Palo Alto ‘da URL Loglarını Bir Syslog Sunucusuna Nasıl Göndeririz?

Syslog sunucusuna URL loglarını göndermek için, önemi “Informational” olan Threat loglarının da gönderilmesi gereklidir. Bunu yaparken URL loglarının yanı sıra diğer bilgilendirici threat logları da (Data Filtering) gönderilecektir.

Syslog’a URL loglarının gönderilmesinin nasıl yapılandırılacağı hakkında daha fazla bilgi için lütfen önce bu belgeye bakıniz: Palo Alto Threat Logları Syslog Sunucusuna Nasıl Gönderilir?

Varsayılan olarak, threat logları Syslog sunucusuna gönderildiği zaman, loglarda kaynak IP, hedef IP ve URL dahil olmak üzere birçok diğer çeşitli bilgilere ait alanlar bulunmaktadır.

Özel URL Log dosya biçimi oluşturmak

URL loglarınıda içeren özel bir syslog biçimini oluşturmak için, “$misc” alanını içeren, aşağıda bir örneğini gösterdiğim gibi özel syslog biçimi oluşturunuz. Threats yazısının üzerine tıklayarak log biçimini editleyebilirsiniz.

syslog-server-profile-11 syslog-server-profile-12Yukarıdaki fotoğraftaki örnekte, $category==URL kategorisi, $misc==URL, $src==Kaynak IP adresi seçili bir örnek oluşturdum ve bu log formatı syslog sunucusunda aşağıdaki gibi görünmektedir.:

syslog-server-profile-13Siz de kendi log formatınızı oluşturarak ihtiyacınız olan bilgilerin syslog sunucuna gönderilmesini sağlayabilirsiniz.

Not: URL Filtering ve Data Filtering threats ‘leri için “Informational” önem derecesini kullanın.

Gönderim

Gönderim ayarları Objects > Log forwarding bölümünden yapılandırmaktadır. Bu ayar sadece syslog için olan gönderiminin değil, Panorama, SNMP Trap veya E-posta gönderiminin de yapıldığı yerdir.

Aşağıdaki örnekte, e-posta uyarılarının gönderilmesi yapılandırılmaktadır:

syslog-server-profile-14