系统日志

ESET Cloud Office Security 可导出检测中列出的记录事件，并将其发送到 syslog 服务器。你可以导出 Exchange Online/Gmail、OneDrive/Google Drive、团队组和 SharePoint Online 的事件。可根据需要设置多个 syslog 导出；例如，可以为每个租户或租户和事件的任意组合设置一个 syslog。可以通过编辑现有 syslog 导出来将其激活/停用。

可以添加新的 syslog 或修改现有 syslog 及其设置。

1.单击新 Syslog 以打开模板并设置自定义设置。键入名称并使用启用切换开关来激活该状态。

2.单击选择租户

3.为事件消息选择以下格式之一：

•CEF（通用事件格式）

•LEEF（日志事件扩展格式）- IBM 应用程序 QRadar 使用的格式。

•JSON（JavaScript 对象表示法）

•ECS (Elastic Common Schema) - v8.17 格式

IP/主机名

输入 syslog 服务器的连接详细信息。

端口

Syslog 服务器连接的预定义端口是 6514。如果端口号不是 6514，则可以在 6400-6600 范围内更改端口号，以匹配 syslog 服务器端口。

•传输协议：TLS（需要由受信任的证书颁发机构颁发的有效服务器 SSL/TLS 证书）

•默认 TCP 端口：6514

由于 syslog 服务器连接的安全要求，对接收 syslog 服务器还有其他要求：

•IP 地址:全局可路由 IPv4 地址

•IDN 名称：必须使用 ASCII 表示形式 ("xn--")

•FQDN必须转换为单个固定 IPv4 地址

選取租用戶

单击选择，使用复选框选择要接收其事件的租户。

日志检测

选择要导出到 syslog 服务器的日志事件。

扫描日志的可选字段

选择要包含在系统日志消息中的字段。

发送审核日志

审核日志将作为扫描日志的一部分发送。此外，还可以使用发送测试日志来确保功能正常。

其他安全设置

确保 syslog 服务器防火墙设置允许从以下 IP 地址进行连接：

•来自美国地区 ESET Cloud Office Security 的传出 IP 地址：40.83.165.184

•来自欧盟地区 ESET Cloud Office Security 的传出 IP 地址：51144165221

•来自德国地区 ESET Cloud Office Security 的传出 IP 地址：4.184.182.90

•来自加拿大地区 ESET Cloud Office Security 的传出 IP 地址：52.228.24.113

˄˅