奇安信_日志收集与分析系统(日志审计)_快速上线部署配置

一、预备知识

日志收集与分析系统是一种用于收集、处理、存储、备份、查询统计、合规报表以及关联分析网络中安全设备、网络设备、服务器资源和应用系统日志的系统。它可以实现海量日志的全生命周期管理，并且可以对多种数据源进行高性能、多场景采集分析并生成告警事件，完成处置闭环。

二、项目场景

由于上级部门的安全要求，现网中需要新增一台日志审计设备。
本单位采用旁路部署的方式，将日志审计部署在核心交换机上，收集各设备的日志。

三、拓扑图

四、部署配置

1. 登录设备

GE1（管理口）https://10.70.25.88

默认用户名	默认密码
安全审计管理员（auditor）	!1fw@2soc#3
安全保密管理员（secadmin）	!1fw@2soc#3
系统管理员（sysadmin）	!1fw@2soc#3
安全审计管理员（auditadmin）	!1fw@2soc#3

不同型号设备有所区别，具体请电话咨询95015

2.网络配置

1. 登录 sysadmin 用户
   

2. 系统>网络配置，修改管理口IP地址为用户管理端的IP地址，并配置默认路由和DNS，配置完成后保存。
   （1.该IP和网关需客户提供 2.由于管理IP改动，需重新登录WEB页）
   

3. 系统>常用配置，管理IP配置完成后，设备自动生成服务器IP，如果配置多了IP，可以选择一个为本设备IP。

4. 根据客户需求配置NTP。
   

2.审计策略配置

1. 登录 secadmin 用户，配置>节点管理>本地事件采集器>配置>采集任务，根据用户的需求添加任务（这里要求收集日志信息，所以启用UDP514的端口）
   

2. 资产>资产组>选中相应的组，添加保护对象，添加需要收集日志的设备。
   （需要收集日志的设备需要客户提供)
   

3. 要使日志审计能收到其他设备发来的日志，还需要在其他设备上配置syslog外发，指定端口（514）和IP（日志审计的IP）

五、结语

至此，配置完成，查看secadmin用户>概览，有日志流量即可