ePO syslog forwarding は TCP プロトコルのみをサポートしており、
Transport Layer Security (TLS) が必要です。具体的には、
syslog-ng と呼ばれる
RFC 5424 や
RFC 5425 に続くレシーバーをサポートします。
Syslog レシーバーが使用する証明書を ePO にインポートする必要はありません。証明書が有効である限り、ePO はそれを受け入れます。自己署名証明書はサポートされており、通常はこの目的で使用されます。
ePO は、 syslog 受信機への接続時に
Mutual TLS をサポート
しません。
ePO は、
TLSv1.2 と次の暗号スイートをサポートしています:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS ハンドシェイクを成功させるには、syslog レシーバーが上記のスイートの少なくとも1つをサポートしている必要があります。
syslog レシーバーが上記の要件をサポートしていない場合、イベント転送は失敗します。具体的な症状は、特定のsyslogレシーバーによって異なりますが、以下の1つまたは複数が含まれる可能性があります:
- syslog 登録サーバーページの接続テストオプションをクリックすると、エラーメッセージが表示されるか、省略記号: '...' が表示されます。
- syslog レシーバーでイベントが受信されていません。
- イベントは受信されますが、イベント全体が判読不能になります。
注:
- データ損失対策 (DLP) など、一部の製品イベントの一部は読み取れません。製品によっては、イベントの機密フィールドを暗号化するため、テキストは読めません。これらのフィールドは、管理対象製品の拡張子を介して復号化され、 ePO に表示されます。イベントは、拡張機能が復号化する前の生の状態で syslog 受信機に転送されます。そのため、イベントの暗号化されたセクションは判読できません 。
- イベントは、ePO サーバ本体と追加の Agent Handler に存在するイベントパーサーサービスを使用して転送されます。そのため、すべての Agent Handler は、 syslog レシーバーへの接続を行う必要があります。複数の syslog レシーバーが設定されている場合、イベントはすべてのレシーバーに転送されます。ePO サーバと追加の Agent Handler は、すべての syslog 受信機と通信するように構成する必要があります。したがって、ファイアウォールルールを適切に調整する必要があります。