ePO syslog 转发仅支持 TCP 协议,并且需要
Transport Layer Security (TLS)。 具体支持以下接收器
RFC 5424和
RFC 5425,即
syslog-ng.
无需将 syslog 接收器使用的证书导入 ePO 。 只要证书有效,ePO 即会接受该证书。 自签名证书受支持,并可用于此用途。
ePO 未
支持
互相的 TLS连接到 syslog 接收器时。
ePO 支持
TLSv1.2以及以下加密套件:
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
syslog 接收器必须至少支持上述套件中的一个,才能成功进行 TLS 握手。
如果您的 syslog 接收器不支持上述要求,则事件转发会失败。 具体症状取决于特定的 syslog 接收器,但可能包括以下一个或多个:
- 当测试连接单击 syslog 已注册的服务器 页面中的选项,显示一条错误消息或一个椭圆: '...'
- syslog 接收器不会接收任何事件。
- 已收到事件,但整个事件乱码且不可读。
注意:
- 部分产品事件(例如 Data Loss Protection (DLP))不可读。 文本不可读,因为有些产品会加密事件的敏感字段。 这些字段通过托管设备解密产品扩展 ePO 中显示。 事件会以原始状态转发到 syslog 接收器,然后再进行扩展解密。 因此,事件的加密部分不会 读。
- 事件使用代理服务事件解析器转发,该服务在 ePO 服务器 和任何其他代理处理程序上。 因此,所有代理处理程序必须连接到 syslog 接收器。 如果您配置了多个 syslog 接收器,则事件会转发给所有接收器。 ePO 服务器代理处理程序和任何其他代理处理程序必须配置为与所有 syslog 接收器通信。 因此,您必须相应地调整防火墙规则。