国内常见网络与安全、主机系统的syslog配置方法

  • A+
所属分类:系统文档

1 UNIX主机

1.1 Solaris

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

1.  提供Unix系统的IP地址

2.  提供Unix系统的主机名称

3.  Unix系统/etc/syslog.conf文件最后追加以下2

*.err                     @IP

auth.info        @IP

@IP为采集机地址

4.  用下面的命令重启syslog服务

Ø  对于Solaris8,9

/etc/init.d/syslog stop

/etc/init.d/syslog start

Ø  对于Solaris10

Svcadm restart system-log

1.2 HP-UX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

1.提供Unix系统的IP地址

2.提供Unix系统的主机名称

3.在Unix系统/etc/syslog.conf文件最后追加以下2

*.err                     @IP

auth.info        @IP

@IP为采集机地址

下面的命令停止syslog服务

        ps –ef|grep syslogd

kill  PID

5.  下面的命令启动syslog服务

/usr/sbin/syslogd  -D

1.3 AIX

通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

1  提供Unix系统的IP地址

2  提供Unix系统的主机名称

3  Unix系统/etc/syslog.conf文件最后追加以下2

*.err           @IP    (中间以Tab健分割)

auth.info        @IP    (中间以Tab健分割)              

注:@IP为采集机地址

5  用下面的命令停止syslog服务

            stopsrc -s syslogd

6  用下面的命令启动syslog服务

startsrc -s syslogd

4.2     Windows主机

由于Windows系统自身不具备日志转发功能,所以对Windows事件采集,需要在被管设备中安装一个Agent采集程序,完成对windows系统事件的采集。具体配置方法如下:

1、    evtsys.zip中的两个文件(evtsys.exeevtsys.dll)展开到Windows系统system32目录下

2、    然后运行下面的命令安装服务:

                  evtsys -i -h IP -p 514

                       -hsyslog 服务器地址

                       -psyslog服务器端口

3、    在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动并启动该服务。

3网络设备

3.1 Cisco路由器

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

device#conf t

device(config)#logging on

device(config)#logging IP    //日志服务器的IP地址

device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容

device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定)

device(config)#service timestamps log datetime localtime //日志记录的时间戳设置

检验

device#sh logging

保存配置

device#copy runningconfigure startingconfigure

 

4.3.2  Radware路由器

通过Radware路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

1. Access the Device Access tab in the Management Preferences window.
2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.
3. Select the Syslog Operation checkbox to enable syslog reporting.
 Click Apply to implement your changes and OK to close the window.

4.3.3  Cisco交换机

通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:

device#conf t

device(config)#logging on

device(config)#logging IP   //日志服务器的IP地址

device(config)#logging trap critical    //日志记录级别,可用"?"查看详细内容

device(config)#logging source-interface f0/1    //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定)

device(config)#service timestamps log datetime localtime    //日志记录的时间戳设置

检验

device#sh logging

保存配置

device#copy runningconfigure startingconfigure

 

4 TMCM

通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:

1. TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;

2. 设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLogtb_entityinfo

5 RSA ACE Server

通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下:

1. Click Start Programs > ACE/Server Database Administration

2. 在管理界面上 click Log Log to System Log.(确保Log to System Log.选项前面打上勾“√”);

3. evtsys.exeevtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下;

4. Regsvr32 evtsys.dll

5. Evtsys –i –h ip –p 514

6. 确认该服务已经启动,且处于自动状态;

注:IP为采集机的地址

绿盟NIDS

         通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP发过来的事件,具体配置方法如下:

1.  NIDS端打开SNMP功能,并将发送的地址指向采集机;    

7 Cisco Firewall

通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下:

1. device#conf t

2. device(config)#logging on

3. device(config)#logging IP    //集服务器的IP地址

4. device(config)#logging trap critical     //日志记录级别,可用"?" 查看详细内容

5. device(config)#logging source-interface e0   //日志发出用的源IP地址

6. device(config)#service timestamps log datetime localtime     //日志记录的时间戳设置

7. device#sh logging    //检验设置

 

注:根据实际情况IP取业务系统采集机地址

8 Netscreen Firewall

通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下:

1. set syslog config IP local4 local4

2. set syslog traffic

3. set syslog enable

4. set log module system level critical destination syslog

5. save

 

注:根据实际情况IP取业务系统采集机地址

9 CheckPoint Firewall

         部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。具体配置方法如下:

Ø  管理端配置步骤

1.  Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接;

SOURCE

DESTINATION

SERVICE

ACTION

TRACK

INSTAL L ON

TIME

COMMENT

Wizard

Firewall

LEA

ACCEPT

LONG

GATEWAYS

ANY

Comments

• Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警

• Destination:防火墙的管理主机

• Service: FW1_lea

• Action: Accept

• Track: Log

2.  进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:

#LEA CONF CLEAR: (1 or NG FW)

             lea_server auth_port 0

lea_server port 18184

3.  在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;

4.  Checkpoint Agent拷贝到采集机

%WORKBENCH_HOME%/elements/checkpoint目录下;

Ø  采集端配置步骤

5. 编辑lea_client.conf文件,增加以下内容:

lea_server ip <opsec服务器地址>

lea_server port 18184

6. %WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的事件,如果有则配置成功,否则检查前面的步骤;

7. Agent Port参数如下:

Port Name

Cp_opsec   (名称可以随意,主要是标示作用)

Rx/Tx Type

Persistent Process

Rx/Tx Value

checkpoint/\lea_client checkpoint/\lea_client.conf -new

Agent

T1_CHKP_FRW1_xxxx_OPSC_Bv410

10 LinkTrust Firewall

通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下:

1.  https://防火墙地址:9898

2.  登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12);

3.  点击日志页面,进入日志设置栏目,选中配置SYSLOG

4.  Syslog主机之一右面的框中,输入采集服务器的IP地址;

5.  进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略;

6.  添加全部模块,选中emergencyalertcriticalerrorwarnning等五个级别,在目的地中选中sylog,确认该条策略;

7.  进入保存栏目,保存该条策略,保存后再应用该条策略;

11 LinkTrust IDS

NIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下:

1.  使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;

2.  使用新建立的帐号,设置告警事件转发到事件采集服务器;

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: