安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > 国内常见网络与安全、主机系统的syslog配置方法

国内常见网络与安全、主机系统的syslog配置方法

时间:2014-12-17来源:未知 作者:安云网点击:
1 UNIX 主机 1.1 Solaris 通过 Unix 系统的 Syslog 服务转发系统日志到采集服务器,具体配置方法如下: 1. 提供 Unix 系统的 IP 地址 2. 提供 Unix 系统的主机名称 3. 在 Unix 系统 /etc/syslog.conf 文件最后追加以下 2 行 *.err @IP auth.info @IP @IP

1 UNIX主机

1.1 Solaris

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //内容来自安云网

1.  提供Unix系统的IP地址 //本文来自安云网

2.  提供Unix系统的主机名称 //安云网咨询系统

3.  Unix系统/etc/syslog.conf文件最后追加以下2 //内容来自安云网

*.err                     @IP

//内容来自安云网

auth.info        @IP //ANYUN.ORG

@IP为采集机地址 //本文来自安云网

4.  用下面的命令重启syslog服务 //内容来自AnYun.ORG

Ø  对于Solaris8,9 //安云网,anyun.org

/etc/init.d/syslog stop //安云网咨询系统

/etc/init.d/syslog start

//本文来自安云网

Ø  对于Solaris10 //ANYUN.ORG

Svcadm restart system-log //copyright AnYun.ORG

1.2 HP-UX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //内容来自AnYun.ORG

1.提供Unix系统的IP地址

//安云网,anyun.org

2.提供Unix系统的主机名称

//本文来自安云网

3.在Unix系统/etc/syslog.conf文件最后追加以下2

//安云网咨询系统

*.err                     @IP //copyright AnYun.ORG

auth.info        @IP

//安云网咨询系统

@IP为采集机地址

//ANYUN.ORG

下面的命令停止syslog服务 //内容来自AnYun.ORG

        ps –ef|grep syslogd //安云网咨询系统

kill  PID //安云网,anyun.org

5.  下面的命令启动syslog服务

//安云网咨询系统

/usr/sbin/syslogd  -D

//安云网,anyun.org

1.3 AIX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //内容来自安云网

1  提供Unix系统的IP地址

//copyright AnYun.ORG

2  提供Unix系统的主机名称

//安云网,anyun.org

3  Unix系统/etc/syslog.conf文件最后追加以下2

//ANYUN.ORG

*.err           @IP    (中间以Tab健分割) //安云网咨询系统

auth.info        @IP    (中间以Tab健分割)              

//本文来自安云网

注:@IP为采集机地址

//本文来自安云网

5  用下面的命令停止syslog服务 //安云网,anyun.org

            stopsrc -s syslogd //安云网,anyun.org

6  用下面的命令启动syslog服务 //ANYUN.ORG

startsrc -s syslogd

//安云网咨询系统

4.2     Windows主机

由于Windows系统自身不具备日志转发功能,所以对Windows事件采集,需要在被管设备中安装一个Agent采集程序,完成对windows系统事件的采集。具体配置方法如下:

//本文来自安云网

1、    evtsys.zip中的两个文件(evtsys.exeevtsys.dll)展开到Windows系统system32目录下

//安云网咨询系统

2、    然后运行下面的命令安装服务:

//安云网,anyun.org

                  evtsys -i -h IP -p 514 //安云网咨询系统

                       -hsyslog 服务器地址

//ANYUN.ORG

                       -psyslog服务器端口

//本文来自安云网

3、    在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动并启动该服务。

//内容来自安云网

3网络设备

3.1 Cisco路由器

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

//本文来自安云网

device#conf t

//copyright AnYun.ORG

device(config)#logging on //ANYUN.ORG

device(config)#logging IP    //日志服务器的IP地址 //安云网咨询系统

device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容

//安云网咨询系统

device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定) //安云网咨询系统

device(config)#service timestamps log datetime localtime //日志记录的时间戳设置 //安云网咨询系统

检验 //安云网,anyun.org

device#sh logging //copyright AnYun.ORG

保存配置

//内容来自AnYun.ORG

device#copy runningconfigure startingconfigure //安云网咨询系统

 

//copyright AnYun.ORG

4.3.2  Radware路由器

通过Radware路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

//内容来自AnYun.ORG

1. Access the Device Access tab in the Management Preferences window.
2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.
3. Select the Syslog Operation checkbox to enable syslog reporting.
 Click Apply to implement your changes and OK to close the window.

//安云网咨询系统

4.3.3  Cisco交换机

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //ANYUN.ORG

device#conf t //ANYUN.ORG

device(config)#logging on

//ANYUN.ORG

device(config)#logging IP   //日志服务器的IP地址 //内容来自安云网

device(config)#logging trap critical    //日志记录级别,可用"?"查看详细内容

//ANYUN.ORG

device(config)#logging source-interface f0/1    //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定) //内容来自安云网

device(config)#service timestamps log datetime localtime    //日志记录的时间戳设置

//本文来自安云网

检验

//copyright AnYun.ORG

device#sh logging //安云网咨询系统

保存配置 //安云网咨询系统

device#copy runningconfigure startingconfigure //安云网咨询系统

  //安云网咨询系统

4 TMCM

通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:

//安云网咨询系统

1. TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;

//安云网,anyun.org

2. 设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLogtb_entityinfo

//安云网,anyun.org

5 RSA ACE Server

通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下: //安云网,anyun.org

1. Click Start Programs > ACE/Server Database Administration //本文来自安云网

2. 在管理界面上 click Log Log to System Log.(确保Log to System Log.选项前面打上勾“√”); //安云网,anyun.org

3. evtsys.exeevtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下; //本文来自安云网

4. Regsvr32 evtsys.dll //内容来自安云网

5. Evtsys –i –h ip –p 514

//ANYUN.ORG

6. 确认该服务已经启动,且处于自动状态;

//安云网,anyun.org

注:IP为采集机的地址 //安云网,anyun.org

绿盟NIDS

         通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP发过来的事件,具体配置方法如下:

//ANYUN.ORG

1.  NIDS端打开SNMP功能,并将发送的地址指向采集机;    

//内容来自安云网

7 Cisco Firewall

通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下: //安云网咨询系统

1. device#conf t //ANYUN.ORG

2. device(config)#logging on //内容来自安云网

3. device(config)#logging IP    //集服务器的IP地址

//ANYUN.ORG

4. device(config)#logging trap critical     //日志记录级别,可用"?" 查看详细内容 //安云网,anyun.org

5. device(config)#logging source-interface e0   //日志发出用的源IP地址 //ANYUN.ORG

6. device(config)#service timestamps log datetime localtime     //日志记录的时间戳设置

//copyright AnYun.ORG

7. device#sh logging    //检验设置

//内容来自安云网

  //ANYUN.ORG

注:根据实际情况IP取业务系统采集机地址

//内容来自AnYun.ORG

8 Netscreen Firewall

通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下: //安云网咨询系统

1. set syslog config IP local4 local4 //ANYUN.ORG

2. set syslog traffic //内容来自安云网

3. set syslog enable //内容来自安云网

4. set log module system level critical destination syslog

//安云网,anyun.org

5. save //安云网,anyun.org

  //内容来自安云网

注:根据实际情况IP取业务系统采集机地址

//安云网,anyun.org

9 CheckPoint Firewall

         部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。具体配置方法如下:

//内容来自安云网

Ø  管理端配置步骤

//内容来自AnYun.ORG

1.  Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接; //ANYUN.ORG


//安云网咨询系统

SOURCE //copyright AnYun.ORG

DESTINATION //内容来自安云网

SERVICE //安云网,anyun.org

ACTION //安云网,anyun.org

TRACK //ANYUN.ORG

INSTAL L ON //安云网,anyun.org

TIME //本文来自安云网

COMMENT //安云网咨询系统

Wizard //安云网咨询系统

Firewall

//ANYUN.ORG

LEA

//内容来自AnYun.ORG

ACCEPT //安云网咨询系统

LONG //copyright AnYun.ORG

GATEWAYS

//ANYUN.ORG

ANY //ANYUN.ORG

Comments //安云网,anyun.org


//ANYUN.ORG

• Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警 //copyright AnYun.ORG

• Destination:防火墙的管理主机 //内容来自AnYun.ORG

• Service: FW1_lea

//内容来自安云网

• Action: Accept //内容来自安云网

• Track: Log

//本文来自安云网

2.  进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:

//本文来自安云网

#LEA CONF CLEAR: (1 or NG FW) //本文来自安云网

             lea_server auth_port 0 //内容来自安云网

lea_server port 18184 //安云网,anyun.org

3.  在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;

//内容来自AnYun.ORG

4.  Checkpoint Agent拷贝到采集机 //安云网,anyun.org

%WORKBENCH_HOME%/elements/checkpoint目录下; //安云网,anyun.org

Ø  采集端配置步骤

//ANYUN.ORG

5. 编辑lea_client.conf文件,增加以下内容: //内容来自AnYun.ORG

lea_server ip <opsec服务器地址> //安云网咨询系统

lea_server port 18184 //安云网,anyun.org

6. %WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的事件,如果有则配置成功,否则检查前面的步骤;

//内容来自安云网

7. Agent Port参数如下:

//本文来自安云网

Port Name //ANYUN.ORG

Cp_opsec   (名称可以随意,主要是标示作用)

//内容来自安云网

Rx/Tx Type //内容来自AnYun.ORG

Persistent Process

//安云网,anyun.org

Rx/Tx Value

//安云网,anyun.org

checkpoint/\lea_client checkpoint/\lea_client.conf -new //安云网咨询系统

Agent //内容来自AnYun.ORG

T1_CHKP_FRW1_xxxx_OPSC_Bv410

//ANYUN.ORG

10 LinkTrust Firewall

通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下: //本文来自安云网

1.  https://防火墙地址:9898

//copyright AnYun.ORG

2.  登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12);

//ANYUN.ORG

3.  点击日志页面,进入日志设置栏目,选中配置SYSLOG //内容来自AnYun.ORG

4.  Syslog主机之一右面的框中,输入采集服务器的IP地址;

//ANYUN.ORG

5.  进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略; //安云网,anyun.org

6.  添加全部模块,选中emergencyalertcriticalerrorwarnning等五个级别,在目的地中选中sylog,确认该条策略; //内容来自安云网

7.  进入保存栏目,保存该条策略,保存后再应用该条策略;

//本文来自安云网

11 LinkTrust IDS

NIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下: //内容来自安云网

1.  使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;

//copyright AnYun.ORG

2.  使用新建立的帐号,设置告警事件转发到事件采集服务器; //copyright AnYun.ORG


//内容来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容
  • The Debian Administrator’s Handbook,

    The Debian Administrator’s Handbook, 这本书是debian的两个开发者写出...

  • 微信4.0发布,加入朋友圈功能

    今天传说中的微信4.0版本终于发布并且推送了更新,一进入是新...

  • vijos中c的注意事项

    昨天没事发现了一个叫vijos的类似judgeonline的网站,也许是我火星...

  • falcon编译出错问题

    ...

  • 教你破解xp系统administrator权限

    作者:Awolf 首发:AwolfS Security Blog 一.事情起因 那天满头大汗的...

  • Linux环境下UglifyJS安装

    Linux环境下UglifyJS安装 1.1.   安装 Node.js [[email protected] src]# wget http...