1.Mục đích bài viết
Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình syslog server để lưu lại tất cả log trên thiết bị Sophos firewall vào syslog server.
Trong bài viết này Syslog server mà thegioifirewall sử dụng là Manageengine Eventlog.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos XG Firewall với IP 192.168.2.120.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 10.145.41.1/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Cuối cùng là thiết bị máy chủ có IP 10.145.41.11/24 được kết nối vào port 1, trên máy chủ này đã được cài đặt phần mềm thu thập, quản lý và phân tích log Manageengine Eventlog Analyzer.
3.Tình huống cấu hình
Thegioifirewall sẽ thực hiện cấu hình syslog server trên thiết bị tường lửa Sophos XG để thiết bị này gửi log của chính nó đến phần mềm Manageengine Eventlog Analyzer được cài đặt trên máy chủ.
4.Các bước thực hiện
- Cấu hình Syslog Server trên Sophos XG
- Cấu hình device trên Manageengine server
- Kiểm tra kết quả
5.Hướng dẫn cấu hình
5.1.Cấu hình syslog server trên Sophos XG
Để cấu hình chúng ta cần truy cập vào trang quản trị của tường lửa với quyền admin.
Tiếp theo vào System services > Log settings > nhấn Add.
Cấu hình theo các thông số như sau:
- Name: Manageengine
- IP address / Domain: nhập 10.145.41.11 (Đây là IP của server)
- Port: 513
- Facility: chọn DAEMON
- Severity level: chọn Information
- Format: Device Standard Format
- Nhấn Save để lưu
Sau khi đã cấu hình thêm syslog server, chúng ta cần chú ý đến phần Log Settings phía dưới chúng ta sẽ thấy được syslog server Manageengine hiện ra.
Đây sẽ là nơi các bạn sẽ tùy chọn loại log nào sẽ được gửi đến Manageengine server.
Ở đây thegioifirewall sẽ tích chọn tất cả.
Sau khi chọn nhấn Apply để áp dụng.
5.2.Cấu hình device trên Manageengine server
Chúng ta sẽ quay trở lại server và truy cập vào trang quản trị của phần mềm Manageengine Eventlog Analyzer.
Chúng ta vào Setting > Configuration > Manage Devices > Syslog Devices.
Chúng ta sẽ thấy thiết bị Sophos đã được tự đọng thêm vào Syslog Devices.
Chúng ta có thể chỉnh sửa thông số của device này bằng cách nhấn vào biểu tượng bút chì trên thiết bị.
Bảng Update Device hiện ra, ở đây mình sẽ đổi tên Display Name là Sophos XG Firewall và nhấn Update.
5.3.Kiểm tra kết quả
Để kiểm tra xem phần mềm Manageengine Eventlog đã nhận được log từ thiết bị Sophos chưa vào Reports > Devices > chọn biểu tượng mũi tên hướng xuống > chọn Sophos.
Lúc này phần mềm sẽ hiển thị ra toàn bộ tất cả các log nhận được từ thiết bị tường lửa Sophos.