安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > 国内常见网络与安全、主机系统的syslog配置方法

国内常见网络与安全、主机系统的syslog配置方法

时间:2014-12-17来源:未知 作者:安云网点击:
1 UNIX 主机 1.1 Solaris 通过 Unix 系统的 Syslog 服务转发系统日志到采集服务器,具体配置方法如下: 1. 提供 Unix 系统的 IP 地址 2. 提供 Unix 系统的主机名称 3. 在 Unix 系统 /etc/syslog.conf 文件最后追加以下 2 行 *.err @IP auth.info @IP @IP

1 UNIX主机

1.1 Solaris

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //内容来自安云网

1.  提供Unix系统的IP地址

//内容来自AnYun.ORG

2.  提供Unix系统的主机名称

//内容来自AnYun.ORG

3.  Unix系统/etc/syslog.conf文件最后追加以下2 //内容来自AnYun.ORG

*.err                     @IP

//内容来自AnYun.ORG

auth.info        @IP //本文来自安云网

@IP为采集机地址 //内容来自安云网

4.  用下面的命令重启syslog服务 //内容来自安云网

Ø  对于Solaris8,9 //内容来自安云网

/etc/init.d/syslog stop

//内容来自AnYun.ORG

/etc/init.d/syslog start //本文来自安云网

Ø  对于Solaris10

//内容来自安云网

Svcadm restart system-log //内容来自安云网

1.2 HP-UX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

//本文来自安云网

1.提供Unix系统的IP地址

//内容来自安云网

2.提供Unix系统的主机名称

//内容来自安云网

3.在Unix系统/etc/syslog.conf文件最后追加以下2 //本文来自安云网

*.err                     @IP

//内容来自安云网

auth.info        @IP

//内容来自AnYun.ORG

@IP为采集机地址 //内容来自AnYun.ORG

下面的命令停止syslog服务 //内容来自安云网

        ps –ef|grep syslogd //内容来自AnYun.ORG

kill  PID

//内容来自安云网

5.  下面的命令启动syslog服务

//本文来自安云网

/usr/sbin/syslogd  -D

//内容来自安云网

1.3 AIX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //内容来自AnYun.ORG

1  提供Unix系统的IP地址

//内容来自AnYun.ORG

2  提供Unix系统的主机名称 //本文来自安云网

3  Unix系统/etc/syslog.conf文件最后追加以下2 //内容来自AnYun.ORG

*.err           @IP    (中间以Tab健分割)

//内容来自安云网

auth.info        @IP    (中间以Tab健分割)              

//内容来自安云网

注:@IP为采集机地址 //本文来自安云网

5  用下面的命令停止syslog服务

//本文来自安云网

            stopsrc -s syslogd

//内容来自安云网

6  用下面的命令启动syslog服务 //内容来自安云网

startsrc -s syslogd

//内容来自AnYun.ORG

4.2     Windows主机

由于Windows系统自身不具备日志转发功能,所以对Windows事件采集,需要在被管设备中安装一个Agent采集程序,完成对windows系统事件的采集。具体配置方法如下:

//本文来自安云网

1、    evtsys.zip中的两个文件(evtsys.exeevtsys.dll)展开到Windows系统system32目录下 //内容来自安云网

2、    然后运行下面的命令安装服务: //内容来自AnYun.ORG

                  evtsys -i -h IP -p 514 //本文来自安云网

                       -hsyslog 服务器地址

//本文来自安云网

                       -psyslog服务器端口

//内容来自安云网

3、    在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动并启动该服务。

//内容来自AnYun.ORG

3网络设备

3.1 Cisco路由器

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

//本文来自安云网

device#conf t //内容来自安云网

device(config)#logging on //本文来自安云网

device(config)#logging IP    //日志服务器的IP地址

//内容来自AnYun.ORG

device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容 //内容来自AnYun.ORG

device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定) //内容来自AnYun.ORG

device(config)#service timestamps log datetime localtime //日志记录的时间戳设置

//内容来自AnYun.ORG

检验 //本文来自安云网

device#sh logging

//本文来自安云网

保存配置 //内容来自安云网

device#copy runningconfigure startingconfigure //内容来自安云网

 

//本文来自安云网

4.3.2  Radware路由器

通过Radware路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //本文来自安云网

1. Access the Device Access tab in the Management Preferences window.
2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.
3. Select the Syslog Operation checkbox to enable syslog reporting.
 Click Apply to implement your changes and OK to close the window.

//本文来自安云网

4.3.3  Cisco交换机

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下: //本文来自安云网

device#conf t //本文来自安云网

device(config)#logging on

//内容来自AnYun.ORG

device(config)#logging IP   //日志服务器的IP地址 //内容来自安云网

device(config)#logging trap critical    //日志记录级别,可用"?"查看详细内容

//本文来自安云网

device(config)#logging source-interface f0/1    //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定)

//内容来自安云网

device(config)#service timestamps log datetime localtime    //日志记录的时间戳设置

//内容来自安云网

检验 //内容来自AnYun.ORG

device#sh logging //本文来自安云网

保存配置 //本文来自安云网

device#copy runningconfigure startingconfigure //内容来自AnYun.ORG

 

//本文来自安云网

4 TMCM

通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:

//内容来自AnYun.ORG

1. TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;

//内容来自安云网

2. 设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLogtb_entityinfo //内容来自AnYun.ORG

5 RSA ACE Server

通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下:

//内容来自安云网

1. Click Start Programs > ACE/Server Database Administration //内容来自安云网

2. 在管理界面上 click Log Log to System Log.(确保Log to System Log.选项前面打上勾“√”); //内容来自AnYun.ORG

3. evtsys.exeevtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下; //内容来自安云网

4. Regsvr32 evtsys.dll //内容来自AnYun.ORG

5. Evtsys –i –h ip –p 514

//内容来自AnYun.ORG

6. 确认该服务已经启动,且处于自动状态; //内容来自AnYun.ORG

注:IP为采集机的地址

//本文来自安云网

绿盟NIDS

         通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP发过来的事件,具体配置方法如下:

//内容来自安云网

1.  NIDS端打开SNMP功能,并将发送的地址指向采集机;    

//内容来自安云网

7 Cisco Firewall

通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下:

//内容来自AnYun.ORG

1. device#conf t

//内容来自安云网

2. device(config)#logging on

//内容来自安云网

3. device(config)#logging IP    //集服务器的IP地址 //内容来自AnYun.ORG

4. device(config)#logging trap critical     //日志记录级别,可用"?" 查看详细内容 //内容来自AnYun.ORG

5. device(config)#logging source-interface e0   //日志发出用的源IP地址

//本文来自安云网

6. device(config)#service timestamps log datetime localtime     //日志记录的时间戳设置 //本文来自安云网

7. device#sh logging    //检验设置

//内容来自AnYun.ORG

 

//本文来自安云网

注:根据实际情况IP取业务系统采集机地址 //本文来自安云网

8 Netscreen Firewall

通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下:

//内容来自安云网

1. set syslog config IP local4 local4 //内容来自AnYun.ORG

2. set syslog traffic //内容来自安云网

3. set syslog enable

//内容来自安云网

4. set log module system level critical destination syslog

//内容来自安云网

5. save

//本文来自安云网

  //内容来自安云网

注:根据实际情况IP取业务系统采集机地址 //内容来自AnYun.ORG

9 CheckPoint Firewall

         部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。具体配置方法如下:

//本文来自安云网

Ø  管理端配置步骤 //本文来自安云网

1.  Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接;

//内容来自安云网


//本文来自安云网

SOURCE

//本文来自安云网

DESTINATION //本文来自安云网

SERVICE

//内容来自AnYun.ORG

ACTION //本文来自安云网

TRACK

//内容来自安云网

INSTAL L ON

//本文来自安云网

TIME

//内容来自安云网

COMMENT

//内容来自AnYun.ORG

Wizard

//内容来自安云网

Firewall

//内容来自AnYun.ORG

LEA //内容来自AnYun.ORG

ACCEPT

//内容来自AnYun.ORG

LONG

//内容来自安云网

GATEWAYS

//内容来自AnYun.ORG

ANY

//内容来自安云网

Comments //内容来自安云网


//内容来自安云网

• Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警 //内容来自AnYun.ORG

• Destination:防火墙的管理主机

//本文来自安云网

• Service: FW1_lea

//本文来自安云网

• Action: Accept

//内容来自AnYun.ORG

• Track: Log //内容来自安云网

2.  进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:

//本文来自安云网

#LEA CONF CLEAR: (1 or NG FW) //本文来自安云网

             lea_server auth_port 0 //内容来自安云网

lea_server port 18184 //本文来自安云网

3.  在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;

//内容来自AnYun.ORG

4.  Checkpoint Agent拷贝到采集机 //内容来自安云网

%WORKBENCH_HOME%/elements/checkpoint目录下; //本文来自安云网

Ø  采集端配置步骤

//本文来自安云网

5. 编辑lea_client.conf文件,增加以下内容:

//内容来自AnYun.ORG

lea_server ip <opsec服务器地址> //本文来自安云网

lea_server port 18184

//内容来自AnYun.ORG

6. %WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的事件,如果有则配置成功,否则检查前面的步骤;

//内容来自AnYun.ORG

7. Agent Port参数如下:

//内容来自安云网

Port Name

//本文来自安云网

Cp_opsec   (名称可以随意,主要是标示作用) //内容来自AnYun.ORG

Rx/Tx Type

//本文来自安云网

Persistent Process

//本文来自安云网

Rx/Tx Value

//内容来自安云网

checkpoint/\lea_client checkpoint/\lea_client.conf -new

//内容来自安云网

Agent //内容来自AnYun.ORG

T1_CHKP_FRW1_xxxx_OPSC_Bv410 //内容来自安云网

10 LinkTrust Firewall

通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下:

//内容来自AnYun.ORG

1.  https://防火墙地址:9898 //内容来自AnYun.ORG

2.  登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12); //内容来自AnYun.ORG

3.  点击日志页面,进入日志设置栏目,选中配置SYSLOG //内容来自AnYun.ORG

4.  Syslog主机之一右面的框中,输入采集服务器的IP地址; //内容来自安云网

5.  进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略;

//内容来自安云网

6.  添加全部模块,选中emergencyalertcriticalerrorwarnning等五个级别,在目的地中选中sylog,确认该条策略; //内容来自安云网

7.  进入保存栏目,保存该条策略,保存后再应用该条策略; //内容来自安云网

11 LinkTrust IDS

NIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下: //内容来自AnYun.ORG

1.  使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;

//内容来自AnYun.ORG

2.  使用新建立的帐号,设置告警事件转发到事件采集服务器;

//内容来自安云网


//内容来自安云网

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容