如何設定防火牆 Syslog Server(日誌管理伺服器)

Zyxel小編 Corey

前言

透過防火牆事件日誌可以查詢某個時間點發生了甚麼問題，這對於網管人員來說是非常重要的。防火牆依照型號大小，具有不同的事件日誌儲存比數，最小型號的防火牆只會有 256 筆儲存空間，新的日誌將複寫最舊的紀錄。若只依賴防火牆儲存空間，將造成無法追蹤異常紀錄的狀況。

因此本篇文章向各位說明，如何設定防火牆 Syslog Server，將事件日誌導到外部儲存空間，保留數個月、甚至數年的紀錄，以備查詢。

備註 : 本篇文章使用 ATP200 V5.37(ABFW.2) 作為截圖畫面

設定步驟

以下將說明防火牆如何設定 Syslog Server，以及使用 Visual Syslog Server 作為範例。

備註 : Visual Syslog Server 非 ZYXEL 所有，本篇僅作為範例介紹。

步驟1 - 設定防火牆 Syslog Server

前往 【設定 > 日誌與報告 > 日誌設定 > Remote Server 1 > 編輯】，選擇其中一個 Remote Server 點選編輯。

• 勾選啟動
• 依據 Syslog Server 選擇日誌格式(本篇範例選擇 syslog)
• 輸入 Server IP 位址(Server 建議在防火牆 LAN 底下)
• 預設值 Syslog Server 伺服器埠為 514
• 日誌設備選擇僅用於 Syslog Server 分類使用
• 將需要儲存的日誌類別選擇為 normal
  • disable 為不儲存、debug 為 RD 故障檢測使用

設定完成請記得點選 OK

步驟2 - 安裝 Syslog Server

前往網站下載 : https://sourceforge.net/projects/syslogserverwindows/

雙擊安裝檔案，開始安裝。

一直點選下一步即可。

步驟3 - 設定完成

Syslog Server 成功接收防火牆的事件日誌

附錄 - Syslog Server 設定參數

點選 Setup 可以調整 log 檔案儲存位置、分割檔案。

建議將 log 檔分割成小檔案，避免檔案過大，難以開啟查詢。