Hola,
Se tuvo un caso en donde se posee un firewall USG6630 V500R005C00SPC100 y se intenta enviar registros a un servidor OSSIM utilizando syslog. A continuación están los comandos que se ingresaron primeramente:
info-center source default channel 2 log level informational
info-center loghost <OSSIM-Server-IP-address>
info-center loghost source GigabitEthernet 1/0/7
También se configuró en la web del administrador del firewall, pero no se recibió ningún registro en el servidor OSSIM. Para confirmar la recepción de los datos de syslog en OSSIM ingresó este comando:
tcpdump –i eth0 –v –w /dev/null src <device_IP_Address> and port 514
Y no aparecen paquetes de salida.
Solución:
Ejecute el comando display info-center statistics para verificar el número de logs enviados por cada módulo de servicio a través del centro de información. Si el número de paquetes enviados no es 0, el FW ha enviado logs. Si el recuento es 0, no se generan registros de servicio.
[sysname] display info-center statistics Information statistics data:
ModuleID ModuleName LogSend LogDrop DiagSend DiagDrop TrapSend TrapDrop DebugSend DebugDrop
...
0xfdfe0000 AAA 0 0 0 0 0 0 0 0
0xfd740000 ADMIN 67 0 0 0 0 0 0 0
Verificar si el G1/0/7 tiene unión de vpn-instance. De ser así, el centro de log también debe vincular la vpn-instance:
[sysname] info-center loghost <OSSIM-Server-IP-address> vpn-instance xxx
Y verificar la política de seguridad del FW para permitir el tráfico UDP desde el FW al servidor de log a través del puerto 514 (número de puerto de syslog). Asegúrese de que el tráfico de envío de logs pueda coincidir con la política de seguridad donde la acción es permitida.
[sysname] display security-policy rule destination <OSSIM-Server-IP-address> protocol udp destination-port 514
Espero les ayude, en dado caso de enfrentarse en una situación como la mencionada.
