Syslogs

Copiar la URL del artículo actual Compartir por correo electrónico

Este artículo (PDF) Documentación completa (PDF)

ESET Cloud Office Security puede exportar los eventos registrados enumerados en Detecciones y enviarlos al servidor de syslog. Puede exportar eventos para Exchange Online/Gmail, OneDrive/Google Drive, grupos del equipo y SharePoint Online. Configure varias exportaciones de syslog si es necesario; por ejemplo, puede tener un syslog para cada inquilino o cualquier combinación de inquilinos y eventos. Puede activar y desactivar las exportaciones de syslog existentes editándolas.

Para añadir o modificar una exportación de syslog, sigue estos pasos:

1.Haga clic en Nuevo syslog para abrir una plantilla y establecer la configuración personalizada.

2.Escribe un nombre y activa el interruptor de estado.

3.Selecciona inquilinos haciendo clic en Seleccionar y marcando los inquilinos deseados.

4.Seleccione uno de los siguientes formatos para los mensajes de eventos:

•CEF (formato de evento común)

•LEEF (Log Event Extended Format): formato utilizado por la aplicación QRadar de IBM

•JSON (notación de objetos JavaScript)

•ECS (Elastic Common Schema): formato v8.17

IP/Nombre de host

Introduce la IP/nombre de host y los detalles de conexión de tu servidor syslog.

Puerto

El puerto predefinido para la conexión del servidor de syslog es 6514. Puede cambiar el número de puerto dentro del intervalo 6400-6600 para que coincida con el puerto del servidor de syslog si es diferente de 6514.

•Protocolo de transporte: TLS (requiere un certificado SSL/TLS de servidor válido emitido por una autoridad de certificación de confianza)

•Puerto TCP predeterminado: 6514

Debido a los requisitos de seguridad para la conexión del servidor de syslog, hay requisitos adicionales para el servidor de syslog receptor:

•Dirección IP: dirección IPv4 enrutable globalmente

•Nombres de IDN: se debe usar la representación ASCII ("xn--")

•NOMBRE DE DOMINIO COMPLETO debe traducirse a una única dirección IPv4 fija

Finalizar el registro con el carácter de nueva línea

Active esta opción para agregar un carácter de nueva línea (\n) al final de cada mensaje syslog para realizar un registro correcto en Logstash cuando la conexión TCP se mantiene abierta. De lo contrario, los registros se escribirán en una sola línea.

Detecciones de registros

Seleccione los eventos de registro que desea exportar a su servidor de syslog.

Campos opcionales para registros del análisis

Seleccione los campos que desea incluir en los mensajes de syslog.

Enviar registros de auditoría

Los registros de auditoría se enviarán como parte de los registros del análisis. Además, puede usar Enviar registro de prueba para garantizar la funcionalidad.

Personalizar certificado

Para habilitar la validación de certificados para la conexión entre tu servidor Syslog y ESET Cloud Office Security. Tras activar la validación, se mostrará un nuevo campo de texto donde podrás copiar y pegar la cadena de certificados requerida. El certificado del servidor debe cumplir los siguientes requisitos:

•Toda la cadena de certificados en formato PEM se carga y guarda en la configuración de exportación de Syslog (esto incluye la CA raíz, ya que no hay certificados de confianza integrados)

•El certificado de tu servidor Syslog proporciona una extensión de Nombre Alternativo de Sujeto ()SAN) (DNS=/IP=), con al menos un registro correspondiente al nombre de dominio totalmente calificado (FQDN) o dirección IP configurado.

Configuración de seguridad adicional

Asegúrese de que la configuración del cortafuegos del servidor de syslog permita la conexión desde las siguientes direcciones IP:

•Dirección IP saliente de ESET Cloud Office Security en la región de EE. UU.: 40.83.165.184

•Dirección IP saliente de ESET Cloud Office Security en la región de la UE: 51144165221

•Dirección IP saliente de ESET Cloud Office Security en la región de DE: 4.184.182.90

•Dirección IP saliente de ESET Cloud Office Security en la región de Canadá: 52.228.24.113

˄˅