Onglet Logs : Gestion des logs centralisés

La possibilité de centraliser des logs a été dissociée de la mise en place d'un serveur ZéphirLog[1]. Cela rend possible un transfert croisé des journaux ou une centralisation.

Le support des logs centralisés peut être activé dans l'onglet Service en mode expert.

Cette activation affiche un nouvel onglet nommé Logs dans l'interface de configuration du module.

Vue de l'onglet Logs
Vue de l'onglet Logs

Les options de cet onglet sont répartis en plusieurs sections :

  • la configuration de la réception des logs permet de spécifier les protocoles de communication entre des machines distantes émettrices identifiées par leur adresse IP et le poste configuré ;

  • la configuration de l'envoi des logs permet de spécifier l'adresse de la machine distante réceptrice. Le protocole (TCP ou RELP) utilisé est contraint par l'activation ou non du chiffrement (TLS) ;

  • la configuration des journaux à envoyer permet de sélectionner les journaux à envoyer ainsi que l'heure de début et de fin de transfert.

Réception des journaux

Si la réception des journaux est activée (Activer la réception des logs de machines distantes à oui), il est possible de choisir jusqu'à 3 protocoles de réception : RELP, UDP et TLS over TCP.

L'activation des protocoles ouvre les ports adéquats sur le module.

Attention

Lorsque vous pouvez choisir les protocoles d'envoi et de réception des journaux, pensez à suivre les préconisations de l'ANSSI.

Envoi des journaux

L'activation de l'envoi des journaux (Activer l'envoi des logs à une machine distante à oui) nécessite la saisie de l'adresse IP du serveur centralisateur de journaux.

Le protocole (TLS over TCP ou RELP) utilisé est contraint par l'activation ou non du chiffrement (TLS).

Attention

Lorsque vous pouvez choisir les protocoles d'envoi et de réception des journaux, pensez à suivre les préconisations de l'ANSSI.

Choix des journaux à envoyer

Si l'envoi des journaux est activé, il est possible d'envoyer tous les journaux ou de choisir les journaux à envoyer.

Il est également possible d'envoyer les journaux en temps réel ou en différé. L'heure de début et de fin (plage temporelle) de transfert des journaux est également paramétrable.