配置外部日志服务器

日志用户和对象监控 > 日志服务器页面让你为安全和系统日志配置外部日志服务器关闭 一个专门的Check Point服务器,运行Check Point软件以存储和处理日志。,以获得额外的日志存储。

注意- 当云服务被打开时,你不能配置外部日志服务器。

外部Check Point日志服务器

你可以使用一个由安全管理服务器关闭 一台专门的Check Point服务器,运行Check Point软件,在一个单一管理域内管理Check Point环境中的对象和策略。同义词。单域安全管理服务器。管理的外部Check Point日志服务器,以存储额外的日志。

外部Check Point日志服务器的用例:

  • 延长日志保留时间。例如,目前,当您的网关由Quantum Spark Portal管理时,您可以保留3个月的日志。如果你配置了一个外部的日志服务器,你可以保留一年的日志。

  • 将日志格式导出到第三方产品进行数据挖掘。

在你从 WebUI的这个页面配置外部Check Point日志服务器之前,请执行这些步骤:

  1. 确定你要发送日志的日志服务器。

  2. 确定管理日志服务器的安全管理服务器关闭 一个Check Point安全管理服务器或一个多域安全管理服务器。

  3. 在该安全管理服务器上打开SmartConsole关闭 Check Point GUI应用程序用于管理Check Point环境 - 配置安全策略、配置设备、监控产品和事件、安装更新等。

  4. 运行安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。向导来定义和创建一个安全网关对象,该对象代表该设备的这些信息:

    一般属性窗口,选择:

    • 网关平台- 选择你的设备

    • 网关IP地址-动态IP地址

    在 "受信任的通信"窗口,从 "网关标识符"中选择MAC地址"首先 "进行连接

  5. 在安全管理服务器上安装数据库和其他相关对象。

要配置一个外部Check Point日志服务器:

  1. Check Point日志服务器下,单击配置

    打开 "外部Check Point日志服务器 "窗口。

  2. 输入管理服务器的 IP 地址

    该IP地址仅用于在设备和安全管理服务器之间建立可信的通信。

  3. SIC名称中,输入SmartConsole中定义的日志服务器对象的SIC关闭 安全的内部通信。Check Point的专有机制,运行Check Point软件的Check Point计算机通过SSL相互验证,以实现安全通信。这种认证是基于ICA在Check Point管理服务器上颁发的证书。名称。

    这些是获得这个名字的选项:

    • 选择1:

      1. 用数据库工具(GuiDBEdit工具)(见sk13009 )连接到安全管理服务器。

      2. "表"标签,展开 > 网络对象

      3. 在右边的窗格中,找到日志服务器对象。

      4. 在底部窗格中,找到sic_name

    • 选项2:

      在专家模式下的日志服务器上运行此CLI命令(使用SSH或控制台连接):

      $CPDIR/bin/cpprod_util CPPROD_GetValue SIC MySICname 0

    复制SIC名称值并将其粘贴到本页的SIC名称字段中。

  4. 设置SIC一次性密码中,输入与安全管理服务器相同的密码,然后在确认SIC一次性密码栏中再次输入。

    注意-- 你不能在密码或共享密钥中使用这些字符:{ } [ ] ` ~ | ‘ " \最大字符数:255

  5. 如果日志服务器不在安全管理服务器上,选择日志服务器使用不同的IP地址并输入IP地址。

  6. 点击应用.

    重要的是

    • 在成功配置外部日志服务器后,你在此页面的 WebUI 配置所做的任何更改都需要在 SmartConsole 中重新初始化 SIC。如果你不在SmartConsole中重新初始化SIC,与日志服务器的连接可能会失败。

    • 要看到这些日志,你必须用SmartConsole连接到专用的日志服务器(而不是安全管理服务器)。

当网关连接到Quantum Spark Portal(云)时,要配置一个新的外部Check Point日志服务器:

当从下级设备启动流量后,打开Check Point日志服务器以验证你是否看到了日志。更多信息,见sk145614

Syslog服务器配置

你可以配置一个网关来发送日志到多个syslog服务器。 - 只支持一个安全的syslog服务器。

要配置一个syslog服务器:

  1. Syslog服务器下,点击配置

    打开Syslog服务器窗口。

  2. 选择协议

    • UDP- 发送安全日志或系统日志(不安全)。

    • TLS Over TCP (安全)- 以安全和加密的方式从网关发送系统或安全日志。

  3. 输入一个名称IP地址/ 主机名

  4. 输入一个端口号

  5. 选择启用日志服务器

  6. 可选- 选择显示混淆的字段。被混淆的数据包显示为纯文本。

  7. 选择转发的日志

    • 系统日志

    • 安全日志

  8. 点击"上传",上传受信任的CA证书。

  9. 点击应用.

安全的Syslog

使用案例

一个系统管理员希望以安全和加密的方式从组织的网关发送系统和/或安全日志。因此,他选择了TLS Over TCP作为协议。UDP是不安全的。

注意事项:

  • 只支持一个远程TLS服务器。

  • 你可以上传一个CA证书以建立与远程系统日志服务器的信任。

  • TLS服务器必须使用其域名进行配置。只有UDP允许你通过IP地址配置服务器。

  • 配置的域名必须与服务器证书中的域名相同。

  • 系统和安全日志都得到支持。

要配置额外的Syslog服务器:

点击添加一个系统日志服务器....

要编辑Syslog服务器:

  1. 点击服务器IP地址旁边的 "编辑"链接。

  2. 编辑必要的信息。

  3. 点击应用.

注意- 当定义了一个以上的服务器时,系统日志服务器会出现在一个表中。选择你要编辑的系统日志服务器,然后点击编辑

要删除syslog服务器:

  1. 选择syslog服务器。

  2. 点击删除.