o encaminhamento do syslog do ePO é compatível apenas com o protocolo TCP e exige
Transport Layer Security (TLS). Especificamente, ele oferece suporte aos receptores a seguir
RFC 5424 e
RFC 5425 , o que é conhecido como
syslog-ng .
Não é necessário importar o certificado usado pelo receptor syslog para o ePO. Contanto que o certificado seja válido, o ePO o aceitará. Os certificados autoassinados são compatíveis e geralmente são usados com essa finalidade.
o ePO não
oferece suporte a
TLS mútuo ao conectar-se a um receptor syslog.
o ePO é compatível com
TLSv1.2 os seguintes pacotes de criptografia:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
O receptor syslog deve oferecer suporte a pelo menos um dos pacotes acima para que o handshake de TLS seja bem-sucedido.
Se o seu receptor de syslog não for compatível com os requisitos acima, o encaminhamento de evento falhará. Os sintomas exatos dependem do receptor específico de syslog, mas podem incluir um ou mais dos seguintes itens:
- Quando a opção testar conexão na página servidor registrado syslog é selecionada, uma mensagem de erro é exibida ou reticências: '...'
- Nenhum evento é recebido no receptor de syslog.
- Os eventos são recebidos, mas o evento inteiro fica confuso e ilegível.
NOTAS:
- Partes de alguns eventos do produto, como a proteção contra perda de dados (DLP), não podem ser lidas. O texto é ilegível, pois alguns produtos criptografam campos confidenciais no evento. Esses campos são descriptografados por meio da extensão do produto gerenciado para serem exibidos no ePO. Os eventos são encaminhados para o receptor syslog em seu estado bruto antes que a extensão os descriptografe. Portanto, as seções criptografadas do evento não são legíveis.
- Os eventos são encaminhados usando o serviço Analisador de eventos, que existe no próprio servidor ePO e em quaisquer manipuladores de Agent adicionais. Portanto, todos os manipuladores de Agent devem estabelecer uma conexão com o receptor syslog. Se você tiver vários receptores de syslog configurados, os eventos serão encaminhados para todos os receptores. O servidor ePO e todos os manipuladores de Agent adicionais devem ser configurados para se comunicar com todos os receptores de syslog. Portanto, você deve ajustar as regras de firewall de acordo.