設定外部日誌服務器

Logs與 監控 >Log Servers 頁面允許您設定外部日誌服務器關閉 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來存儲和處理日誌。以實現安全和系統日誌以實現額外的日誌存儲。

注意 - 當雲端服務打開時,您不能設定外部日誌服務器。

外部 Check Point 日誌服務器

您可以使用由Security Management Server關閉 執行 Check Point 軟體以管理單一管理網域內 Check Point 環境中的物件和原則的專用 Check Point 伺服器。Synonym:單網域Security Management Server。管理的外部 Check Point 日誌服務器來存儲其他日誌。

外部 Check Point 日誌服務器的使用場景:

  • 延長日誌保留時間。例如,目前,當您的閘道由 Quantum Spark Portal 管理時,您可以保留日誌 3 個月。如果設定外部日誌服務器,您可以將日誌保留一年。

  • 將日誌格式導出到用於數據挖掘的第 3 方機制。

在 WebUI 中從該頁面設定外部 Check Point 日誌服務器之前,請執行以下步驟:

  1. 確定要將日誌發送到的日誌服務器。

  2. 確定管理日誌服務器的Security Management Server。

  3. 打開此Security Management Server上的 SmartConsole關閉 Check Point GUI 應用程式用於管理 Check Point 環境 - 設定安全政策、設定設備、監控產品和事件、安裝更新等。

  4. 運行安全閘道關閉 一個專用的 Check Point 服務器,用於運行 Check Point 軟體來檢查流量並對連線的網路資源執行安全政策。設定精靈以定義和創建代表此設備的安全閘道物件,其中包含以下詳細訊息:

    在“ 常規屬性 ”視窗中,選擇:

    • 閘道平台 - 選擇您的設備

    • 閘道 IP 地址 - 動態 IP 地址

    Trusted Communication 視窗中,從 Gateway Identifier 選擇 MAC addressFirst to connect

  5. 在Security Management Server和其他相關物件上安裝資料庫。

設定外部 Check Point 日誌服務器:

  1. Check Point 日誌服務器下,單擊 設定

    外部 Check Point 日誌服務器視窗打開。

  2. 輸入 管理服務器 IP 地址

    此 IP 地址僅用於在設備和Security Management Server之間建立可信通信。

  3. SIC 名稱中,輸入 SmartConsole 中定義的日誌服務器物件的 SIC關閉 安全的內部通信。Check Point 專有機制,運行 Check Point 軟體的 Check Point 裝置通過 SSL 相互驗證,以實現安全通信。此身份驗證基於 Check Point 管理服務器上的 ICA 頒發的證書。 名稱。

    這些是獲取此名稱的選項:

    • 選項1:

      1. 連線資料庫工具(GuiDBEdit 工具)(參見 sk13009) 到Security Management Server。

      2. 選項卡中,展開 >網路物件

      3. 在右窗格中,找到日誌服務器物件。

      4. 在底部窗格中,找到 sic_name

    • 選項 2:

      以專家模式(使用 SSH 或控制台連線)在日誌服務器上運行此 CLI 指令:

      $CPDIR/bin/cpprod_util CPPROD_GetValue SIC MySICname 0

    複製 SIC 名稱值並將其粘貼到此頁面上的 SIC 名稱區域中。

  4. 設定 SIC 一次性密碼中,輸入為Security Management Server輸入的相同密碼,然後在 確認 SIC 一次性密碼 區域中再次輸入。

    注意 - 您不能在密碼或共用密碼中使用下列字元:{ } [ ] ` ~ | ‘ " \最大字元數:255

  5. 如果日誌服務器不在Security Management Server上,請選擇 日誌服務器使用不同的 IP 地址 並輸入 IP 地址。

  6. 點擊套用.

    重要

    • 成功設定外部日誌服務器後,您在此頁面上的 WebUI 設定中所做的任何更改都需要在 SmartConsole 中重新初始化 SIC。如果您不在 SmartConsole 中重新初始化 SIC,與日誌服務器的連線可能會失敗。

    • 要查看日誌,您必須使用 SmartConsole 連線到專用日誌服務器(而不是Security Management Server)。

要在閘道連線到 Quantum Spark 門戶(雲)時設定新的外部 Check Point 日誌服務器:

從閘道後面的資源啟動流量後,打開 Check Point 日誌服務器以驗證您是否看到日誌。有關詳細訊息,請參閱 sk145614.

系統日誌服務器設定

您可以將閘道設定為將日誌發送到多個系統日誌服務器。 - 僅支援一個安全系統日誌服務器。

要設定系統日誌服務器:

  1. 系統日誌服務器下,單擊 設定

    系統日誌服務器視窗打開。

  2. 選擇 協議

    • UDP- 發送安全日誌或系統日誌(不安全)。

    • TLS Over TCP(安全)- 以安全和加密的方式從閘道發送系統或安全日誌。

  3. 輸入 名稱IP 地址/ 主機名

  4. 輸入 連接埠 號。

  5. 選擇 啟用日誌服務器

  6. 可選 - 選擇 顯示模糊區域。混淆的數據包顯示為純文本。

  7. 選擇 轉發的日誌

    • 系統日誌

    • 安全日誌

  8. 單擊 上傳 以上傳受信任的 CA 證書。

  9. 點擊套用.

安全系統日誌

使用場景

系統管理者希望以安全和加密的方式從組織的閘道發送系統和/或安全日誌。因此,他選擇 TLS Over TCP 作為協議。UDP 不安全。

筆記:

  • 僅支援一個遠端 TLS 服務器。

  • 您可以上傳 CA 證書以建立與遠端系統日誌服務器的信任。

  • TLS 服務器必須使用其網域名進行設定。只有 UDP 允許您通過 IP 地址設定服務器。

  • 設定的網域名必須與服務器證書中的網域名相同。

  • 支援系統日誌和安全日誌。

要設定額外的系統日誌服務器:

單擊 新增系統日誌服務器...。

要編輯系統日誌服務器:

  1. 單擊服務器 IP 地址旁邊的 編輯 連結。

  2. 編輯必要的訊息。

  3. 點擊套用.

- 當定義了多個服務器時,系統日誌服務器會出現在一個表中。選擇您要編輯的系統日誌服務器,然後單擊 編輯

要刪除系統日誌服務器:

  1. 選擇系統日誌服務器。

  2. 點擊刪除.