# Event-Relais hinzufügen :computer-mouse: Klicke auf :plus: **Kollektor-Relais hinzufügen** in der rechten oberen Ecke der [Event-Relais-Übersicht](/docs/manual/bedienung-der-plattform/siem/allgemeine-kollektoren/event-relay.md#event-relay-ubersicht), um ein neues Event-Relais zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Event Relay** → **Hinzufügen**.
:computer-mouse: Klicke auf **Kollektor hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um das neue Event-Relais zu speichern und erstellen. :computer-mouse: Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Kollektor hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
NameGib dem Event-Relais einen aussagekräftigen Namen.
Beschreibung

Beschreibe das Event-Relais genauer.

Dieses Feld ist optional.

Aktiviert

Aktiviere das Event-Relais, damit der Pulsar, der als Event-Relais fungiert, Syslog-Daten empfangen und an das SIEM weiterleiten kann.

Diese Option ist standardmäßig aktiviert.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Aktiviert oder entferne den Haken aus der Checkbox :square-check:, um das Event-Relais zu deaktivieren.

Hosts

Wähle den Host aus, auf dem der Pulsar installiert ist, der als Event-Relais fungieren soll.

Bitte beachte: Damit ein Host für das Event-Relais ausgewählt werden kann, muss für diesen in den Host-Einstellungen im Bereich Core Feature die Option SIEM-Integration aktiviert sein.

:computer-mouse: Klicke dazu in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen Host aus. Oder nutze die Freitexteingabe, um einen Host in der Liste schneller zu finden.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.

Bind-Adresse

Gib eine Bind-IP-Adresse an, an die das Event-Relais gebunden ist, um eingehende Verbindungsanfragen anzunehmen.

Die standardmäßig angegebene Bind-Adresse ist 0.0.0.0. Damit können sowohl Verbindungsanfragen aus dem internen als auch dem externen Netz angenommen werden.

Port

Gib den Port an, über den das Event-Relais eingehende Syslog-Daten empfangen soll.

Der standardmäßig angegebene Port ist 514.

Bitte beachte: Die Einstellungen von Syslog-Quelle und Event-Relais für den Port müssen übereinstimmen. Wenn du an der Syslog-Quelle keine manuellen Anpassungen vornehmen kannst, verwende im Event-Relais den Standard-Port 514.

Bitte beachte: Werden in deinem Netzwerk unterschiedliche Syslog-Formate verwendet, kannst du auf einem Pulsar mehrere Event-Relais für die unterschiedlichen Syslog-Formate einrichten. Achte jedoch dabei zwingend darauf, dass für jedes Event-Relais ein eigener Port verwendet wird!

Protokoll

Lege das Transportprotokoll fest, über das das Event-Relais eingehende Syslog-Daten empfängt.

Das standardmäßig angegebene Protokoll ist UDP.

:computer-mouse: Klicke in das Feld Protokoll, um eine Liste aller verfügbaren Protokolle auszuklappen.

Folgende Protokolle stehen zur Verfügung:

  • UDP: Logs werden über das User Datagram Protocol (UDP) verbindungslos übertragen.
  • TCP: Logs werden über das Transmission Control Protocol (TCP) verbindungsorientiert übertragen.
  • TLS: Logs werden über eine mit Transport Layer Security (TLS) abgesicherte Verbindung verschlüsselt übertragen.
Format

Lege das Syslog-Format fest, in dem eingehende Roh-Logs durch das Event-Relais verarbeitet werden sollen.

Das standardmäßig angegebene Format ist RFC5424.

Bitte beachte: Die Einstellungen von Syslog-Quelle und Event-Relais für das Syslog-Format müssen übereinstimmen. Wenn du an der Syslog-Quelle keine manuellen Anpassungen vornehmen kannst, verwende im Event-Relais das Format RFC 3164.

Bitte beachte: Werden in deinem Netzwerk unterschiedliche Syslog-Formate verwendet, kannst du auf einem Pulsar mehrere Event-Relais für die unterschiedlichen Syslog-Formate einrichten. Achte jedoch dabei zwingend darauf, dass für jedes Event-Relais ein eigener Port verwendet wird!

:computer-mouse: Klicke in das Feld Format, um eine Liste aller verfügbaren Syslog-Formate auszuklappen.

Folgende Formate stehen zur Verfügung:

  • RFC3164: Logs werden im BSD-Syslog-Format nach RFC 3164 verarbeitet.
  • RFC5424: Logs werden im standardisierten Syslog-Format nach RFC 5424 verarbeitet.
  • RFC6587: Logs werden im Syslog-over-TCP-Format nach RFC 6587 verarbeitet.
*** ## Automatisches Log-Parsing
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
Automatisches Log-Parsing deaktivieren

Aktiviere diese Option, um eingehende Roh-Logs ohne die automatische Umwandlung in ein strukturiertes, maschinenlesbares Format zu weiterzuleiten.

Diese Option ist standardmäßig aktiviert.

Common Event Format (CEF)Aktiviere diese Option, um eingehende Roh-Logs vor der Weiterleitung automatisch in das Common Event Format (CEF) umzuwandeln.
Original-Log verwerfen nach automatischem Log-Parsing

:eye: Diese Option ist nur sichtbar, wenn du ganz zum Seitenende scrollst.

Aktiviere diese Option, um das Quell-Log nach der automatischen Log-Umwandlung zu verwerfen.

Diese Option ist standardmäßig aktiviert. Wir empfehlen diese Einstellung, um zu verhindern, dass das SIEM redundante Daten indexiert. Backups sind von dieser Einstellung nicht betroffen.

:computer-mouse: Setze einen Haken in die Checkbox :square: um die Option zu aktivieren. Entferne den Haken aus der Checkbox :square-check: um die Option zu deaktivieren.

*** ## Vordefinierte Extraktoren Hier hast du die Möglichkeit, aus vordefinierten Extraktoren für die Anwendungen verschiedener Hersteller zu wählen. Jeder Extraktor wandelt dabei den herstellerspezifischen Inhalt des Syslog-Message-Felds so um, dass die entsprechenden Syslog-Daten standardisiert im SIEM angezeigt und weiterverarbeitet werden können.
Aktuell stehen Extraktoren für die folgenden Hersteller und Anwendungen zur Auswahl:
Verfügbare Extraktoren * Barracuda Networks: * Barracuda Firewall * Barracuda WAF * Barracuda Mailhub * Cisco Systems: * Adaptive Security Appliances (ASA) (Vorschau) * Catalyst (Vorschau) * Firepower Threat Defense (Vorschau) * Meraki Networks * Citrix Systems: * Netscaler * consistec GmbH: * Caplon * Drivelock * DriveLock HYPERSECURE (Vorschau) * ESET * ESET Protect * F5 Networks * Nginx * BIG-IP Application Security Manager * Fortinet * FortiSIEM * FortiGate * G DATA CyberDefense * G DATA Management Server * genua GmbH * Genugate * Lancom Systems * Unified Firewall * Palo Alto Networks * Panorama * PFSense/OPNsense * Securepoint * Unified Threat Management (UTM) * SonicWall * Sophos * Sophos Next-Gen Firewall * Sophos UTM * Trend Micro * Apex One * WatchGuard Technologies * Watchguard
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/allgemeine-kollektoren/event-relay/event-relais-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.