如何設定 USG FLEX H 防火牆 Syslog Server(日誌管理伺服器)

Zyxel小編 Corey

前言

透過防火牆事件日誌可以查詢某個時間點發生了甚麼問題，這對於網管人員來說是非常重要的。防火牆依照型號大小，具有不同的事件日誌儲存比數，最小型號的防火牆只會有 256 筆儲存空間，新的日誌將複寫最舊的紀錄。若只依賴防火牆儲存空間，將造成無法追蹤異常紀錄的狀況。

因此本篇文章向各位說明，如何設定防火牆 Syslog Server，將事件日誌導到外部儲存空間，保留數個月、甚至數年的紀錄，以備查詢。

備註 : 本篇文章使用 USG FLEX 500H V1.30(ABZH.0) 作為截圖畫面

設定步驟

以下將說明防火牆如何設定 Syslog Server，以及使用 Visual Syslog Server 作為範例。

備註 : Visual Syslog Server 非 ZYXEL 所有，本篇僅作為範例介紹。

步驟1 - 設定防火牆 Syslog Server

前往 【日誌與報告 > 日誌設定 】，選擇其中一個遠端伺服器啟用事件日誌。

• 將需要儲存的日誌類別選擇「一般」
  • 「停用」為不儲存、「除錯」為 RD 故障檢測使用

請於相同頁面往下捲動，依據上方選擇的遠端伺服器填入資訊 :

• 勾選「啟用」
• 依據 Syslog Server 選擇日誌格式(本篇範例選擇 syslog)
• 輸入伺服器位址(Server 建議在防火牆 LAN 底下)
• 預設值 Syslog Server 伺服器埠為「514」
• 日誌 Facility 僅用於 Syslog Server 分類使用

步驟2 - 安裝 Syslog Server

前往網站下載 : https://sourceforge.net/projects/syslogserverwindows/

雙擊安裝檔案，開始安裝。一直點選下一步即可。

步驟3 - 設定完成

Syslog Server 成功接收防火牆的事件日誌後，您可以使用日誌分析工具 (如 Splunk、ELK Stack) 對這些日誌進行深入分析，以發現潛在的安全威脅和系統異常。

附錄 - Syslog Server 設定參數

點選 Setup 可以調整 log 檔案儲存位置、分割檔案。

建議將 log 檔分割成小檔案，避免檔案過大，難以開啟查詢。