l'inoltro di ePO syslog supporta solo il protocollo TCP e richiede
Transport Layer Security (TLS). In particolare, supporta i ricevitori che seguono
RFC 5424 e
RFC 5425 , che è noto come
syslog-ng .
Non è necessario importare il certificato utilizzato dal Receiver syslog in ePO. Finché il certificato è valido, ePO lo accetta. I certificati autofirmati sono supportati e vengono comunemente utilizzati a tale scopo.
ePO non
supporta
Mutual TLS quando si collega a un receiver syslog.
ePO supporta
TLSv1.2 e le seguenti suite di crittografia:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
Il Receiver syslog deve supportare almeno una delle suite precedenti affinché l'handshake TLS abbia esito positivo.
Se il ricevitore syslog non supporta i requisiti di cui sopra, l'inoltro degli eventi non riesce. I sintomi esatti variano in base al particolare Receiver syslog, ma possono includere uno o più dei seguenti elementi:
- Quando si fa clic sull'opzione Test Connection nella pagina server registrato syslog, viene visualizzato un messaggio di errore o un'ellissi:'...'
- Nessun evento ricevuto nel receiver syslog.
- Gli eventi vengono ricevuti, ma l'intero evento è illeggibile e illeggibile.
NOTE:
- Le parti di alcuni eventi del prodotto, ad esempio Data Loss Protection (DLP), non sono leggibili. Il testo è illeggibile perché alcuni prodotti crittografano i campi sensibili nell'evento. Questi campi vengono decrittografati tramite l'estensione del prodotto gestito da visualizzare in ePO. Gli eventi vengono inoltrati al receiver syslog nello stato grezzo prima che l'estensione li decritta. Pertanto, le sezioni crittografate dell'evento non sono leggibili.
- Gli eventi vengono inoltrati utilizzando il servizio parser eventi, che esiste sul server ePO stesso e tutti i gestori di Agent aggiuntivi. Pertanto, tutti i gestori di Agent devono stabilire una connessione al receiver syslog. Se sono stati configurati più ricevitori syslog, gli eventi vengono inoltrati a tutti i destinatari. Il server ePO e tutti i gestori di Agent aggiuntivi devono essere configurati per comunicare con tutti i ricevitori syslog. Pertanto, è necessario modificare di conseguenza le regole di firewall.