系统日志

ESET Cloud Office Security 可导出检测中列出的记录事件，并将其发送到 syslog 服务器。你可以导出 Exchange Online/Gmail、OneDrive/Google Drive、团队组和 SharePoint Online 的事件。可根据需要设置多个 syslog 导出；例如，可以为每个租户或租户和事件的任意组合设置一个 syslog。可以通过编辑现有 syslog 导出来将其激活/停用。

要添加或修改 syslog 导出，请按照以下步骤操作：

1.单击新 Syslog 以打开模板并设置自定义设置。

2.键入名称，并启用状态开关。

3.通过单击选择并勾选所需租户来选择租户。

4.为事件消息选择以下格式之一：

•CEF（通用事件格式）

•LEEF（日志事件扩展格式）- IBM 应用程序 QRadar 使用的格式。

•JSON（JavaScript 对象表示法）

•ECS (Elastic Common Schema) - v8.17 格式

IP/主机名

向 syslog 服务器中输入您的 IP/主机名和连接详细信息。

端口

Syslog 服务器连接的预定义端口是 6514。如果端口号不是 6514，则可以在 6400-6600 范围内更改端口号，以匹配 syslog 服务器端口。

•传输协议：TLS（需要由受信任的证书颁发机构颁发的有效服务器 SSL/TLS 证书）

•默认 TCP 端口：6514

由于 syslog 服务器连接的安全要求，对接收 syslog 服务器还有其他要求：

•IP 地址:全局可路由 IPv4 地址

•IDN 名称：必须使用 ASCII 表示形式 ("xn--")

•FQDN必须转换为单个固定 IPv4 地址

用换行符终止日志

启用此选项可在每条 Syslog 消息末尾添加换行符 (\n)，以便在保持 TCP 连接为打开时正确记录到 Logstash。否则，日志将被写在一行内。

日志检测

选择要导出到 syslog 服务器的日志事件。

扫描日志的可选字段

选择要包含在系统日志消息中的字段。

发送审核日志

审核日志将作为扫描日志的一部分发送。此外，还可以使用发送测试日志来确保功能正常。

使用自定义证书

用于为 Syslog 服务器和 ESET Cloud Office Security 之间的连接启用证书验证。启用验证后，会显示一个新文本字段，您可以复制并粘贴所需的证书链。服务器证书必须满足以下要求：

•采用 PEM 格式的完整证书链已上传并保存在 Syslog 导出配置中（这包括根 CA，因为没有内置的受信任证书）

•您的 Syslog 服务器证书将提供一个主体别名 (SAN) 扩展 (DNS=/IP=)，其中至少有一条记录对应已配置的完全限定域名 (FQDN) 或 IP 地址。

其他安全设置

确保 syslog 服务器防火墙设置允许从以下 IP 地址进行连接：

•来自美国地区 ESET Cloud Office Security 的传出 IP 地址：40.83.165.184

•来自欧盟地区 ESET Cloud Office Security 的传出 IP 地址：51144165221

•来自德国地区 ESET Cloud Office Security 的传出 IP 地址：4.184.182.90

•来自加拿大地区 ESET Cloud Office Security 的传出 IP 地址：52.228.24.113

˄˅