Foro en Español

Reply
Contributor II
Posts: 41
Registered: ‎05-25-2015

Aumentar periodo de retención de logs en Clearpass o enviar logs a servidor externo

Hola,

Por lo que he visto Clearpass guarda sólo 7 días de logs en local, algo que es totalmente insuficiente para nosotros de cara a realizar análisis a posteriori de incidencias.

En algún documento de Aruba he leído que no se recomienda aumentar este período de retención (de hecho no he visto siquiera la posibilidad de hacerlo), así que hemos probado a redirigir los logs a nuestro servidor de syslog. El primer problema es que nuestro servidor syslog (rsyslogd) no identifica correctamente el hostname y nos muestra la fecha actual (ej: "2016-01-21"). Además no vemos más que una cantidad enorme de errores de bajo nivel, aun configurando nivel ERROR (y no el WARN que viene por defecto). Obviamente esto no es utilizable....

 

¿Qué métodos recomienda Aruba para mantener estos logs en períodos largos con una cierta usabilidad? ¿Es el syslog remoto la manera adecuada? ¿Se recomienda algún backend/frontal que aporte visibilidad y capacidad de filtrado adecuados?

Nos interesa guardar los logs de Audit Viewer, Event Viewer y Access Tracker....

 

Gracias

Moderator
Posts: 948
Registered: ‎07-29-2010

Re: Aumentar periodo de retención de logs en Clearpass o enviar logs a servidor externo

Los tiempos de borrado de logs los puedes configurar en Administration > Server Manager > Server Configuration > Cluster Wide Parameters > Cleanup Intervals. Puedes incrementarlo hasta 15 días.

 

Por otra parte, si los logs de Clearpass no fueran interpretables por vuestro servidor de Syslog, prueba a cambiar el formato en que se están enviando. En Administration > External Servers > Syslog Export Filters puedes configurar CP para que envíe los logs en formato CEF, LEEF o Standard.

 

Y ya por acabar, aunque se hayan borrado los logs, es probable que la información que estás buscando puedas encontrarla también en insight. El periodo de retención por defecto en Insight es de 30 días, pero puedes configurarlo para que llegue hasta 730, con lo que tendrías más que de sobra.

 

Saludos!

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor II
Posts: 41
Registered: ‎05-25-2015

Re: Aumentar periodo de retención de logs en Clearpass o enviar logs a servidor externo

ok, gracias! Respecto a la exportación de syslog, no me había dado cuenta de definir los filtros, así que no me llegaba lo que tenía que llegar.

Probaré con lo de insight...

 

Saludos!

Contributor II
Posts: 41
Registered: ‎05-25-2015

Re: Aumentar periodo de retención de logs en Clearpass o enviar logs a servidor externo

Conocía Insight, pero lo utilizábamos sólo a nivel de estadísticas.... con tu mensaje cabo de descubrir que también es capaz de guardar todo el detalle  que necesitamos, y además durante períodos largos... así que perfecto, no necesitamos más, gracias de nuevo!

Search Airheads
Showing results for 
Search instead for 
Did you mean: