相关产品
Log360

综合 SIEM 和 UEBA
下载 | 演示
AD360

集成身份与访问管理
下载 | 演示
ADManager Plus

活动目录管理与报告
下载 | 演示
ADAudit Plus

实时活动目录审计和 UBA
下载 | 演示
ADSelfService Plus

自助密码管理
下载 | 演示
EventLog Analyzer

实时日志分析与报告
下载 | 演示
Exchange Reporter Plus

Exchange Server 审计与报告
下载 | 演示

Log360 Cloud
设置
添加Syslog设备

添加Syslog设备

在 UNIX 设备上配置 Syslog 服务
在 macOS 设备上配置 Syslog 服务
在 HP-UX/Solaris/AIX 设备上配置 Syslog 服务
在 VMware 上配置 Syslog 服务
在 Arista 交换机上配置 Syslog 服务
在 Cisco 交换机上配置 Syslog 服务
在 HP 交换机上配置 Syslog 服务
在 Cisco 设备上配置 Syslog 服务
在 Cisco Firepower 设备上配置 Syslog 服务
在 SonicWall 设备上配置 Syslog 服务
在 Juniper 设备上配置 Syslog 服务
在 PaloAlto 设备上配置 Syslog 服务
在 Fortinet 设备上配置 Syslog 服务
在 Check Point 设备上配置 Syslog 服务
在 NetScreen 设备上配置 Syslog 服务
在 WatchGuard 设备上配置 Syslog 服务
在 Sophos 设备上配置 Syslog 服务
在 Barracuda 设备上配置 Syslog 服务
在 Barracuda Web 应用防火墙上配置 Syslog 服务
在 Barracuda 邮件安全网关上配置 Syslog 服务
在华为防火墙设备上配置 Syslog 服务
在 Meraki 设备上配置 Syslog 服务
在 pfSense 设备上配置 Syslog 服务
在 H3C 设备上配置 Syslog 服务
从 F5 设备向 Log360 Cloud Agent 转发 Syslog 的配置步骤
将 Windows 防火墙添加到 Log360 Cloud
在 Cyberoam 设备上配置 Syslog 服务
在 Dell 交换机上配置 Syslog 服务
在 Forcepoint 交换机上配置 Syslog 服务
在 Stormshield 设备上配置 Syslog 服务

在 UNIX 设备上配置 Syslog 服务

注意：请注意不同协议使用的默认端口号。

默认端口号	使用的协议
513 & 514	UDP
514	TCP
513	TLS

要识别正在使用的 Syslog 服务，请执行以下命令：

复制到剪贴板

ps aux | grep syslog

结果将返回当前正在运行的 Syslog 服务。

根据使用的 Syslog 服务，按以下步骤配置日志转发到 Log360 Cloud 服务器。

根据协议，在配置文件中添加所需条目。

syslogd
- 文件路径：/etc/syslog.conf
- UDP：
  
  复制到剪贴板
  
  *.*<space/tab>@<agent_machine_name 或 ip>:<port_no>
rsyslogd
- 文件路径：/etc/rsyslog.conf
- UDP：
  
  复制到剪贴板
  
  *.*<space/tab>@<agent_machine_name 或 ip>:<port_no>
- TCP
  
  复制到剪贴板
  
  *.*<space/tab>@@<agent_machine_name 或 ip>:<port_no>
- TLS
  注意：请检查先决条件然后再追加所述条目
  复制到剪贴板
```
$DefaultNetstreamDriverCAFile </path/to/CACertificate.crt>
$ActionSendStreamDriver gtls
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name
$ActionSendStreamDriverPermittedPeer <commonname>
*.*<space/tab>@@<agent_machine_name or ip>:<port_no>
```

syslog-ng

文件路径：/etc/syslog-ng/syslog-ng.conf

UDP：

复制到剪贴板


destination d_log360cloud { network( <agent_machine_name or ip> port(<port>) transport("udp")  ); }; 
log { source(<source_name>); destination(d_log360cloud); };

TCP：

复制到剪贴板


destination d_log360cloud { network( <agent_machine_name or ip> port(<port>) transport("tcp") ); }; 
log { source(<source_name>); destination(d_log360cloud); };

TLS：

注意：请检查先决条件然后再追加所述条目

复制到剪贴板


destination d_log360cloud { network("<agent_machine_name or ip>" port("<port>") transport("tls") tls(key-file("/path/to/private.key") cert-file("/path/to/certificate.crt") ca-dir("/path/to/ca/directory"))); };
log { source(<source_name>); destination(d_log360cloud); };

<source_name> 可从 syslog-ng.conf 文件中使用 system(); 和 internal(); 调用的现有 source 配置找到
例如：此处 <source_name> 应为 "s_src"
```
source s_src {
system();
internal();
};
```

保存配置并重启 Syslog 守护进程，使用以下命令：

复制到剪贴板

service <syslog/rsyslog/syslog-ng> restart

或

复制到剪贴板

systemctl restart <syslog/rsyslog/syslog-ng>

以 root 用户身份登录并编辑 syslog.conf/rsyslog.conf/syslog-ng.conf 文件，位于 /etc 目录。
您可以通过在终端或 Shell 中执行 'ps -aux | grep syslog' 命令来检查设备上的 logger。
对于基于 UDP 的日志收集：

*.*<space/tab>@<agent_machine_name 或 ip>:<port_no> 在配置文件末尾，<agent_machine_name 或 ip> 是运行 Log360 Cloud Agent 的机器的 DNS 名称或 IP 地址。保存配置并退出编辑器。

对于基于 TCP 的日志收集：

*.*<space/tab>@@<agent_machine_name 或 ip>:<port_no> 在末尾，<server_name> 是运行 Log360 Cloud Agent 的机器的 DNS 名称或 IP 地址。保存配置并退出编辑器。

注意：确保您提供的 Log360 Cloud Agent 服务器可以从 Syslog 设备访问。

前提条件

在代理中安装有效证书。点击此处了解如何安装有效证书。
仅支持 PFX 格式存储证书。若使用 keystore 格式，请转换为 PFX。
配置日志转发时，请从证书供应商处获取根证书。

使用其他证书：

配置日志转发时，请从证书供应商处获取根证书。

转发应用程序日志到 Log360 Cloud Agent 服务器

如果需要转发某些特定应用程序的日志，则需要在 Linux 设备的 rsyslog.conf（或 syslog.conf）中进行以下配置

在 MODULES 部分，检查是否包含有 "$ModLoad imfile"。（此模块 "imfile" 将任何输入文本文件转换为 syslog 消息，然后可以转发到 Log360 Cloud Agent 服务器。）
以下指令包含外部日志文件的详细信息：

$InputFileName <Monitored_File_Absolute_Path>
$InputFileStateFile <State_Filename>
$InputFileSeverity <Severity >
$InputFileFacility <Facility >
$InputRunFileMonitor

要转发日志，我们必须提供以下行： <Facility>.<Severity> @Host-Ip:Port

示例：

$InputFileName /var/log/sample.log

$InputFileStateFile sample

$InputFileSeverity info

$InputFileFacility local6

local6.info @log360cloud-Server:514

这里 /var/log/sample.log 是要转发的外部文件。

注意：

这些说明适用于所有 Linux 设备。
不同的 <Monitored_File_Absolute_Path> 请使用唯一的 <State_Filename>。
转发审计日志时，Red Hat 系统带有安全增强（SElinux）的默认策略有时不允许读取审计日志。这时，可通过在 etc/audisp/plugins.d/syslog.conf 中添加 "active=yes" 来转发审计日志：

在 macOS 设备上配置 Syslog 服务

以 root 用户身份登录并编辑 syslog.conf 文件，位于 /etc 目录。
追加 *.*<tab>@<server_IP> 在末尾，其中 <server_IP> 是运行 Log360 Cloud Agent 的机器的 IP 地址。

注意：确保 Log360 Cloud Agent 服务器的 IP 地址可从 MAC OS 设备访问。

保存文件并退出编辑器。
执行以下命令重启 syslog 设备：

$ sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist

$ sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

在 HP-UX/Solaris/AIX 设备上配置 Syslog 服务

以 root 用户登录。
编辑 /etc 目录下的 syslog.conf 文件，如下所示。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug<tab-separation>@<agent_machine_name or ip>

其中 <agent_machine_name or ip> 是运行 Log360 Cloud Agent 的机器名称。确保在 *.debug 和 tab 分隔 以及 @<agent_machine_name or ip>.

注意之间只有一个

：对于 Solaris 设备，只需在 syslog.conf 文件中包含 *.debug<tab-separation>@<agent_machine_name or ip> 即可。
保存配置并退出编辑器。编辑 /etc 目录下的services 目录。
文件。 514将 syslog 服务端口号更改为
，这是 Log360 Cloud Agent 的默认侦听端口之一。但如果选择了除 514 以外的其他端口，请在添加设备到 Log360 Cloud Agent 时填写相同端口。

使用适当的命令启动操作系统上的 syslog 守护进程： （针对 HP-UX）

/sbin/init.d/syslogd start （针对 Solaris）

/etc/init.d/syslog start （针对 Solaris 10）

svcadm -v restart svc:/system/system-log:default （针对 IBM AIX）

在 VMware 上配置 Syslog 服务

startsrc -s syslogd

所有 ESX 和 ESXi 设备都运行 syslog 服务（syslogd），将 VMkernel 和其他系统组件的消息记录到文件中。

配置 ESX 设备上的 syslog 服务： vSphere Client 和 vicfg-syslog 无法用于配置 ESX 设备上的 syslog 行为。配置 ESX 设备的 syslog，必须编辑 /etc/syslog.conf

文件。

配置 ESXi 设备上的 syslog 服务：

在 ESXi 设备上，可以使用 vSphere Client 或 vSphere CLI 命令 vicfg-syslog 配置以下选项：日志文件路径

：指定 syslogd 记录所有消息的文件的存储路径。远程主机

：指定转发 syslog 消息的远程设备。为接收转发的 syslog 消息，远程主机必须安装 syslog 服务。远程端口

：指定接收 syslog 消息的远程主机端口。
使用 vSphere CLI 命令配置：有关 vicfg-syslog 的详细信息，请参阅 vSphere 命令行界面安装和参考指南。

使用 vSphere Client 配置：
在 vSphere Client 清单中，点击主机。点击 Configuration
选项卡。点击 Advanced Settings 下的.
Software 选择 Syslog
在树状控件中。

在 Syslog.Local.DatastorePath 文本框中，输入存储路径，syslog 会将消息记录到该文件。如果未指定路径，默认路径为 /var/log/messages。

存储路径格式为 [<datastorename>] </path/to/file>，路径相对于存储卷根目录。示例

：存储路径 [storage1] var/log/messages 映射到路径 /vmfs/volumes/storage1/var/log/messages。
在 Syslog.Remote.Devicename 文本框中，输入转发 syslog 数据的远程主机名称。如果未指定该值，则不转发任何数据。 514在 Syslog.Remote.Port 文本框中，输入远程主机接收 syslog 数据的端口。Syslog.Remote.Port 默认为
选项卡。 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.

在 Arista 交换机上配置 Syslog 服务

确定
登录到 Arista 交换机进入 config
模式。

按如下配置交换机，将日志发送到 Log360 Cloud Agent 服务器 Arista#
config terminal Arista(config)# logging host < agent_server_Ip > < port_number > protocol [tcp/udp]
config terminal logging trap information
config terminal copy running-config startup-config

配置命令执行日志：

Arista(config)# aaa accounting commands all console start-stop logging
Arista(config)# aaa accounting commands all default start-stop logging
Arista(config)# aaa accounting exec console start-stop logging
Arista(config)# aaa accounting exec default start-stop logging
Arista(config)# copy running-config startup-config

配置登录日志：

Arista(config)# aaa authentication policy on-success log
Arista(config)# aaa authentication policy on-failure log
Arista(config)# copy running-config startup-config

在 Cisco 交换机上配置 Syslog 服务

登录交换机。
进入 config 模式。
按如下配置交换机（此处使用 Catalyst 2900）将日志发送到 Log360 Cloud Agent 服务器：

<Catalyst2900># config terminal
<Catalyst2900>(config)# logging <agent_server_IP>

针对最新的 Catalyst 交换机：
Catalyst6500(config)# set logging <agent_server_IP>

还可以使用以下命令配置日志设施和陷阱通知：
Catalyst6500(config)# logging facility local7
Catalyst6500(config)# logging trap notifications

注意：这些命令同样适用于 Cisco 路由器。

请参阅 Cisco® 文档，了解相应路由器或交换机的 Syslog 服务配置详细步骤。如您的 Cisco 设备的 Syslog 格式与 Log360 Cloud Agent 支持的标准 syslog 格式不同，请联系 log360-support@manageengine.com 。

在 HP 交换机上配置 Syslog 服务

登录交换机。
输入以下命令。

HpSwitch# configure terminal

HpSwitch(config)# logging severity debug

HpSwitch(config)# logging <Agent_IP_ADDRESS>

在 Cisco 设备上配置 Syslog 服务

在 Cisco 设备上配置 Syslog 服务，请按以下步骤操作：

登录防火墙。
进入 config 模式；
按如下配置交换机（此处使用 Catalyst 2900），将日志发送到 Log360 Cloud Agent 服务器：

Cisco-ASA# Arista#

Cisco-ASA(config)# logging host <agent _server_IP> [TCP/UDP]/< Port_Number >

注意：默认 UDP 端口为 514，默认 TCP 端口为 1470。

Cisco-ASA(config)# logging trap information

Cisco-ASA(config)# logging facility local7

在 Cisco Firepower 设备上配置 Syslog 服务

第 1 步：Syslog 服务器配置

要配置流量事件的 Syslog 服务器，导航至 Configuration → ASA Firepower Configuration → Policies → Actions Alerts 并点击 Create Alert 下拉菜单并选择选项 创建 Syslog 警报。对于 Web 界面，导航到 Policies → Actions Alerts。输入 Syslog 服务器的值。

名称：指定唯一标识 Syslog 服务器的名称。
主机：指定 Syslog 服务器的 IP 地址/主机名。
端口：指定 Syslog 服务器的端口号。
设施：选择在您的 Syslog 服务器上配置的任一设施。
严重性：选择在您的 Syslog 服务器上配置的任一严重性。
标签：指定您希望与 Syslog 消息一起显示的标签名称。

第2步：启用连接事件的外部日志记录

当流量命中启用了日志记录的访问规则时，会生成连接事件。要启用连接事件的外部日志记录，请导航至 ASDM Configuration → ASA Firepower Configuration → Policies → Access Control Policy。对于 Web 界面，导航到 Policies → Access Control Policy。编辑 访问规则 并导航到 日志记录 选项。
选择日志记录选项，选择 在连接开始和结束时记录或仅在连接结束时记录。导航至 发送连接事件到 选项并指定事件发送位置。
若要将事件发送到外部选择服务器，请选择 Syslog，然后从下拉列表中选择 Syslog 警报响应。您还可以通过点击添加图标来添加 Syslog 警报响应。

第3步：启用入侵事件的外部日志记录

当签名（snort 规则）匹配某些恶意流量时，会生成入侵事件。要启用入侵事件的外部日志记录，请导航至 ASDM Configuration → ASA Firepower Configuration → Policies → Intrusion Policy → Intrusion Policy。对于 Web 界面，导航到 Policies → Intrusion Policy → Intrusion Policy。新建入侵策略或编辑现有策略。导航到 Advanced Setting → External Responses.
若要将入侵事件发送到外部 Syslog 服务器，选择启用选项，位于 Syslog Alerting 然后点击编辑选项。

日志主机：指定 Syslog 服务器的 IP 地址/主机名。

设施：选择您 Syslog 服务器上配置的任一设施。

严重性：选择在您的 Syslog 服务器上配置的任一严重性。

在 SonicWall 设备上配置 Syslog 服务

要在 SonicWall 设备上配置 Syslog 服务，请按照以下步骤操作：

以 管理员.
身份登录 SonicWall 设备 导航至Log → Automation ，向下滚动到.
Syslog Servers 点击添加

按钮。

使用 Web 浏览器连接到 SonicWall 管理界面，输入用户名和密码登录。
Syslog Servers 点击左侧菜单中的日志按钮。这将在主显示区打开一个标签窗口。 Configuration
日志设置在发送日志 中，在字段中输入运行 Cloud Agent 的机器的 IP 地址Syslog Server 1 。如果监听的端口号不是 514，请在字段中输入相应的值.
日志设置 Syslog server port 1自动化 ，将 Syslog 格式设置为.
日志设置 增强型 Syslog 类别
→ 日志，勾选您希望接收 Syslog 消息的所有事件类型。

点击更新按钮。

对于 SonicOS 6.5 及以上版本：
以管理员身份登录 SonicWall 设备。
点击管理标签，展开日志设置> SYSLOG
在 Syslog 服务器下点击添加。
在添加 Syslog 服务器窗口中，输入 Log360 Cloud Agent 服务器的 IP 地址或主机名。
输入端口号，并将服务器类型设置为 Syslog。
将 Syslog 格式设置为增强型 Syslog。

点击确定以配置。

在 Juniper 设备上配置 Syslog 服务

可能需要重启 SonicWall 以使新设置生效。

要在 Juniper 设备上配置 Syslog 服务，请按照以下步骤操作： 管理员.
登录 Juniper 设备为 导航至 Configuration
配置展开 CLI 工具 在左侧窗格中，点击 CLI 编辑器 子树中，导航到 Advanced Settings syslog.
system
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。点击提交 保存更改。要查看更改，点击.

CLI 查看器

在 PaloAlto 设备上配置 Syslog 服务

完成配置步骤后，Juniper 设备的日志将自动转发到 Log360 Cloud Agent 服务器。

要在 Palo Alto 设备上配置 Syslog 服务，请按照以下步骤操作： 管理员.
身份登录 SonicWall 设备以设备 → 服务器配置文件 → Syslog
配置 Syslog 服务器配置文件。 为流量、威胁和 WildFire 提交日志配置 Syslog 转发。首先导航到对象 → 日志转发点击，点击
创建日志转发配置文件。
将日志转发配置文件分配给安全规则。
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。点击配置系统、配置、HIP 匹配和关联日志的 Syslog 转发。

以使更改生效。: 来源

https://www.paloaltonetworks.com/documentation/70/pan-os/pan-os/monitoring/configure-syslog-monitoring.html

要在 Palo Alto 设备上配置 Syslog 服务，请按照以下步骤操作： 管理员.
对于版本 7.1 及以上：

Software 以.
选项卡。点击为 Log360 Cloud Agent 服务器配置 Syslog 服务器配置文件
并为配置文件指定名称。
如果防火墙有多个虚拟系统（vsys），请选择此配置文件可用的位置（vsys 或共享）。点击对于 Log360 Cloud Agent 服务器，点击
选项卡。 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.

，输入所需信息。

配置流量、威胁和 WildFire 提交日志的 Syslog 转发。

Software 为流量、威胁和 WildFire 提交日志配置 Syslog 转发。首先导航到创建日志转发配置文件。点击，点击
，输入用于识别配置文件的名称。

创建日志转发配置文件。

对于每种日志类型及每个严重性级别或 WildFire 判定，选择 Log360 Cloud Agent 的 Syslog 服务器配置文件，并点击确定。

Software 配置系统、配置、HIP 匹配和关联日志的 Syslog 转发。.
设备 → 日志设置 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.
对于系统和关联日志，点击每个严重性级别，选择 Log360 Cloud Agent 的 Syslog 服务器配置文件，点击 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。

选项卡。点击对于配置、HIP 匹配和关联日志，编辑该部分，选择 Log360 Cloud Agent 的 Syslog 服务器配置文件，点击

以使更改生效。: 保存更改。

https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-admin/monitoring/configure-syslog-monitoring

在 Fortinet 设备上配置 Syslog 服务

完成配置步骤后，Palo Alto 设备的日志将自动转发到 Log360 Cloud Agent 服务器。

要在 Fortinet 设备（FortiManager 5.0.7 及以上版本）上配置 Syslog 服务，请按照以下步骤操作： 管理员.
以 管理员 身份登录 Fortinet 设备

通过 GUI 定义 Syslog 服务器，路径为

系统设置 → 高级 → Syslog 服务器

或使用 CLI 命令：

config system syslog

edit <服务器名称>

set ip <Syslog 服务器 IP>

end

通过 CLI 启用将 FortiManager 本地日志发送到 Log360 Cloud Agent 服务器。

config system locallog syslogd setting

set syslog-name <前面步骤定义的远程 syslog 服务器名称>

set status <enable | disable>

config system syslog

set csv 是否启用 CSV。

set facility 远程 syslog 的设施。 set port 服务器监听的端口。

在 Check Point 设备上配置 Syslog 服务

完成配置步骤后，Fortinet 设备的日志将自动转发到 Log360 Cloud Agent 服务器。

以管理员身份登录Check Point设备 管理员.
若要覆盖锁定，请点击 锁定图标 屏幕左上角。
选项卡。是在出现的确认弹窗中。
身份登录 SonicWall 设备 系统管理 → 系统日志记录.
在 远程系统日志记录 部分，点击点击.
在 添加远程服务器日志条目 窗口中，输入 远程服务器的IP地址 （Log360 Cloud Agent服务器）。
从 优先级下拉菜单中，选择要发送到远程服务器的日志严重级别。
选项卡。 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.

在 NetScreen 设备上配置 Syslog 服务

您的NetScreen设备中的Syslog服务，可以通过两种方式配置：

使用NetScreen设备启用Syslog消息：

登录NetScreen GUI。
身份登录 SonicWall 设备 配置 → 报告设置 → Syslog.
勾选 启用Syslog消息 复选框。
选择 信任接口作为源IP 并启用 包含流量日志 选项。
在给定的框中输入 Log360 Cloud Agent服务器的IP地址 和 Syslog端口（514） 。所有其他字段均为默认值。
选项卡。应用以保存更改。

使用CLI控制台启用Syslog消息：

执行以下命令：

Netscreen → set syslog config <ip 地址> facilitates local0 local0
Netscreen → set syslog config <ip 地址> port 514
Netscreen → set syslog config <ip 地址> log all
Netscreen → set syslog enable

在 WatchGuard 设备上配置 Syslog 服务

若要配置您的 WatchGuard 设备中的Syslog服务，请按照以下步骤操作：

以管理员身份登录WatchGuard设备 管理员.
身份登录 SonicWall 设备 系统 → 日志记录 → Syslog.
启用 发送日志消息到此IP地址的syslog服务器 复选框。
在IP地址输入框中输入Log360 Cloud Agent服务器的IP地址。
Software 514 在提供的框中输入端口.
Software 选择从 日志格式 下拉列表中选择。
如果您希望在日志消息详情中包含日期和时间，请启用 时间戳 复选框。
如果您希望在日志消息详情中添加序列号，请启用 设备序列号 复选框。
在 Syslog设置 部分的下拉列表中为每种类型的日志消息选择syslog功能。

对于高优先级的syslog消息（如警报），选择 Local0。
要为其他类型的日志消息分配优先级，请选择Local1至 Local7。
若不发送某类消息的详情，请选择无。

注意：数字越小优先级越高。

选项卡。保存

在 Sophos 设备上配置 Syslog 服务

若要配置您的 Sophos 设备中的Syslog服务，请按照以下步骤操作：

启用Sophos-UTM Syslog：

以管理员身份登录Sophos UTM。
身份登录 SonicWall 设备 日志与报告 → 日志设置 → 远程Syslog服务器
启用 Syslog服务器状态
填写以下详细信息配置syslog服务器

名称：<任意>

服务器：<Log360 Cloud Agent服务器IP地址>

端口：<513>

身份登录 SonicWall 设备 远程Syslog → 选择要发送到Log360 Cloud Agent服务器的日志。
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。应用

启用Sophos-XG Syslog：

以管理员身份登录Sophos-XG。
身份登录 SonicWall 设备 系统 → 系统服务 → 日志设置 → Syslog服务器 → 添加
填写以下详细信息配置syslog服务器

名称：<任意>

服务器：<Log360 Cloud Agent服务器IP地址>

端口：<513>

功能：<DAEMON>

严重级别：<INFORMATION>

格式：<标准格式>

插入主机节点及所需值，如主机名、严重性、设施和日志前缀。保存
身份登录 SonicWall 设备 系统 → 系统服务 → 日志设置 → 选择要发送到Log360 Cloud Agent服务器的日志。

在 Barracuda 设备上配置 Syslog 服务

您的 Barracuda 设备中的Syslog服务，可以通过以下五个步骤配置：

启用Syslog服务

身份登录 SonicWall 设备 配置 → 完全配置 → 盒子 → 基础设施服务 → Syslog流.
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。锁定.
启用Syslog服务。
选项卡。 发送更改 和激活.

配置日志数据过滤器

身份登录 SonicWall 设备 配置 → 完全配置 → 盒子 → 基础设施服务 → Syslog流.
从菜单选择 日志数据过滤器.
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。 配置模式 → 切换到高级视图 → 锁定
点击+图标添加新条目。
在 过滤器 中输入描述名称并点击 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.
在 数据选择 表，添加要流式传输的日志文件。（例如 Fatal_log、Firewall_Audit_Log、Panic_log）
在 受影响盒子日志数据 部分，从 数据选择列表.
在 定义Syslog守护进程将影响的盒子日志类型。 受影响服务日志数据
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。 发送更改 和激活.

部分，从数据选择列表定义由服务创建且受Syslog守护进程影响的日志类型。

身份登录 SonicWall 设备 配置 → 完全配置 → 盒子 → 基础设施服务 → Syslog流.
从菜单选择 配置日志流目标.
日志流目标展开.
点击+图标添加新条目。
配置模式 → 切换到高级视图 > 锁定 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.
输入描述名称并点击 在目标窗口中选择.
远程日志主机在日志主机IP
地址字段中输入Log360 Cloud Agent服务器IP地址作为目标IP地址。 513, 514.
输入用于传递syslog消息的目标端口为 UDP.
选项卡。 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。 发送更改 和激活.

输入目标协议为禁用
日志数据标记

身份登录 SonicWall 设备 配置 → 完全配置 → 盒子 → 基础设施服务 → Syslog流.
配置日志数据流 从菜单选择.
日志流目标 日志数据流 配置模式 菜单并选择.
切换到高级视图
配置模式 → 切换到高级视图 > 锁定 ，syslog 使用的默认 UDP 端口。只有在配置了 Syslog.Remote.Devicename 时，Syslog.Remote.Port 的更改才生效。.
点击+图标添加新条目。
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。 发送更改 和激活.

在 Barracuda Web 应用防火墙上配置 Syslog 服务

配置活动流、日志目标和日志过滤器设置。

Barracuda Web应用可以通过以下步骤配置：
导航至高级 > 导出日志 > 添加导出日志服务器

在添加导出日志服务器中，输入以下详细信息并点击确定
名称：输入Log360 Cloud Agent服务器名称
IP地址或主机名：输入Log360 Cloud Agent服务器的IP地址或主机名
端口：输入与Log360 Cloud Agent服务器IP地址关联的端口（513、514）

在 Barracuda 邮件安全网关上配置 Syslog 服务

日志时间戳和主机名：启用以发送带有事件日期和时间的日志

Barracuda电子邮件安全网关应用可以通过以下步骤配置： 要配置邮件Syslog，请使用Barracuda电子邮件安全网关Web界面，导航至
高级 → 高级网络
输入Log360 Cloud Agent服务器的IP地址，syslog邮件流相关数据将发送到该地址。

在华为防火墙设备上配置 Syslog 服务

指定传输syslog数据的协议TCP或UDP，以及端口（513、514）。

登录 Huawei 防火墙设备。
身份登录 SonicWall 设备 系统视图 → 日志监控 → 防火墙日志流
要将流量监控日志导出到 Log360 Cloud Agent 服务器，请在指定区域输入以下详细信息：
Info-center loghost <Log360 Cloud Agent 服务器 IP 地址> 514 facility <facility>
退出配置模式。

在 Meraki 设备上配置 Syslog 服务

要在您的 Meraki 设备中配置 Syslog 服务，请按照以下步骤操作：

以用户身份登录 Meraki 设备 管理员.
在仪表板中，导航至 网络范围 → 配置 → 常规.
Syslog Servers 添加 syslog 服务器 链接。在指定字段中输入 Log360 Cloud Agent 服务器 IP 地址 和 UDP 端口号.
定义角色，以便将数据发送到服务器。

注意：如果 Flows 角色在 Meraki 安全设备上启用，则可以启用/禁用单个防火墙规则的日志记录。可通过导航至 安全设备 → 配置 → 防火墙 并编辑 日志列.

选项卡。保存.

在 pfSense 设备上配置 Syslog 服务

登录 pfSense 设备。
身份登录 SonicWall 设备 状态 → 系统日志 → 设置.
启用 远程日志记录.
指定 IP 地址 和端口的 Log360 Cloud Agent 服务器。
选中所有 远程 Syslog 内容.
选项卡。保存.

在 H3C 设备上配置 Syslog 服务

以用户身份登录 H3C 安全设备 管理员.
进入系统视图模式。
启用 Info center 复选框。
配置主机的输出规则：
info-center source {<模块名称>|default} {console|monitor|logbuffer|logfile|loghost} {deny|level <严重级别>}
指定日志主机并配置以下参数：
info-center loghost {<agent_server_IP>} [port <端口号>][facility <本地编号>]
现在您已成功配置了 H3C 安全设备。

从 F5 设备向 Log360 Cloud Agent 转发 Syslog 的配置步骤

要转发系统日志：

登录 "配置实用程序"。
身份登录 SonicWall 设备 系统 → 日志 → 配置 → 远程日志.
输入远程 IP。本情况中的远程 IP 即 Log360 Cloud Agent 服务器的 IP 地址。
输入远程端口号。Log360 Cloud Agent 的默认远程端口为 514。
点击 "添加"。
点击 "更新"。

转发事件日志。（例如：防火墙事件）

创建管理端口目标

登录 "配置实用程序"。
导航至系统 → 日志 → 配置 → 日志目标。
点击 "创建"。
输入日志目标名称。
要指定日志类型，点击 "管理端口"。
输入 Log360 Cloud Agent 服务器的 IP 地址。
输入 Log360 Cloud Agent 服务器的监听端口。默认监听端口为 514。
协议选择 UDP 协议。
点击 "完成"。

创建格式化的远程 syslog 目标。

现在导航至 系统 → 日志 → 配置 → 日志目标.
点击 "创建"。
输入日志目标名称。
要指定日志类型，选择远程 syslog。
在 syslog 设置下，设置 syslog 格式 为 "syslog"，并选择 转发到管理 端口作为 syslog 目标。
点击 "完成"。

创建日志发布器以转发日志。

身份登录 SonicWall 设备 系统 → 日志 → 配置 → 日志发布器.
点击 "创建"。
输入日志发布器配置名称。
在 在可用 列表中，点击先前配置的 远程 syslog 目标 名称并将其移到 已选择 列表。
点击 "完成"。

为虚拟服务器创建日志配置文件

身份登录 SonicWall 设备 安全 > 事件日志 > 日志配置文件.
点击 "创建"。
输入 配置文件名称 作为日志配置文件名称。
然后勾选 网络防火墙 旁的复选框。
在网络防火墙设置下，输入发布器。输入 先前配置的 Syslog 发布器.
在日志规则匹配项下，点击 “接受、丢弃和拒绝”。（注意：如果您不需要任何日志，可以禁用该功能）。
其他选项保持默认。（注：存储格式应为 “无”）
然后点击 "创建"。

将日志配置文件应用于对应的虚拟服务器

现在导航至 本地流量 → 虚拟服务器
选择您想要应用日志配置文件的 虚拟服务器 在顶部点击安全标签并点击策略。
前往网络防火墙。
设置执行：
，并选择您的网络防火墙策略。启用在日志配置文件下，启用日志配置文件并选择先前配置的日志配置文件。
然后点击更新。
要监控 Windows 防火墙日志，您首先需要添加要收集防火墙日志的 Windows 主机。

将 Windows 防火墙添加到 Log360 Cloud

为让 Log360 Cloud Agent 收集 Windows 防火墙日志，您必须修改 Windows 主机的本地审核策略并启用所有防火墙相关事件。具体操作如下：

打开命令提示符。

执行以下命令以启用所有防火墙相关事件的日志记录：
auditpol.exe /set /category:"Policy Change" /subcategory:"MPSSVC rule-level policy change" /success:enable /failure:enable
auditpol.exe /set /category:"Policy Change" /subcategory:"Filtering Platform policy change" /success:enable /failure:enable
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Main Mode" /success:enable /failure:enable
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Quick Mode" /success:enable /failure:enable
auditpol.exe /set /category:"Logon/Logoff" /subcategory:"IPsec Extended Mode" /success:enable /failure:enable
auditpol.exe /set /category:"System" /subcategory:"IPsec Driver" /success:enable /failure:enable
auditpol.exe /set /category:"System" /subcategory:"Other system events" /success:enable /failure:enable
auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable
auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform connection" /success:enable /failure:enable
重启主机或使用以下命令强制手动刷新：
gpupdate /force Cyberoam

在 Cyberoam 设备上配置 Syslog 服务

若要配置您的 启用 Cyberoam Syslog： 设备中的Syslog服务，请按照以下步骤操作：

以管理员身份登录 Cyberoam。

日志与报告 > 配置 > Syslog 服务器 > Syslog 服务器 > 添加
身份登录 SonicWall 设备 名称：<任意>
填写以下详细信息配置syslog服务器
格式：< Cyberoam 标准格式>
服务器：<Log360 Cloud Agent服务器IP地址>
端口：<513>
功能：<DAEMON>
严重级别：<INFORMATION>
日志与报告 > 配置 > 日志设置
插入主机节点及所需值，如主机名、严重性、设施和日志前缀。保存
身份登录 SonicWall 设备 > 选择要发送到 Log360 Cloud Agent 服务器的日志。 要让 Log360 Cloud Agent 服务器收集 Dell 交换机日志，需在交换机上启用日志记录。

在 Dell 交换机上配置 Syslog 服务

可以通过在命令提示符中输入以下命令启用 Dell 交换机上的日志记录。

命令

参数	console# configure
进入配置模式。	console(conf)# logging <agent_server_IP>
设置用于发送日志输出的外部 syslog 服务器的 IP 地址或主机名。（可选）也可输入 UDP 和 TCP 端口号。	：有关更多信息，请参阅您的 Dell 交换机文档。

注意要让 Log360 Cloud Agent 服务器收集 Forcepoint 设备的日志，必须在 Forcepoint NGFW 安全管理中心启用日志转发。

在 Forcepoint 交换机上配置 Syslog 服务

在安全管理控制台中，转到

配置 > 网络元素 > 服务器 > 日志服务器 右键单击日志服务器，选择属性。将打开日志服务器 - 属性弹出窗口。
点击添加。需填写以下字段信息。
输入 Log360 Cloud Agent 服务器的主机名或 IP 地址。
输入 TCP 端口号 513 和 UDP 端口号 514。
在日志格式中选择 CEF 格式。
选择日志转发标签，点击确定。
启用从 Stormshield 设备收集日志，请执行以下步骤：

在 Stormshield 设备上配置 Syslog 服务

登录防火墙。

通知
Syslog Servers 点击 Configuration
Syslog Servers 按钮。选择 以启动 Syslog 服务。启用目标
选项卡。保存.