#原创分享#技术配置之深信服LAS日志审计功能讲解与配置部署

新年刚过，年轻而又稚嫩的我又来搬砖了，首先先祝大佬们新年快乐！！！发自内心的说一声新年好！！！！每当离家之时总是让我想起了人们常说：有工作的地方没有家，有家的地方却没有工作。他乡容纳不下灵魂，故乡安置不了肉身。

一个叫家的地方找不到养家糊口的路。找到了养家糊口的地方却安不了家。从此便有了漂泊，有了远方，有了乡愁。

新的一年我是超级大白，我又来了，分享个人知识，像大牛们学习！跟大牛们一起成长！工作经验分享感谢大哥们参阅！

今天分享深信服LAS日志审计设备，那首先我们要了解一下它是什么？干什么用的？有什么功能？其实对于日志审计的名字可能对于接触等保测评的的人来说已经耳熟能详的了，它就是“等保三剑客之一日志审计系统”，为什么叫"等保三剑客"，因为它与OSM堡垒机、BVT基线核查可以说常常出现在一起作为等保测评加分防护的应用设备。

LAS日志审计系统出现的背景由于日志审计工作难于开展，所以企业必然需要部署集中的深信服日志审计系统。通过建设深信服日志审计系统，企业能够集中采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息，经过规范化、过滤、归并和分析等处理流程后，以统一格式的日志形式进行集中存储和管理。在此基础上，对日志进行实时的事件分析和审计分析、从而进行实时的事件监控和异常事件告警，最终实现对各类网络设备、安全设备、操作系统、服务器、数据库和其它应用进行全面的日志安全审计。

通过总结一句话就是讲各个网络产品的日志数据通过对应的编码引擎进行解析，并正常分类到各个模块下进行管理监测使用，方便客户的管理以及日志的汇总使用。

那我们继续说一下LAS的日志采集功能，主要是针对不同网络设备日志形式，以及采集器的选择进行日志的接收解析，分类整理，LAS支持常用的被动接收模式Syslog跟Snmp Trap进行日志的收集处理。LAS在不仅仅支持Syslog主动接收也支持Windows系统的插件进行外发后接收；我也将在后续发一篇关于深信服设备的日志Syslog外发的配置帖子。

LAS的部署也分为单臂跟旁路镜像，正常情况下配置单臂就可以。

单臂配置如下：

首先在配置以前要检查好设备的授权状况，避免出现因为授权不足导致无法接收设备的日志信息。默认带三个月的测试授权，设备数 10 个。如授权快过期请提前一天申请授权。但正常情况下正式设备在发货前就已经完成了正常的授权，如果没有完成授权，需要联系对应的技术支持或400。

深信服LAS日志审计建议通过 syslog 采集日志：

      （1）windows 需要安装 nxlog 程序后通过目标端口 UDP514 发送日志到 LAS。需要确保被收集日志终端到 LAS 的 UDP514 端口能通信。 nxlog 默认采集了客户的系统日志和中间件的日志（tomcat,iis，apache 日志)，如不需要采集中间件的日志可以修改nxlog 的配置文件，修改 tomcat，iis 等日志路径为一个不存在的路径即可。

      （2）Linux 终端通过自带的 SYSLOG 程序发送日志到 LAS。

不建议使用 WMI 采集系统日志，如需使用则需开通 Windows 系统 135 端口服务。WMI 只取 windows 的系统日志，不采集中间件的日志。

网络资产的配置：

网络中通常有大量资产，为了让这些资产更有规律的被管控，深信服日志审计产品上线后一般先管控资产，配置了资产接入日志才会产生对应的审计及关联事件。

（1） 网络管理整理客户环境需要被管控的网段，并且把这些网段加入到组件管理。

然后配置日志的采集器：日志采集—采集控制器确认要采集的主机网段是否在“地址段”内，如不在请添加

注意：不要把组件管理，默认缺省网络的地址段删除了，删除后会导致事件接收出现问题。

创建syslog采集器：

配置采集器名称，输入需要采集的机器地址 X.X.X.X并配置相应的标准化策略。

采集器配置完成以后一定要确认自己的标准化策略对不对。

然后说一下Linux的日志Syolog外发配置：

1 ） 登 录 到 linux 系 统 中 ， 执 行 命 令 ： “ vi /etc/syslog.conf ” （ 或 者rsyslog.conf）。

2）在文件末添加如下内容：authpriv.*;*.err @SyslogserverIP 其中 debug和@符号之间是一个 Tab 键而不是空格，IP 地址填写收集 Syslog 接收服务器的地址（LAS 地址）。

3）保存配置文件：执行命令“:wq”。

4）重新启动 syslog 服务，执行命令“service syslog restart”（或者/etc/init.d/rsyslog restart）。

如果要采集Windows的日志是需要通过插件的方式讲Windows的日志外发出去，因为Windows的日志是不能通过自己设置进行外发使用的。

首先：新建采集器，选择标准化策略：

保存策略然后在Windows终端装入nxlog插件。

下载 nxlog 客户端，上传的 Windows 系统（X.X.X.X）上，解压后得到以下文件

nxlog-ce-2.9.1716.msi 为安装文件，双击，根据提示下一步直至安装完成

完成后，服务列表里检查是否有 nxlog 服务。（服务没起来也会导致无日志接收）

Nxlog 安装完成后的目录在：

32 位系统：C:\Program Files\nxlog\conf

64 位系统：C:\Program Files (x86)\nxlog\conf

配置文件说明：nxlog-win2008.conf 用于 Windows 2008/2012/2016/7/8/10nxlog-win2003.conf 用于 Windows 2003/XP根据不同 Window 替换对应的配置文件，并更名为 nxlog.conf

配置文件开头两行#号为注释掉，可以确认下 32 位、64 位系统的配置文件是否正确，确认配置如下：

注意：默认采集了 Tomcat，IIS，Apache 的日志，如不需要采集这部分的日志可以修改路径为一个不存在的文件路径。

配置 Windows 本地安全策略，建议开启如下：

启动 Nxlog 服务

然后进行日志的查看：

只要配置的日志采集器策略的IP，采集策略，以及连通性和服务情况正常，日志就会显示到设备中，这个当然也与日志的产生量有关系，如果设备本身没有日志，自然LAS也就接收不到日志，正常的排错也是要从这几个方面出发排查。

当通过配置旁路镜像进行流量监听行为审计时：

工作口 IP：接镜像流量，默认 eth1，可增加其他网口

流量引擎的启停：流量引擎默认为开启状态，用户安装产品完成时，流量引擎处于开启状态。用户可根据自身需求是否开启流量引擎。

流量引擎配置：用户可以配置自己想要的协议类型流量（例如用户 mysql 服务端口为 3365）。

进入流量日志列表查看流量日志。

当查看到对应的设备流量日志也就基本完成了设备的部署调试。

关于详细的审计支持情况如下：

关于设备的审计策略，也是可以进行添加修改的：例如添加ROOT用户的登陆审计

配置审计策略名称，选择审计行为，配置审计行为为 login 且不考虑结果，添加到策略内容中。

勾选响应方式为产生告警，配置告警级别和告警类别，并配置审计类型和级别保存。

然后通过远程登录的工具进行登陆测试，查看审计情况就可以了。

查看审计事件详情信息，是否为触发了审计策略的事件。

如果配置审计策略和关联策略时勾选了产生告警，即可在告警监控处查看告警事件。如事件量过大，可能会出现些许延迟，为正常现象。

本贴主要是讲述了深信服日志审计LAS的基本配置以及验证，正常使用进行配置也就完成了日志的收集梳理。

改天有兴趣的宝宝门我将会发一个LAS详细功能的说明跟配置过程。

而且深信服LAS日志审计跟之前发过的SIP Logger设备会很相似，但是我认为SIP Logger更像是作为拓展性更强的下一代审计设备https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=144793

感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

逆境总是有的，人生总要进击。愿你不要屈从于命运的安排，坚韧不拔，锲而不舍！做永远的生活强者！

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

感谢分享，打卡学习！

优秀，谢谢楼主的分享

感谢楼主的精彩分享，有助工作!!!

新的一年继续骗豆子

感谢分享，打卡学习一下

感谢分享，感谢分享。

感谢分享，感谢分享。

感谢分享，有助于工作，学习了！！！

大神666