Sophos UTM
Sophos UTM是一款来自Sophos的一体化设备,可以提供多种日志类型。
在你开始之前
与其他防火墙和VPN解析器一样,您可以将来自Sophos UTM的所有日志定向到收集器上的单个事件源端口,并且所有日志都是从同一流解析的。
使用单个端口通常很容易配置,但如果所有防火墙只有一个事件源,则在故障排除期间在InsightIDR中更难管理。
- 相同端口:如果将所有防火墙配置为发送日志数据到相同的端口,例如UDP端口10000,那么在InsightIDR中所有防火墙都有一个事件源。
- 不同的端口:如果您将每个防火墙配置为发送到不同的、唯一的端口,则每个防火墙将有单独的事件源。
- 例如:Firewall1发送UDP端口10001,Firewall2发送UDP端口10002
确定了不同数据流的发送方式后,需要配置Sophos UTM发送syslog。阅读如何做到这一点:https://community.sophos.com/kb/en-us/123292。
如何在InsightIDR中配置该事件源
这个页面对你有帮助吗?