設定外部日誌服務器

紀錄和顯示器>紀錄伺服器頁面可設定資訊安全用的外部紀錄伺服器,並設定系統紀錄,增加紀錄儲存空間。

注意 - 當雲端服務打開時,您不能設定外部日誌服務器。

外部 Check Point 日誌服務器

您可以使用由Security Management Server關閉 執行Check Point軟體的專用Check Point伺服器,可在單一管理網域內的Check Point環境中管理物件和原則。同義詞:單域Security Management Server。管理的外部 Check Point 日誌服務器來存儲其他日誌。

外部 Check Point 日誌服務器的使用場景:

  • 延長日誌保留時間。例如,目前,當您的閘道由 Quantum Spark Portal 管理時,您可以保留日誌 3 個月。如果設定外部日誌服務器,您可以將日誌保留一年。

  • 將日誌格式導出到用於數據挖掘的第 3 方機制。

在 WebUI 中從該頁面設定外部 Check Point 日誌服務器之前,請執行以下步驟:

  1. 確定要將日誌發送到的日誌服務器。

  2. 確定管理日誌服務器的Security Management Server。

  3. 打開此Security Management Server上的 SmartConsole關閉 Check Point GUI應用程式用於管理Check Point環境--設定安全性原則、設定裝置、監控產品和事件、安裝更新等。

  4. 執行安全閘道關閉 專用的Check Point伺服器,可執行Check Point軟體,檢查流量並執行連線網路資源的安全性原則。器精靈來定義並建立代表裝置的安全閘道器物件,詳細資訊:

    在“ 常規屬性 ”視窗中,選擇:

    • 閘道平台 - 選擇您的設備

    • 閘道 IP 地址 - 動態 IP 地址

    Trusted Communication 視窗中,從 Gateway Identifier 選擇 MAC addressFirst to connect

  5. 在Security Management Server和其他相關物件上安裝資料庫。

設定外部 Check Point 日誌服務器:

  1. Check Point 日誌服務器下,單擊 設定

    外部 Check Point 日誌服務器視窗打開。

  2. 輸入 管理服務器 IP 地址

    IP 位址僅用於建立裝置和 Security Management Server 之間的信任通訊。

  3. SIC 名稱中,輸入 SmartConsole 中定義的日誌服務器物件的 SIC關閉 安全內部通訊。執行Check Point軟體的Check Point電腦使用Check Point專有機制以SSL互相驗證,達成安全通訊。驗證根據Check Point Management Server上ICA發行的憑證。 名稱。

    這些是獲取此名稱的選項:

    • 第1個選項:

      1. 連線資料庫工具(GuiDBEdit 工具)(參見 sk13009) 到Security Management Server。

      2. 展開「表格」標籤:「表格」 > 「網路物件」

      3. 在右窗格中,找到日誌服務器物件。

      4. 在底部窗格中,找到 sic_name

    • 第2個選項:

      以專家模式(使用 SSH 或控制台連線)在日誌服務器上運行此 CLI 指令:

      $CPDIR/bin/cpprod_util CPPROD_GetValue SIC MySICname 0

    複製 SIC 名稱值並將其粘貼到此頁面上的 SIC 名稱區域中。

  4. 設定 SIC 一次性密碼中,輸入為Security Management Server輸入的相同密碼,然後在 確認 SIC 一次性密碼 區域中再次輸入。

    注意:密碼或共用金鑰中不可使用以下字元:{ } [ ] ` ~ | ‘ " \ (最大字數:255)

  5. 如果日誌服務器不在Security Management Server上,請選擇 日誌服務器使用不同的 IP 地址 並輸入 IP 地址。

  6. 點擊套用

    重要

    • 成功設定外部日誌服務器後,您在此頁面上的 WebUI 設定中所做的任何更改都需要在 SmartConsole 中重新初始化 SIC。如果您不在 SmartConsole 中重新初始化 SIC,與日誌服務器的連線可能會失敗。

    • 要查看日誌,您必須使用 SmartConsole 連線到專用日誌服務器(而不是Security Management Server)。

要在閘道連線到 Quantum Spark 門戶(雲)時設定新的外部 Check Point 日誌服務器:

從閘道後面的資源啟動流量後,打開 Check Point 日誌服務器以驗證您是否看到日誌。

系統紀錄伺服器設定

閘道器可設定將紀錄傳送到多台系統紀錄伺服器(僅支援一個安全用的系統紀錄伺服器)。

要設定系統日誌服務器:

  1. 系統日誌服務器下,單擊 設定

    系統日誌服務器視窗打開。

  2. 選擇 協議

    • UDP- 發送安全日誌或系統日誌(不安全)。

    • TLS Over TCP(安全)- 以安全和加密的方式從閘道發送系統或安全日誌。

  3. 輸入 名稱IP 地址/ 主機名

  4. 輸入 連接埠 號。

  5. 選擇 啟用日誌服務器

  6. 可選 - 選擇 顯示模糊區域。混淆的數據包顯示為純文本。

  7. 選擇 轉發的日誌

    • 系統日誌

    • 安全日誌

  8. 單擊 上傳 以上傳受信任的 CA 證書。

  9. 點擊套用

安全系統日誌

使用場景

系統管理者希望以安全和加密的方式從組織的閘道發送系統和/或安全日誌。因此,他選擇 TLS Over TCP 作為協議。UDP 不安全。

註解:

  • 僅支援一個遠端 TLS 服務器。

  • 您可以上傳 CA 證書以建立與遠端系統日誌服務器的信任。

  • TLS 服務器必須使用其網域名進行設定。只有 UDP 允許您通過 IP 地址設定服務器。

  • 設定的網域名必須與服務器證書中的網域名相同。

  • 支援系統日誌和安全日誌。

要設定額外的系統日誌服務器:

單擊 新增系統日誌服務器...。

要編輯系統日誌服務器:

  1. 單擊服務器 IP 地址旁邊的 編輯 連結。

  2. 編輯必要的訊息。

  3. 點擊套用

- 當定義了多個服務器時,系統日誌服務器會出現在一個表中。選擇您要編輯的系統日誌服務器,然後單擊 編輯

要刪除系統日誌服務器:

  1. 選擇系統日誌服務器。

  2. 點擊刪除.