关于审核日志转发

通过使用审核日志转发,基础架构管理员可以将审核日志转发到远程安全信息和事件管理 (SIEM) 系统。此类系统启用集中式审核兼容性、监视、日志分析以及控制的保留策略。

使用的转发协议是 RFC5424 和 RFC5426 中所述的基于 UDP 的标准 syslog 协议。所有常见的 syslog 服务器都支持 syslog 协议,例如,rsyslog、syslog-ng 和 SIEM 产品。
注意:

确保 HPE OneView 和远程 syslog 服务器之间的任何防火墙允许 UDP 通信。使用的默认 UDP 端口为 514。

由于审核日志条目是通过 UDP 转发的,因此,不会加密这些条目,并且无法保证传输这些条目。即使 HPE OneView 和所有管理的装置位于专用的隔离管理 LAN 上,将审核日志条目转发到外部系统也可能会产生安全风险。在需要加密的环境中,请使用 REST API /rest/audit-logs 计划作业以下载设备审核日志。有关更多信息,请参阅适用于 HPE Synergy 的 HPE OneView API 参考

更多信息