<p class="shortdesc">本文介绍如何配置使平台通过Syslog方式转发日志。</p> <section class="section prereq" id="bysyslog__prereq_imd_tzl_rsb"><div class="tasklabel"><h2 class="doc-tairway">前提条件</h2></div> <p class="p">您已购买安全日志审计实例。</p> </section> <section><div class="tasklabel"><h2 class="doc-tairway">操作步骤</h2></div><ol class="ol steps"><li class="li step stepexpand"> <span class="ph cmd">登录<a class="xref" href="https://www.ocftcloud.com/console/log-audit" target="_blank" rel="external noopener">安全日志审计SLA控制台</a>，进入<span class="keyword wintitle">实例列表</span>页面。</span> </li><li class="li step stepexpand"> <span class="ph cmd">单击目标实例<span class="ph uicontrol"> 操作</span>列的<span class="ph uicontrol">管理</span>，进入安全日志审计控制台。</span> <div class="itemgroup info"> <img class="image" id="bysyslog__d80e53" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112057-1ecc508f988a.png" width="830"> </div> </li><li class="li step stepexpand"> <span class="ph cmd">在页面上边栏选择<span class="ph uicontrol">系统</span>，在左侧菜单栏选择<span class="ph menucascade"><span class="ph uicontrol">系统配置</span><abbr> > </abbr><span class="ph uicontrol">日志接收</span></span>，进入<span class="ph uicontrol">日志接收</span>页面。</span> </li><li class="li step stepexpand"> <span class="ph cmd">选择<span class="ph uicontrol">日志转发</span>页签，单击<span class="ph menucascade"><span class="ph uicontrol">新增</span><abbr> > </abbr><span class="ph uicontrol">Syslog转发</span></span>，进入<span class="ph uicontrol">Syslog转发</span>页面。</span> </li><li class="li step stepexpand"> <span class="ph cmd">根据以下信息，配置<span class="ph uicontrol">Syslog</span>转发策略，配置完成后单击<span class="ph uicontrol">保存</span>。</span> <div class="itemgroup info"> <div class="p"> <img class="image" id="bysyslog__image_rzr_fnt_4sb" src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20222803112056-11e35fb8901e.png" width="400"> </div> <table class="table"><caption></caption><colgroup><col><col></colgroup><thead class="thead"> <tr class="row"> <th class="entry colsep-1 rowsep-1" id="bysyslog__entry__1"> <p class="p"> 配置项 </p> </th> <th class="entry colsep-1 rowsep-1" id="bysyslog__entry__2"> <p class="p"> 说明 </p> </th> </tr> </thead><tbody class="tbody"> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 添加日志头 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 是否添加日志头信息，便于识别日志从哪个设备上发送过来。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 解析后日志 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 选择<span class="ph uicontrol">是</span>转发平台解析后的日志；选择<span class="ph uicontrol">否</span>转发原始日志。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 日志头 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 需要添加的日志头信息。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> IP </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 填写第三方系统的IP地址。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 端口 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 填写第三方系统的接收端口。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 转发格式 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p">转发出去日志的格式，例如：“${rawEvent}”表示转发原始日志。</p> <p class="p">转发多个字段日志信息，可以通过配置不同的字段信息。转发多个字段信息时，字段间通过“,”隔离，例如：${rawEvent},${deviceName}。</p> <p class="p">字段信息的含义如下：</p> <p class="p">rawEvent：原始日志信息</p> <p class="p">deviceName：资产名称</p> <p class="p">deviceVersion：资产类型</p> <p class="p">deviceAddress：资产IP地址</p> <p class="p">eventID：事件ID</p> <p class="p">destAddress：目的地址</p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 解决方案包 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 选择解决方案包 。</p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 目录名称 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p">，系统将会转发该目录的日志数据。</p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 线程数 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 填写日志转发线程数 。</p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 是否开启批量 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 是否开启批量发送日志。 </p> </td> </tr> <tr class="row"> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__1 "> <p class="p"> 批量数 </p> </td> <td class="entry colsep-1 rowsep-1" headers="bysyslog__entry__2 "> <p class="p"> 批量发送日志的条数，默认为500 。</p> </td> </tr> </tbody></table> </div> </li><li class="li step stepexpand"> <span class="ph cmd" id="bysyslog___Toc37140705">单击页面右上角的<span class="ph uicontrol">重启</span>按钮重启SOC服务，使配置生效。</span> </li></ol></section>