日志管理器

一个用于管理多个防火墙设备日志的 Ansible 角色。

当前支持的提供商列表：

• Checkpoint
• TrendMicro

要求

需要使用 Red Hat Enterprise Linux 7.x，或其衍生的 Linux 发行版，如 CentOS 7、Scientific Linux 7 等。

为了让 TrendMicro 提供商与日志管理器正常工作，用户需安装 TrendMicro DeepSecurity 集合。

功能

• forward_logs_to_syslog - 将防火墙设备的日志转发到外部 syslog 服务器
• unforward_logs_to_syslog - 取消将防火墙设备的日志转发到外部 syslog 服务器

示例剧本

• Checkpoint

- hosts: checkpoint
  connection: httpapi

  tasks: 
    - include_role:
        name: log_manager
        tasks_from: forward_logs_to_syslog
      vars:
        syslog_server: 192.168.0.1
        checkpoint_server_name: test
        firewall_provider: checkpoint

• TrendMicro Deepsecurity

1. 创建一个 Syslog 配置，详细信息请参见 TM Deepsec 集合的 自述文件 由于 Syslog 采用了传统的 TM REST API 实现，因此需要在库存文件中包含 ansible_user 和 ansible_httpapi_pass。

- hosts: deepsec
  connection: httpapi

  tasks:
    - include_role:
        name: log_manager
        tasks_from: create_syslog_config
      vars:
        syslog_server: 192.168.0.1
        trendmicro_syslog_config_name: test
        firewall_provider: trendmicro
        state: present

2. 现在，我们已经创建了 Syslog 配置策略，需要将该策略注册到系统设置的事件转发参数下。请记住，系统设置属于新的 REST API，用户需要在其库存文件中传入 api_key，以便角色更新所需的设置。

- hosts: deepsec
  connection: httpapi

  tasks:
    - include_role:
        name: log_manager
        tasks_from: forward_logs_to_syslog
      vars:
        firewall_provider: trendmicro
        state: present

许可证

GPLv3

作者信息

Ansible 安全自动化团队