A2020

配置需要通过Syslog发送的日志类型和最低发送级别(Severity)。

事件类型：

• 身份验证：表示用户登录运维审计系统的事件，包括登录成功（级别为INFORMATIONAL）和登录失败（级别为WARNING）。
• 资产访问，表示发送资产访问的事件。请参考配置规则模板配置资产访问的事件级别。
• 命令防火墙：表示用户执行了高危命令中动作除了允许之外的命令，包括拒绝、终止会话、需复核、通知和全局禁止。对于需复核的命令，复核人执行复核操作后才会发送日志。
• 会话复核：表示用户执行了需要复核的会话。会话复核的级别和标题在工作台 > 高危操作 > 设置 > 会话复核中配置。配置了复核的会话一启动，运维审计系统就会发送日志。
• 字符审计日志：表示用户通过访问字符会话执行操作的事件，事件级别为INFORMATIONAL。
• 配置日志：表示用户在运维审计系统上操作产生的配置日志。例如：管理员进行配置用户、配置资产、配置权限、查看审计等配置功能产生的日志。事件级别为INFORMATIONAL。
• 系统告警：当触发系统告警时，运维审计系统可以定时发送告警日志，系统告警事件包括磁盘信息、服务信息、授权过期信息、节点负载过高以及应用发布服务器GSessiond服务不可用等。事件级别为WARNING。

  勾选后，根据页面显示设置重复发送的时间间隔，该设置仅对系统告警生效。

  Note: 服务信息是指运维审计系统的服务异常。

事件级别：在只发送级别不低于X的事件消息中选择需要发送的事件级别，只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。

事件级别由低到高依次为：NONE （不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。

• 远程主机，Syslog服务器IP地址，默认端口为514，自定义端口可在ip地址后加“:端口号”，例如“10.10.16.201:8022”。
  Note: 远程主机最多可配置3个。当配置多个时，向所有的远程主机发送告警事件消息。
• 协议，运维审计系统向Syslog服务器发送告警信息使用的协议，与Syslog服务器上的实际设置保持一致。
• syslog机制，设置Syslog消息的Facility值，用于指定Syslog服务的日志保存路径并对日志进行分类，与Syslog服务器上的实际设置保持一致。
• 标识，用于配置Syslog的identifier，可以是任意字符，长度不超过30。建议配置为运维审计系统或者您对运维审计系统的其它称谓。