管理审核日志转发

通过使用审核日志转发,HPE OneView 可以将审核日志转发到远程安全信息和事件管理 (SIEM) 系统。此类系统启用集中式审核兼容性、监视、日志分析以及控制的保留策略。

使用的转发协议是 RFC5424 和 RFC5426 中所述的基于 UDP 的标准 syslog 协议。所有常见的 syslog 服务器都支持 syslog 协议,例如,rsyslog、syslog-ng 和 SIEM 产品。
注意:

由于审核日志条目是通过 UDP 转发的,因此,不会加密这些条目,并且无法保证传输这些条目。即使 HPE OneView 和所有管理的设备位于专用的隔离管理 LAN 上,将审核日志条目转发到外部系统也可能会产生安全风险。在需要加密的环境中,请使用 REST API /rest/audit-logs 计划作业以下载装置审核日志。有关详细信息,请参阅《HPE OneView API 参考》

前提条件
  • 权限:基础架构管理员。

  • 确保 HPE OneView 和远程 syslog 服务器之间的任何防火墙允许 UDP 通信。使用的默认 UDP 端口为 514。

过程
  1. 从主菜单中,选择设置 > 安全性
  2. 单击“安全性”面板中的编辑图标,或者选择操作 > 编辑
  3. 编辑安全性屏幕上的审核日志下面,启用审核日志转发
    注意:

    默认情况下,将禁用审核日志转发。

  4. 要添加目标系统,请单击添加目标
  5. 添加目标页中,提供以下详细信息:
    1. 目标系统的完全限定域名 (FQDN) 或 IP 地址(IPv4 或 IPv6)。
    2. SIEM 服务器正在侦听的端口。默认端口:514。
  6. 单击添加。要添加更多目标系统,请单击添加+。您最多可以配置三个转发目标。
  7. 单击 OK

    将在操作 > 审核日志窗格中显示配置的转发目标。

  8. 单击发送测试日志条目
  9. 确认测试条目已成功转发到目标 SIEM 服务器日志。