2.6.4. Serveurs Syslog
2.6.4.1. Introduction
Le protocole Syslog permet d'exporter des données liées à la détection depuis le GCenter vers des serveurs Syslog distants.
Exemple de serveurs distants :
un SIEM
un SIEM Splunk
l'ETL Logstash
Le nombre de serveurs Syslog est limité à deux.
Les données à exporter peuvent être :
des alertes ou
des alertes et des métadonnées
Ces données peuvent être filtrées dans l'écran de Paramètres Filtrage.
Note
Aucune donnée système du GCenter ou du GCap n'est concernée par cet export.
Enfin les données peuvent être chiffrées : ce chiffrement peut être défini dans l'écran Chiffrement.
Pour plus de détails sur la gestion des données, voir l'Utilisation des données.
2.6.4.2. SIEM
Pour connecter le GCenter à un SIEM, il doit être défini comme serveur Syslog dans l'Ecran `Admin-GCenter- Data Exports` de la legacy web UI.
Pour la mise en œuvre, voir la procédure d'Export des données vers un SIEM via le protocole syslog.
2.6.4.3. SIEM Splunk
Pour connecter le GCenter à un SIEM Splunk, le SIEM doit être défini comme serveur Syslog dans l'Ecran `Admin-GCenter- Data Exports` de la legacy web UI.
Pour la mise en œuvre, voir la procédure d'Export des données vers un SIEM SPLUNK via le protocole syslog.
2.6.4.4. Logstash
Pour connecter le GCenter vers l'ETL Logstash, celui-ci doit être défini comme serveur Syslog dans l'Ecran `Admin-GCenter- Data Exports` de la legacy web UI.
Un pipeline développé par Gatewatcher permet de récupérer le contenu JSON des logs exportés afin de pouvoir le manipuler ensuite avec les filtres Logstash.
Pour la mise en œuvre, voir la procédure d'Export des données vers l'ETL Logstash via le protocole syslog.
Note
Il est possible de créer rapidement un POC (Proof Of Concept).
Pour la mise en œuvre, voir la procédure de Création rapide d'un POC Logstash.