วิธีตั้งค่าการเก็บ Log บน NGAF/NSF (Local, Syslog, Cyber Command) – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

บทความนี้อธิบายประเภท Log บน Sangfor NGAF/NSF วิธีตั้งค่าการเก็บ Log และปลายทางที่รองรับ

NGAF แบ่ง Log เป็นหลายประเภท ได้แก่:

Security Logs — Attack Log เช่น WAF, IPS, Web Access Blocking, Botnet Detection
Application Control Logs — Log การใช้งานของ User (Src/Dst IP, Port, Policy ที่ Match)
Traffic Audit Logs — Log การตรวจสอบ Content ของ Traffic
NAT Logs — Log การ Translate IP Address
User Authentication Logs — Log การ Login/Logout ของ User
SSL VPN Logs — Log การเชื่อมต่อ SSL VPN
Local ACL Logs — Log การเข้าถึงตัว NGAF เอง
HA Error Logs — Log ปัญหาของ High Availability
Admin Operation Logs — Log การดำเนินการของ Admin บนอุปกรณ์
System Failure Logs — Log ปัญหา Hardware/Software

สำคัญ: Default จะเปิดเฉพาะ Security Logs (Local) เท่านั้น — Log ประเภทอื่นต้องเปิดเอง

ไปที่ Monitor > Settings > Logging Options > Logging and Archiving

สามารถเลือกปลายทางได้ 3 แบบ:

1. Local (เก็บในอุปกรณ์)

2. Syslog (ส่งไป Syslog Server)

เลือก Enable Logging
เลือก Location: Syslog
กำหนด IP และ Port ของ Syslog Server (Default Port 514, รองรับสูงสุด 5 Syslog Servers)

3. Cyber Command (CCOM)

Security Log: ไปที่ Monitor > Logs > Security Logs — Filter ได้ตาม IP, ประเภท, เวลา, ความรุนแรง, Action
Application Log: ไปที่ Monitor > Logs > Access Logs — Filter ได้ตาม Src/Dst IP, เวลา, Action
NAT Log: ตรวจสอบได้ที่ Syslog Server (ไม่แสดงในหน้า UI)

ต้อง Enable Logging และเลือก Location สำหรับ Log แต่ละประเภทที่ต้องการเก็บ
สำหรับ Application Control Logs ต้องเปิด Log events ใน Policy ด้วย — ดูรายละเอียดที่ วิธีตรวจสอบ Access/Traffic Log
Log ที่เก็บ Local สามารถตั้ง Auto-delete ได้: ลบหลังจาก XX วัน (Default 60 วัน) หรือลบเมื่อ Disk Usage ถึง XX% — หากต้องการเก็บระยะยาวควรส่งไป Syslog Server
สามารถเลือกเก็บ Log หลายปลายทางพร้อมกันได้ เช่น Local + Syslog

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง