除核取方塊來配置將記錄傳送到 SIEM 伺服器後儲存記錄本機副本的設定。 |
事件格式 | 結構化資料 | 可以選擇兩種格式之一,應用程式在將事件傳送到 syslog 伺服器以便 SIEM 伺服器能夠更好進行識別之前,將事件轉換為該格式。 |
連線協定 | TCP | 可以使用下拉清單來配置透過 UDP 或 TCP 協定與主 syslog 伺服器和映像 syslog 伺服器的連線。 |
主 syslog 伺服器連線設定 | IP 位址:127.0.0.1 連接埠:514 | 可以使用適當的欄位來配置用於連線到主 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
如果無法存取主伺服器則使用映像 syslog 伺服器 | 未套用 | 可以使用核取方塊來啟用或停用映像 syslog 伺服器。 |
映像 syslog 伺服器連線設定 | IP 位址:127.0.0.1 連接埠:514 | 可以使用適當的欄位來配置用於連線到映像 syslog 伺服器的 IP 位址和連接埠。 可以指定 IP 位址僅為 IPv4 格式。 |
要配置 SIEM 整合設定:
- 在應用程式主控台樹狀目錄中,開啟“記錄和通知”節點的內容功能表。
- 選擇“內容”。
將開啟“記錄和通知設定”視窗。
- 選擇“SIEM 整合”標籤。
- 在“整合設定”部分中,選擇“透過 syslog 協定傳送事件到遠端 syslog 伺服器”核取方塊。
- 如果需要,在“整合設定”部分中,選擇“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊。
“刪除已被傳送到遠端 syslog 伺服器的事件本機副本”核取方塊的狀態不會影響儲存安全記錄檔案事件的設定:應用程式永遠不會自動刪除安全記錄事件。
- 在“事件格式”部分中,指定您要將應用程式事件轉換成的格式,以便能夠將它們傳送到 SIEM 伺服器。
預設情況下,應用程式將它們轉換為結構化資料格式。
- 在“連線設定”部分中:
- 指定 SIEM 連線協定。
- 指定用於連線到主 syslog 伺服器的設定。
只能指定 IPv4 格式的 IP 位址。
- 當無法傳送事件到主 syslog 伺服器時,如果想讓應用程式使用其他連線設定,請選中“如果無法存取主伺服器則使用映像 syslog 伺服器”核取方塊。
指定用於連線到映像 syslog 伺服器的設定:“位址”和“連接埠”。
如果已清除“位址”核取方塊,則無法編輯映像 syslog 伺服器的“連接埠”和“如果無法存取主伺服器則使用映像 syslog 伺服器”欄位。
只能指定 IPv4 格式的 IP 位址。
- 點擊“確定”。
將套用已配置的 SIEM 整合設定。
