การตั้งค่าส่ง Syslog จาก NGAF / NSF ไปยัง Syslog Server

บทความนี้อธิบายการตั้งค่าให้ NGAF หรือ NSF ส่ง Log ไปเก็บยัง Syslog Server ภายนอก เพื่อรองรับการเก็บ Log ระยะยาวและตาม พ.ร.บ. คอมพิวเตอร์

ข้อกำหนดเบื้องต้น

• NGAF เวอร์ชัน 8.0.35 ขึ้นไป หรือ NSF เวอร์ชัน 8.0.85 ขึ้นไป
• Syslog Server ที่พร้อมรับ Log (เช่น Graylog, Splunk, rsyslog) โดยทราบ IP และ Port (ค่าเริ่มต้น UDP 514)

ขั้นตอนการตั้งค่า

1. เปิดใช้งาน Log ที่ต้องการส่ง

ไปที่ Monitor > Settings > Logging Options

ในส่วน Logging and Archiving ให้กด Enable ที่ประเภท Log ที่ต้องการส่ง เช่น Security Logs, Application Control Logs เป็นต้น

จากนั้นติ๊กเลือก Log Server ในช่อง Logging Location แล้วกด Settings

2. เพิ่ม Syslog Server

ไปที่ส่วน Log Servers ด้านล่าง แล้วกด Add

• IP: ใส่ IP ของ Syslog Server
• Port: ใส่ Port ที่ Syslog Server รับ (ค่าเริ่มต้น 514)
• Log Type: เลือกประเภท Log ที่จะส่ง เช่น Security Logs

กด Save

สำคัญ: เปิด Log events ใน Policy ด้วย

การเปิด Logging ที่ Logging Options เป็นเพียงการเปิด "ช่องทาง" ให้ส่ง Log ออกไปได้เท่านั้น แต่ Log จะเกิดขึ้นได้ก็ต่อเมื่อมีการเปิด Log events ในแต่ละ Policy ที่ Match Traffic ด้วย

• Security Logs (IPS, WAF, AV, Botnet ฯลฯ): เปิด Log events ใน Network Security Policy — ดู Best Practice สำหรับ Network Security Policy บน NGAF → วิธีตั้งค่า
• Application Control Logs: เปิด Logging ที่ Advanced > Settings ของ Application Control Policy — ดู วิธีตั้งค่า Application Control Policy บน NGAF/NSF → หมายเหตุ
• NAT (DNAT/BNAT): ใน NAT Policy ติ๊ก Log application control logs ที่ส่วน Options — ดูตัวอย่างที่ ให้ผู้ใช้ภายในเข้าถึง Server ด้วย Domain หรือ Public IP → ส่วนที่ 3: Options

ดูภาพรวม Log ทุกประเภทเพิ่มเติม: วิธีตั้งค่าการเก็บ Log บน NGAF/NSF (Local, Syslog, Cyber Command)

การตรวจสอบ

หลังตั้งค่าเสร็จ ให้ตรวจสอบที่ Syslog Server ว่ามี Log เข้ามาจาก IP ของ NGAF/NSF หรือไม่ หากไม่ได้รับ Log ให้ตรวจสอบ:

• Firewall rule ระหว่าง NGAF/NSF กับ Syslog Server ว่าเปิด UDP port ที่กำหนดไว้หรือยัง
• Syslog Server กำหนด listen ที่ port และ protocol ถูกต้อง

หมายเหตุ

• NGAF: ส่งได้ 1 Syslog Server เท่านั้น
• NSF: ส่งได้มากกว่า 1 Syslog Server
• ประเภท Log ที่ส่งได้: Security Logs, Application Control Logs, Admin Operation Logs, Traffic Audit Logs, NAT Logs, User Authentication Logs, System Failure Logs, SSL VPN Logs, Local ACL Logs, INP Audit Logs
• แนะนำให้เปิด Security Logs เป็นอย่างน้อย ส่วน Log ประเภทอื่นเปิดตามความจำเป็น เพราะจะมีปริมาณ Log สูง