É importante configurar corretamente Gateway da Web ao enviar informações de registro do Access para Content Security Reporter sobre o syslog. Sem a configuração adequada, o desempenho do Gateway da Web pode ser seriamente afetado.
Para configurar o Gateway da Web para enviar, acesse os dados do registro no syslog:
- Ir para Policy, Conjuntos de regras, Manipulador de log.
- Expanda o manipulador de log apropriado e localize a regra de registro que você deseja usar para efetuar logon no syslog. O manipulador de log padrão é nomeado Access.log e a regra neste manipulador de registros é chamada de Write access.log.
- Selecione a regra e clique em Edições.
- Na guia Eventos da regra, clique em Adicionar, Eventos.
- Selecionados Syslog (número, cadeia) e, em seguida, clique em Parâmetros.
- Para o parâmetro 1. Nível (número), digite o número 5 para o valor. Esse valor indica uma mensagem de nível de "informativo".
- Para o parâmetro 2. Mensagem (cadeia), clique em Usar Propriedade e selecione Definido pelo usuário. logLine.
- Clique OKEYe, em seguida, clique em OKEY tarde. Na guia Eventos da regra, agora é possível ver Syslog (6, User-defined. logLine).
- Clique Unidade.
Agora que os dados do log de acesso estão sendo gravados no syslog, modifique o
rsyslog.conf arquivo para obter um melhor desempenho e enviar acesso aos dados do registro usando o syslog:
- Ir para Configuração, Editor de arquivos.
- Expanda o nome do Appliance apropriado e selecione rsyslog.conf.
- Localize a seguinte linha:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
Adicionar daemon.!=info para a linha e colocar um - na frente de /var/log/messages para que a linha seja:
*.info;daemon.!=info;mail.none;authpriv.none;cron.none -/var/log/messages
Essas alterações são necessárias para não gravar as informações do registro de acesso no syslog no disco e também para um melhor desempenho.
- Para enviar dados de registro do Access por meio do syslog para um local remoto, adicione uma nova linha próxima à parte inferior da arquivo para enviar as mensagens de informação a um determinado host ou endereço IP.
No exemplo a seguir, substitua 10.10.94.30 com o endereço IP desejado para enviar dados de registro de acesso usando UDP sobre a porta 514. (UDP é o protocolo padrão e a porta 514 é a porta padrão no Content Security Reporter.) Ou então, você pode usar um nome de host em vez de um endereço IP.
Se a sua origem de log em Content Security Reporter estiver configurada para usar o TCP, use dois símbolos de @ para especificar o TCP em vez disso. Observe a adição de
:610, que envia pela porta 610:
daemon.info @@10.10.94.30:610
Para confirmar se o Gateway da Web está enviando dados de syslog, você pode usar
tcpdump. O comando a seguir confirma a transmissão de dados de syslog pela porta 514:
tcpdump -Xnni any port 514