Access Gate génère trois flux qu'il est utile d'exporter hors de l'appliance : les alertes de sécurité, les enregistrements de flux issus du port de surveillance, et le journal d'audit des actions administratives. Ces trois flux peuvent être transmis à votre SIEM via syslog — le format reconnu par tous les SIEM.
Ce qui est exporté
| Flux | Usage typique | Volume |
|---|---|---|
| Alertes | Détection, réponse aux incidents | Faible — quelques secondes entre les événements |
| Journal d'audit | Conformité, revue des accès | Faible — par action utilisateur |
| Enregistrements de flux | Forensique réseau, établissement de référentiels | Moyen — proportionnel au trafic |
Vous choisissez quels flux transmettre, ce qui permet de maintenir un flux d'alertes ciblé tout en envoyant les enregistrements de flux en volume.
Destination Syslog
Access Gate envoie les événements via syslog — UDP, TCP ou TCP/TLS. La plupart des SIEM acceptent ce format nativement : Splunk, Elastic, QRadar et Sentinel (via son connecteur syslog) fonctionnent sans intégration personnalisée.
Configurer une destination syslog
- Accédez à Paramètres → Export de journaux → Destinations.
- Cliquez sur Ajouter une destination et sélectionnez Syslog.
- Saisissez le nom d'hôte/l'IP, le port (
514pour UDP/TCP,6514pour TLS) et le transport. - Importez le certificat CA du SIEM si vous utilisez TLS.
- Sélectionnez les flux à envoyer vers cette destination (alertes, audit, flux).
- Enregistrez.
Un bouton de test émet un événement synthétique pour vous permettre de confirmer sa réception côté SIEM avant de vous fier au signal de production.
Voir aussi
- Détection et alertes — ce qui alimente le flux d'alertes
- Journaux système et informations de diagnostic — journaux embarqués pour le dépannage
- Consulter l'historique des modifications d'enclave — contenu du flux d'audit