本帖最后由 山东_朱文鑫 于 2022-9-25 22:06 编辑
大家好,我是大白,正所谓读书破万卷,下笔如有神。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。
大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!
通过前几天发的深信服LAS日志日志审计系统大家在进行观看时,发现设备深信服LAS日志审计系统,大多数情况下接入的都是Syslog日志,但是对于各大厂商以及各大系统平台的外发日志的设置还是有一定的缺乏知识,在之前也说了会根据大佬们的情况进行分享使用,那今天我就分享一下各系统厂商日志接入方式总结。
设备的日志发送常用的形式Syslog:
syslog是一种工业标准的协议,可用来记录设备的日志。在UNIX系统,路由器、交换机等网络设备中,系统日志(System Log)记录系统中任何时间发生的大小事件。管理者可以通过查看系统记录,随时掌握系统状况。UNIX的系统日志是通过syslogd这个进程记录系统有关事件记录,也可以记录应用程序运作事件。通过适当的配置,我们还可以实现运行syslog协议的机器间通信,通过分析这些网络行为日志,藉以追踪掌握与设备和网络有关的状况。
了解了Syslog是什么那就开始今天的分享:
Windows系统(因为系统本身不存在日志发送功能所以需要借助第三方工具):
1.通过策略管理器(可运行命令:gpedit.msc),打开审核策略,如下图所示:
2.关闭Windows系统防火墙,如下图:
3.将 Evtsys工具放到C盘目录下
4.进入Evtsys目录,右击编辑Install_EvtSys脚本,将标红的IP改为日志审计系统IP,关闭保存
5.双击执行Install_EvtSys脚本,按任意键继续
安装成功,按任意键退出
通用Linux:
1.通用Linux1.以root身份登录主机
2.运行 vi /etc/rsyslog.conf 编辑Syslog配置文件
“*.debug @IP地址”
将上述引号内的内容添加到配置文件中,其中debug和@符号之间是一个Tab键而不是空格,IP地址填写收集Syslog接收服务器的地址。
3.保存配置文件。
4.重新启动Syslog服务,运行如下命令
/etc/init.d/rsyslog stop
/etc/init.d/rsyslog start
SuSE Linux:
1.以root身份登录主机
2.运行 vi /etc/syslog-ng/syslog-ng.conf 编辑Syslog配置文件
destination d_loghost { udp("192.168.100.166" port(514));};
log { source(src); destination(d_loghost);};
将上述引号内的内容添加到配置文件中,IP地址填写收集Syslog接收服务器的地址。
3.保存配置文件。
4.重新启动Syslog服务,运行如下命令
service syslog restart
SUN Solaris:
跟通用Linux基本一致:
1.通用Linux1.以root身份登录主机
2.运行 vi /etc/rsyslog.conf 编辑Syslog配置文件
“*.debug @IP地址”
将上述引号内的内容添加到配置文件中,其中debug和@符号之间是一个Tab键而不是空格,IP地址填写收集Syslog接收服务器的地址。
3.保存配置文件。
4.重新启动Syslog服务,运行如下命令
/etc/init.d/rsyslog stop
/etc/init.d/rsyslog start
IBM AIX
1.以root身份登录主机
2.运行 vi /etc/syslog.conf 编辑Syslog配置文件
“*.debug @IP地址”
将上述引号内的内容添加到配置文件中,其中debug和@符号之间是一个Tab键而不是空格,IP地址填写收集Syslog接收服务器的地址。
3.保存配置文件。
4.重新启动Syslog服务,运行如下命令
#stopsrc -s syslogd
#startsrc –s syslogd
或者
#refresh –s syslogd
或者
# kill -9 xxxx //杀掉syslogd的进程,xxxx为syslogd进程号
# /usr/sbin/syslogd -f /etc/syslogd.conf //直接启动syslogd
HP Unix:
1.以root身份登录主机
2.运行 vi /etc/syslog.conf 编辑Syslog配置文件
“*.debug @IP地址”
将上述引号内的内容添加到配置文件中,其中debug和@符号之间是一个Tab键而不是空格,IP地址填写收集Syslog接收服务器的地址。
3.保存配置文件。
4.重新启动Syslog服务,运行如下命令
/sbin/rc2.d/S220syslogd stop
/sbin/rc2.d/S220syslogd start
网络设备:
思科:
通过telnet/ssh远程登录cisco系统,执行如下操作:
1.device#conf t
2.device(config)#logging on
3.device(config)#logging host outside SyslogserverIP //采集控制器地址 device(config)#logging trap debugging
4.device(config)#logging source-interface e0 //日志发出用的源IP地址
5.device(config)#service timestamps log datetime localtime //日志记录时间戳设置
6.device#end
7.device#sh logging
8.device#write memory
snmp trap配置方法:
Cisco交换机页面配置snmp trap方法,不同的网络设备或安全设备配置snmp trap请参考相关的使用手册
Juniper网络设备:
可参考如下配置:
1.set system syslog host xxx.xxx.xxx.xxx any notice
2.set system syslog host xxx.xxx.xxx.xxx log-prefix Router1
3.set system syslog host xxx.xxx.xxx.xxx any notice
4.set system syslog host xxx.xxx.xxx.xxx log-prefix Router2
华为网络设备:
执行如下命令:
info-center loghost xxx.xxx.xxx.xxx facility local4 language english
安全设备或系统:
思科防火墙(ASA/PIX)
以管理者身份登录防火墙,然后输入以下命令配置syslog:
1.device#conf t
2.device(config)#logging on
3.device(config)#logging host SyslogserverIP
4.device(config)#logging trap debugging
5.device(config)#logging source-interface e0
6.device#end
7.device#sh logging
8.device#write memory
Juniper Netscreen防火墙:
以管理员身份登陆Netscreen主机,运行以下命令配置syslog:
1.set syslog config SyslogserverIP auth/sec local0
2.set syslog enable
3.set log module system level notif destination syslog
4.save
Fortigate防火墙:
以管理员账号登录防火墙,并做如下配置:
config log syslogd setting set server xxx.xxx.xxx.xxx
华为防火墙(一道门/USG):
以管理员用户登录防火墙,执行如下命令:
system-view info-center loghost xxx.xxx.xxx.xxx facility local4 language english
天融信防火墙:
1.通过浏览器登录防火墙web页面
2.在“日志与报警”-“日志设置”中,设置syslog发送参数,服务器地址为SyslogserverIP(采集服务器IP地址)
3.设置完毕点击右上角的“保存配置”
MACFEE IPS:
Syslog方法如下:
如下图所示,在Configure标签页。选择IPS Setting栏,选择Alert Notification选择Syslog;配置Syslog Server的IP地址。配置对应的Security Mapping。
对于发送的字段,默认只发送Attack Name和Attack Severity,可以在Message Preference选择Customized,定义发送的字段。
数据库:
针对数据库操作日志通过镜像方式来采集,可采集oracle、Mysql、DB2、Sqlserver、Sybase、达梦数据库日志
交换机配置:配置镜像端口,监听相关审计对象的数据流量;
审计主机配置:专用数据采集端口默认eth1口连接交换机镜像端口,也可将其它端口配置成数据采集端口,连接多个交换机多路监听采集流量日志
配置方法如下:
登录设备后台,选择YES
选择其它网口,将3.Device WorkMode改为PROMISC混杂模式,选择 5.Save进行保存退出
示例:
1、思科交换机配置:Cisco(config)# monitor session 1 source interface f0/1 – 3 both
Cisco(config)# monitor session 1 destination interface fast0/4
2、华三交换机配置: [H3C] mirroring-group 1 local
[H3C] mirroring-group 1 monitor-port GigabitEthernet 2/0/4
[H3C] mirroring-group 1 mirroring-port GigabitEthernet 2/0/1 both
说明:*必须配置监听进出端口的双向流量(Both),否则采集不到数据;
*各品牌甚至同品牌不同型号的交换机配置命令也存在差异,请从网上参考交换机配置手册;
登录日志审计系统,在数据采集----镜像数据采集勾选要采集的数据库,其它的流量日志也是通过做端口镜像来采集,邮件模块只能审计到时间、邮箱简单的操作,内容是审计不到的,因为都是加密的
Oracle数据库:
交换机端口镜像和页面镜像数据采集模块都开启的情况下,使用工具登录到oracle数据库,进行操作,查看日志审计系统里有没有对应的操作日志
说明:不能直接登录服务器连接oracle数据库进行操作,这样的日志是审计不到的,只有流量经过交换机才能审计到
1、使用oracle连接工具连接到192.168.0.47数据库,进行select * from users语句操作
2、在日志审计页面监控概要,数据库访问里可以查看到执行的语句
MySQL数据库:
略同oracle数据库
DB2数据库:
略同oracle数据库
SQLSERVER数据库:
略同oracle数据库
SYBASE数据库:
略同oracle数据库
达梦数据库:
略同oracle数据库
Web中间件(日志导入)
本系统对于Web中间件,可采集审计访问日志(access.log)和中间件系统产生的日志,中间件系统产生的日志,能收集哪些中间件日志需要查看日志审计系统已经内置的样本,没有日志样本的需要做二次开发。
Web中间件一般包括Apache、Tomcat、Weblogic、Websphere等;
Web访问日志可以直接通过做端口镜像的方式采集,把采集的数据包复制到镜像口上,然后在页面上开启web访问模块,web访问只能采集http的,https采集不到
Web服务日志需要通过ftp将文本日志上传到日志审计系统,配和文件定时采集策略进行集中审计分析页面日志导入功能一般用于客户在看到日志审计设备里内置的样本文件,也不确定当前中间件的文本日志是不是能够采集,可以先通过日志导入进行测试,如果可以解析成功,那就可以在配置文件定时采集自动收集日志
Tomcat(日志导入&文件定时采集)
linux配置方法
Linux下tomcat文本日志采集方法
示例脚本样本:
Linux脚本
#!/bin/bash
/usr/bin/ftp -n <<! //查看FTP客户端在哪个路径下
open 172.16.100.31 2121 //IP地址指向日志审计系统 后面必须得加端口号 2121
user admin Sangfor123 //登陆日志审计系统的帐号和密码
binary
prompt off
lcd /root //root为存放tomcat文本日志的目录
put error_log //error_log为要采集的文本日志文件
close
bye
给脚本设置权限chmod 775 脚本,然后设置定时发送脚本:用命令crontab -u root -e
进行添加格式为,* * * * * 脚本的路径(*依次为 分,时,日,月,星期,如*/2 * * * *为每两分钟执行一次)
*/2 * * * * /root/脚本名
引用:
分钟 (0-59)
小时 (0-23)
日期 (1-31)
月份 (1-12)
星期 (0-6)//0代表星期天
命令 crontab -u root -l 显示定时任务列表。
启动cron服务:/sbin/service crond restart
实例采集配置方法:
1、首先通过日志导入方式查看当前文本日志是否能够解析
可以看到日志导入成功,已成功解析
2、配置文件定时采集策略,点击保存
3、进入到tomcat服务器,找到文本日志所在目录,编写脚本
vi /test.sh
执行cd / 进入到根目录
Chmod a+x test.sh 赋予执行权限
4、在执行脚本前确认TOMCA服务器和日志审计服务器之间网络和FTP端口能正常通信,执行脚本./test.sh
执行成功
登录日志审计服务器cd /flash/system/storage/LOG/FileAgent/Collect/tomcat,可以看到已经将TOMCAT服务器里的文体日志上传到日志审计系统
5、登录日志审计页面在最新日志下可以看到通过定时采集的文本日志
6、添加任务计划,自动执行,在tomcat服务器后台执行crontab –e
添加执行时间,每天凌晨00点10分执行上传脚本计划任务
7、启动任务计划
Windows配置方法:
Windows下tomcat文本日志采集方法
示例脚本样本:
windows脚本:
@echo off
set aFile=aaa_%DATE:~0,4%%DATE:~5,2%%DATE:~8,2%.log //解析的文件型日志
echo open 192.168.88.195 2121>c:\ftp\ftpscript.txt //IP地址日志审计系统,后面必须得加端口号 2121
echo admin>>c:\ftp\ftpscript.txt //admin为日志审计系统用户名
echo Sangfor123>>c:\ftp\ftpscript.txt // Sangfor123为日志审计系统密码
echo lcd d:/log>>c:\ftp\ftpscript.txt //d:/log为所产生日志的路径
echo put %aFile%>>c:\ftp\ftpscript.txt //将日志文件名字导入ftpscript.txt
echo bye>>c:\ftp\ftpscript.txt //运行脚本会生成在ftpscript.txt中
ftp -s:c:/ftp/ftpscript.txt //启动FTP服务,读取ftpscript.txt中内容
注:运行脚本会自动产生ftpscript.txt文本文件来存储登陆FTP服务器的IP地址,用户名,密码,日志文件
上述为手动执行登陆FTP服务器的过程:
Window2003 server 定时发送设置:
在开始菜单下的控制面板-----任务计划-----添加任务计划,然后出现一个对话框,点击下一步,然后点击浏览----指向window脚本的位置路径,然后会出现所需要的时间,随客户要求设置,然后点击下一步,会出现用户名和用户密码,必须得填管理员密码,然后点击完成。
Window2008 server 定时发送设置:
在开始菜单下的控制面板-----管理工具----任务计划程序,然后右键创建基本任务,输入脚本名称,点击下一步,会出现所需要时间,随客户要求配置,然后选择启动程序,点击下一步,然后点击浏览----指向window脚本的位置路径,下面会出现【起始于(可选)】,添加脚本的路径地址,然后点击完成
实例采集配置方法:
1、登录到日志审计系统界面,新添加一个文件定时采集任务,为了区分开,这里的目录写为tomcat1 发生地址为3.3.3.3
2、登录到tomcat服务器编写bat脚本文件
3、在tomcat服务器上新建FTP目录,新建ftpscript.txt文件
4、执行test.bat脚本文件,将内容写入到ftpscript.txt文件里
5、关闭TOMCAT服务器防火墙,在tomcat服务器打开cmd窗口,执行ftp -s:c:/ftp/ftpscript.txt,日志已经上传成功
6、进入日志审计系统后台可以看到tomcat1目录下已经有文本日志
7、登录日志审计系统页面,可以看到已经解析成功的日志
8、将ftp -s:c:/ftp/ftpscript.txt命令添加到新创建的bat脚本里
9、加入到任务计划,执行test.bat脚本将命令写入到c:/ftp/ftpscript.txt。
这样的时间填写适合每天生成一个文件的文本日志,第二天凌晨去取前一天的文本日志,如果文本日志是5M或者按时间来生成的,需要对脚本进行修改。
10、执行ftp -s:c:/ftp/ftpscript.txt脚本命令,将文本日志上传到日志审计系统上,创建的执行时间要比test.bat脚本晚一分钟执行
Apache:
略同tomcat配置方法
Nginx:
略同tomcat配置方法
WebLogic:
略同tomcat配置方法
Windows平台Tomcat、Apache:
略同tomcat配置方法
Symantec Endpoint protection:
1.右键单击“本地站点”
2.右键单击“本地站点(My Site)”,在弹出菜单中选择“配置外部日志”,如图:
以上就是各系统厂商日志接入方式实战总结分享,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!
励志分享超清壁纸语句~~:
勇敢坚毅真正之才智乃刚毅之志向。 —— 拿破仑
好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-9-26 08:06
技术研究员3级 
