De acuerdo

Cómo configurar el firewall USG 6630 para enviar registros a un servidor de registros

Última respuesta abr. 05, 2021 17:22:17 212 1 0 0 0

Hola,


Se tuvo un caso en donde se posee un firewall USG6630 V500R005C00SPC100 y se intenta enviar registros a un servidor OSSIM utilizando syslog. A continuación están los comandos que se ingresaron primeramente:

info-center source default channel 2 log level informational
info-center loghost <OSSIM-Server-IP-address>
info-center loghost source GigabitEthernet 1/0/7


También se configuró en la web del administrador del firewall, pero no se recibió ningún registro en el servidor OSSIM. Para confirmar la recepción de los datos de syslog en OSSIM ingresó este comando:

tcpdump –i eth0 –v –w /dev/null src <device_IP_Address> and port 514

Y no aparecen paquetes de salida.


Solución:

Ejecute el comando display info-center statistics para verificar el número de logs enviados por cada módulo de servicio a través del centro de información. Si el número de paquetes enviados no es 0, el FW ha enviado logs. Si el recuento es 0, no se generan registros de servicio.

[sysname] display info-center statistics   Information statistics data:    

ModuleID    ModuleName  LogSend   LogDrop   DiagSend  DiagDrop  TrapSend  TrapDrop  DebugSend DebugDrop

  ... 

0xfdfe0000           AAA                0           0           0           0           0           0           0           0  

0xfd740000       ADMIN             67         0           0           0           0           0           0           0  


Verificar si el G1/0/7 tiene unión de vpn-instance. De ser así, el centro de log también debe vincular la vpn-instance:

[sysname] info-center loghost <OSSIM-Server-IP-address> vpn-instance xxx


Y verificar la política de seguridad del FW para permitir el tráfico UDP desde el FW al servidor de log a través del puerto 514 (número de puerto de syslog). Asegúrese de que el tráfico de envío de logs pueda coincidir con la política de seguridad donde la acción es permitida.

[sysname] display security-policy rule destination <OSSIM-Server-IP-address>  protocol udp destination-port 514 


Espero les ayude, en dado caso de enfrentarse en una situación como la mencionada.

  • x
  • Opciones:

Gustavo.HdezF
Admin Publicado 2021-4-5 17:22:17
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.