le transfert syslog d’ePO prend uniquement en charge le protocole TCP et nécessite
Transport Layer Security (TLS). En particulier, il prend en charge les récepteurs qui suivent
RFC 5424 et
RFC 5425 , qui sont connus sous
syslog-ng le nom de.
Il n’est pas nécessaire d’importer le certificat utilisé par le récepteur syslog dans ePO. Tant que le certificat est valide, ePO l’accepte. Les certificats autosignés sont pris en charge et sont couramment utilisés à cette fin.
ePO ne prend pas
en charge
Mutual TLS lors de la connexion à un récepteur syslog.
ePO prend en charge
TLSv1.2 et les suites de chiffrement suivantes :
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
Le récepteur syslog doit prendre en charge au moins l’une des suites ci-dessus pour que le protocole de transfert TLS réussisse.
Si votre récepteur syslog ne prend pas en charge la configuration requise ci-dessus, le transfert des événements échoue. Les symptômes exacts dépendent du récepteur syslog particulier, mais peuvent inclure un ou plusieurs des éléments suivants :
- Lorsque vous cliquez sur l’option tester la connexion sur la page serveur Syslog enregistré, un message d’erreur s’affiche ou des points de suspension : '...'
- Aucun événement n’est reçu au niveau du récepteur syslog.
- Les événements sont reçus, mais l’intégralité de l’événement est brouillée et illisible.
REMARQUES :
- Les parties de certains événements de produit, telles que Data Loss protection (DLP), ne sont pas lisibles. Le texte est illisible car certains produits chiffrent les champs sensibles dans l’événement. Ces champs sont déchiffrés via le produit managé extension à afficher dans ePO. Les événements sont transférés au récepteur syslog dans leur état brut avant que l'extension les déchiffre. Par conséquent, les sections chiffrées de l’événement ne sont pas lisibles.
- Les événements sont transférés à l’aide du service analyseur d’événements, qui existe sur le serveur ePO lui-même et tous les gestionnaires de l'agent supplémentaires. Ainsi, tous les gestionnaires d’Agent doivent établir une connexion avec le récepteur syslog. Si plusieurs récepteurs syslog sont configurés, les événements sont transférés à tous les récepteurs. Le serveur ePO et tous les gestionnaires de l'agent supplémentaires doivent être configurés pour communiquer avec tous les récepteurs syslog. Vous devez donc ajuster vos règles de pare-feu en conséquence.