Clearpass ortamında yer alan loglarının Siem ortamına yönlendirilmesi için bir kaç işlem yapmamız gerekmektedir.
Öncelikle panele giriş yapıp sol kısımda Administrator menüsünün altında External Servers menüsüne giriş yapılır. Açılan alandan Syslog Targets açılır.Sağ üst köşeden Add butonuna tıklanır.
Logları göndereceğimiz SIEM ya da syslog forward işlemini yapacak olan sunucu bilgisi ve hangi port ve protokol üzerinden ilgili syslog konfigurasyonunu göndeceğimizi belirtiyoruz.
Save diyerek işlemi kaydedelim.
Sonrasında aynı menü altında yer alan Syslog Export Filters menüsüne giriş yapalım. Sağ üst köşeden + Add butonuna tıklayalım.
Açılan pencereden Export Filter için bir isim tanımlayalım. Export Templete menüsünden hangi log türünü gönderceğimizi seçelim. Test için Audit kayıtlarını göndereceğim. Event Format Type için Siem üzerinde hangi formatı kabul ediyorsa onu seçelim. Ben şimdilik Standard ile ilerliyorum (Testlerim sonrasında kullandığım siem ürünü (RFC 5424) formatını parse edebildiğini gördüm. Ek bilgi için belirtmek istedim. Siem ürününüzde yer alan parserin desteklediği format tipi ile burada ilerlemeniz gerekiyor. Eğer net bir bilgi yoksa burada yer alan formatı değiştirerek parse durumunu siem üzerinden kontrol ederek netleştirebilirsiniz.
Syslog Servers altında ilk yapmış olduğumuz, tanımlanan syslog sunucusunu ekleyelim. Clearpass Servers menüsünde ise ortamımızda yer alan clearpass sunucularını seçelim.
Next diyerek ilerlediğimizde yaplan işlemlerin kısa bir özetini görmekteyiz.
Save diyerek işlemi kayıt ettiğimizde mevcut ekran görüntüsünü bu şekilde yansıyacak.
