我正在寻找有关 F5 是否可以将 syslog 信息转发到 SIEM(例如 arclight 或 Qradar)的信息。
我听说您只能在端口 80 上发送未加密的流量,但不能转发任何加密的内容。这是真的吗?还有人遇到过这个问题吗?
答案1
F5 BIG-IP 使用 syslog-ng 进行基本日志记录,因此它将依赖于通过 TLS 进行相互认证或者一些隧道法。
根据 F5 的文档(页面底部):
“如果您想确保远程记录的 Syslog-ng 消息是加密的,您必须首先建立一个安全隧道。”
这假设您只会使用系统中包含的 vanilla syslog-ng。
F5 BIG-IP 通常与高速日志记录 (HSL) 集成到 SIEM 中,后者提供包括近实时事件(如安全攻击和其他时间敏感的日志记录需求)在内的事件。BIG-IP 包括安全功能,而系统日志不适合事件流量。
F5 大 IP高速记录确实支持安全远程日志记录。
大多数主要的 SIEM 供应商还将提供有关如何与 F5 BIG-IP 集成的具体信息。
如果您有任何其他信息,请在此处发表评论,我会相应地更新我的答案。