国内常见网络与安全、主机系统的syslog配置方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1 UNIX主机
1.1 Solaris
通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址
2.提供Unix系统的主机名称
3.在Unix系统/etc/syslog.conf文件最后追加以下2行
*.err &nbs p; @IP
@IP
@IP为采集机地址
4.用下面的命令重启syslog服务
Ø 对于Solaris8,9
/etc/init.d/syslog stop
/etc/init.d/syslog start
Ø 对于Solaris10
Svcadm restart system-log
1.2 HP-UX
通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址
2.提供Unix系统的主机名称
3.在Unix系统/etc/syslog.conf文件最后追加以下2行
*.err @IP
@IP
@IP为采集机地址
下面的命令停止syslog服务
ps –ef|grep syslogd
kill PID
5.下面的命令启动syslog服务
/usr/sbin/syslogd -D
1.3 AIX
通过Unix系统的Syslog服务转发系统日志到采集服务器,具体配置方法如下:1.提供Unix系统的IP地址
2.提供Unix系统的主机名称
3.在Unix系统/etc/syslog.conf文件最后追加以下2行
*.err @IP (中间以Tab健分割)
@IP (中间以Tab健分割)
注:@IP为采集机地址
5.用下面的命令停止syslog服务
stopsrc -s syslogd
6.用下面的命令启动syslog服务
startsrc -s syslogd
2 Windows主机
由于Windows系统自身不具备日志转发功能,所以对Windows事件采集,需要在被管设备中安装一个Agent采集程序,完成对windows系统事件的采集。

具体配置方法如下:
1、将evtsys.zip中的两个文件(evtsys.exe和evtsys.dll)展开到Windows系统system32目录下
2、然后运行下面的命令安装服务:
evtsys -i -h IP -p 514
-h为syslog 服务器地址
-p为syslog服务器端口
3、在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动并启动该服务。

3网络设备
3.1 Cisco路由器
通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定)
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
3.2 Radware路由器
通过Radware路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:
1. Access the Device Access tab in the Management Preferences window.
2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.
3. Select the Syslog Operation checkbox to enable syslog reporting.
Click Apply to implement your changes and OK to close the window.
3.3 Cisco交换机
通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的
端口,使用哪个端口由实际情况决定)
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
4 TMCM
通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:
1.在TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;
2.设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLog、tb_entityinfo;
5 RSA ACE Server
通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下:
1.Click Start > Programs > ACE/Server > Database Administration;
2.在管理界面上 click Log > Log to System Log.(确保Log to System Log.选项前面打上勾“√”);
3.将evtsys.exe和evtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下;
4.Regsvr32 evtsys.dll;
5.Evtsys –i –h ip –p 514;
6.确认该服务已经启动,且处于自动状态;
注:IP为采集机的地址
6 绿盟NIDS
通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP 发过来的事件,具体配置方法如下:
1.在NIDS端打开SNMP功能,并将发送的地址指向采集机;
7 Cisco Firewall
通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下:
1.device#conf t
2.device(config)#logging on
3.device(config)#logging IP //集服务器的IP地址
4.device(config)#logging trap critical //日志记录级别,可用"?"
查看详细内容
5.device(config)#logging source-interface e0 //日志发出用的源IP地址
6.device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
7.device#sh logging //检验设置
注:根据实际情况IP取业务系统采集机地址
8 Netscreen Firewall
通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下:
1.set syslog config IP local4 local4
2.set syslog traffic
3.set syslog enable
4.set log module system level critical destination syslog
5.save
注:根据实际情况IP取业务系统采集机地址
9 CheckPoint Firewall
部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。

即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。

具体配置方法如下: 管理端配置步骤
1.在Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接;
SOURCE DESTINATIO
N SERVI
CE
ACTI
ON
TRACK INSTAL L ON TIME COMMEN
T
Wizard Firewall LEA ACCE
LONG GATEWAYS ANY Comments
PT
•Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警
•Destination:防火墙的管理主机
•Service:FW1_lea
•Action: Accept
•Track: Log
2.进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:
#LEA CONF CLEAR: (1 or NG FW)
lea_server auth_port 0
lea_server port 18184
3.在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;
4.将Checkpoint Agent拷贝到采集机
%WORKBENCH_HOME%/elements/checkpoint目录下;
采集端配置步骤
5.编辑lea_client.conf文件,增加以下内容:
lea_server ip <opsec服务器地址>
lea_server port 18184
6.在%WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的
事件,如果有则配置成功,否则检查前面的步骤;
7.Agent Port参数如下:
Port Name Cp_opsec (名称可以随意,主要是标示作用)
Rx/Tx Type Persistent Process
Rx/Tx Value checkpoint/\lea_client checkpoint/\lea_client.conf -new Agent
T1_CHKP_FRW1_xxxx_OPSC_Bv410
10 LinkTrust Firewall
通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下:
1.https://防火墙地址:9898;
2.登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12);
3.点击日志页面,进入日志设置栏目,选中配置SYSLOG;
4.在Syslog主机之一右面的框中,输入采集服务器的IP地址;
5.进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略;
6.添加全部模块,选中emergency、alert、critical、error、warnning等五个级别,在目的地中选中sylog,确认该条策略;
7.进入保存栏目,保存该条策略,保存后再应用该条策略;
11 LinkTrust IDS
NIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下:
1.使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;
2.使用新建立的帐号,设置告警事件转发到事件采集服务器;。

相关文档
最新文档