el reenvío de syslog de ePO solo admite el protocolo TCP y requiere
Transport Layer Security (TLS). En concreto, admite los receptores siguientes
RFC 5424 y
RFC 5425 , lo que se conoce como
syslog-ng .
No es necesario importar el certificado utilizado por el receptor de syslog en ePO. Siempre que el certificado sea válido, ePO lo aceptará. Los certificados autofirmados son compatibles y se utilizan habitualmente para este propósito.
ePO no
es compatible con
TLS mutuo cuando se conecta a un receptor de syslog.
ePO admite
TLSv1.2 y los siguientes conjuntos de cifrado:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
El receptor de syslog debe admitir al menos una de las Suites anteriores para que el protocolo de enlace TLS se realice correctamente.
Si el receptor de syslog no admite los requisitos anteriores, el reenvío de eventos falla. Los síntomas exactos dependen del receptor de syslog concreto, pero pueden incluir uno o varios de los siguientes elementos:
- Cuando se hace clic en la opción probar conexión de la página servidor registrado de syslog, se muestra un mensaje de error o se muestran puntos suspensivos: '... '.
- No se recibe ningún evento en el receptor de syslog.
- Se reciben los eventos, pero todo el evento es ilegible y no se pueden leer.
NOTAS:
- Las partes de algunos eventos del producto, como la protección contra la fuga de datos (DLP), no se pueden leer. El texto es ilegible porque algunos productos cifran campos confidenciales en el evento. Estos campos se descifran a través de la extensión de producto gestionado para que se muestre en ePO. Los eventos se reenvían al receptor de syslog en su estado sin procesar antes de que la extensión los descifre. Por lo tanto, las secciones cifradas del evento no se pueden leer.
- Los eventos se reenvían mediante el servicio Event Parser, que se encuentra en el propio servidor de ePO y en cualquier Controladores de agentes adicional. Por lo tanto, todos los Controladores de agentes deben establecer una conexión con el receptor de syslog. Si tiene varios receptores de syslog configurados, los eventos se reenvían a todos los receptores. El servidor de ePO y cualquier Controladores de agentes adicional se deben configurar para comunicarse con todos los receptores de syslog. Por lo tanto, debe ajustar las reglas de firewall en consecuencia.