Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

至尊龙

JSA 的 Extreme Dragon DSM 使用系统日志或 SNMPv3 记录所有相关 Extreme Dragon 事件,从而接受极端事件。

要配置 JSA Extreme Dragon DSM,请使用以下过程:

  1. 使用 Syslog 通知规则创建告警工具策略。请参阅 为 Syslog 创建策略

  2. JSA 中配置日志源。请参阅 Extreme Dragon 的 Syslog 日志源参数

  3. 配置 Dragon Enterprise 管理服务器 (EMS) 以转发系统日志消息。请参阅 配置 EMS 以转发系统日志消息

为系统日志创建策略

此过程介绍如何使用日志事件扩展格式 (LEEF) 消息格式中的系统日志通知规则来配置告警工具策略。

当通知速率较高或显示 IPv6 地址时,LEEF 是向 Dragon Network Defense 发送通知的首选消息格式。如果您不想使用 LEEF 格式的系统日志通知,请参阅您的 Extreme Dragon 文档 了解更多信息。

要使用系统日志通知规则使用报警工具策略配置 Extreme Dragon:

  1. 登录极龙 EMS。

  2. 单击 报警工具 图标。

  3. 配置告警工具策略:

    告警工具策略视图>Custom 策略 菜单树中,右键单击并选择 添加报警工具策略

    将显示 添加报警工具策略 窗口。

  4. 添加报警工具策略 字段中,键入策略名称。

    例如:

    JSA

  5. 单击 确定

  6. 在菜单树中,选择 JSA

  7. 要配置事件组:

    单击 活动组 选项卡。

  8. 单击 新建

    将显示 活动组编辑器

  9. 选择要监控的事件组或单个事件。

  10. 单击 Add

    将显示一个提示。

  11. 单击

  12. “事件组编辑器”的右列中,键入 Dragon-Events

  13. 单击 确定

  14. 配置 Syslog 通知规则:

    单击 通知规则 选项卡。

  15. 单击 新建

  16. 在 name 字段中,键入 JSA-RuleSys

  17. 单击 确定

  18. “通知规则 ”面板中,选择新创建的 JSA -RuleSys 项。

  19. 单击 Syslog 选项卡。

  20. 单击 新建

    系统 日志编辑器 将显示。

  21. 更新以下值:

    • 设施使用设施列表选择一个设施。

    • 水平使用级别列表,选择通知

    • 消息使用类型列表,选择 LEEF

    LEEF 消息格式在每个关键词之间使用管道分隔符在字段之间进行划分。

  22. 单击 确定

  23. 验证通知事件是否记录为单独的事件:

    单击 全局选项 选项卡。

  24. 单击 选项卡。

  25. 请确保未选择 “串联事件 ”。

  26. 配置告警信息:

    单击 告警 选项卡。

  27. 单击 新建

  28. 键入参数值:

    • 名字类型 JSA -报警

    • 类型实时选择。

    • 活动组选择 Dragon-Events

    • 通知规则选中 JSA -RuleSys 复选框。

  29. 单击 确定

  30. 单击 “提交”。

  31. 导航至 企业视图

  32. 右键单击 报警工具 并选择 关联报警工具策略

  33. 选择新创建的 JSA 策略。单击 确定

  34. Enterprise 菜单中,右键单击策略并选择 部署

    现在,您可以在 JSA 中配置系统日志源。

Extreme Dragon 系统日志日志源参数

如果 JSA 未自动检测到日志源,请使用 syslog 协议在 JSA 控制台上添加 Extreme Dragon 日志源。

使用 syslog 协议时,您必须使用一些特定参数。

下表介绍了需要特定值才能从 Extreme Dragon 收集系统日志事件的参数:

表 1:Extreme Dragon DSM 的 Syslog 日志源参数

参数

价值

日志源类型

Extreme Dragon Network IPS

协议配置

Syslog

日志源标识符

键入日志源的 IP 地址或主机名,作为来自 Extreme Dragon 设备的事件标识符。

配置 EMS 以转发系统日志消息

从 Dragon Enterprise 管理服务器 (EMS) v7.4.0 设备开始,必须使用 syslog-ng 将事件转发到安全与信息管理器(如 JSA)。

在 Dragon EMS v7.4.0 及更高版本中,系统日志已被 syslog-ng 取代。

要配置 EMS 以转发系统日志消息,必须选择以下其中一项:

使用 Extreme Dragon EMS v7.4.0 及更高版本配置 Syslog-ng

本节介绍如何在非加密模式下配置 syslog-ng 以及系统日志以将系统日志消息转发至 JSA 的步骤。

如果您使用加密的 syslog-ng,请参阅您的 Extreme 文档

不要同时运行 syslog-ng 和系统日志。

要以非加密模式配置 syslog-ng:

  1. 在 EMS 系统上,打开以下文件:

    /opt/syslog-ng/等/syslog-ng.conf

  2. 为 Syslog 通知规则配置 设备 过滤器。

    例如,如果您选择 了设施 local1:

    filter filt_facility_local1 {facility(local1); };

  3. 为 Syslog 通知规则配置 级别 过滤器。

    例如,如果您选择 了级别 声明:

    filter filt_level_notice {level(notice); };

  4. JSA 配置目标语句。

    例如,如果 JSA 的 IP 地址为 10.10.1.1,而您希望使用 514 的 syslog 端口,则键入:

    destination siem { tcp("10.10.1.1" port(514)); };

  5. 为通知规则添加日志语句:

    log { source(s_local); filter (filt_facility_local1); filter (filt_level_notice); destination(siem); };

  6. 保存文件并重新启动 syslog-ng。

    cd /etc/rc.d ./rc.syslog-ng stop ./rc.syslog-ng start

  7. Extreme Dragon EMS 配置已完成。

使用 Extreme Dragon EMS V7.4.0 及更低版本配置 Syslogd

如果您的 Dragon Enterprise 管理服务器 (EMS) 设备上的版本早于 v7.4.0,则必须使用 syslogd 将事件转发到安全与信息管理器(如 JSA)。

要配置 syslogd,您必须:

  1. 在 Dragon EMS 系统上,打开以下文件:

    /etc/syslog.conf

  2. 添加一行,将您在系统日志通知规则中配置的设施和级别转发到 JSA

    例如,要定义 设施 local1 和 级别 声明:

    local1.notice @<IP address>

    其中:

    IP address<>是 JSA 系统的 IP 地址。

  3. 保存文件并重新启动系统日志。

    cd /etc/rc.d ./rc.syslog stop ./rc.syslog start

    Extreme Dragon EMS 配置已完成。

相关文档