国内常见网络与安全、主机系统的syslog配置方法(下)
4.3.3 Cisco交换机
通过Cisco路由器的Syslog服务转发系统日志到采集服务器,具体配置方法如下:
device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定)
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
4 TMCM
通过在采集服务器上部署趋势防病毒采集脚本,采集趋势防病毒日志,具体配置方法如下:
1. 在TMCM数据库中开设一个数据库访问帐号trendvirus_coll,密码与账号相同;
2. 设置权限,使得trendvirus_coll用户可以访问tb_ AVVirusLog、tb_entityinfo;
5 RSA ACE Server
通过在采集服务器上开启Syslog服务,收集RSA ACE的日志,具体配置方法如下:
1. Click Start > Programs > ACE/Server > Database Administration;
2. 在管理界面上 click Log > Log to System Log.(确保Log to System Log.选项前面打上勾“√”);
3. 将evtsys.exe和evtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下;
4. Regsvr32 evtsys.dll;
5. Evtsys –i –h ip –p 514;
6. 确认该服务已经启动,且处于自动状态;
注:IP为采集机的地址
6 绿盟NIDS
通过在采集服务器上运行Snmptrapmanager.bat,接收NIDS通过SNMP发过来的事件,具体配置方法如下:
1. 在NIDS端打开SNMP功能,并将发送的地址指向采集机;
7 Cisco Firewall
通过在采集服务器上开启Syslog服务收集Cisco Pix的日志,具体配置方法如下:
1. device#conf t
2. device(config)#logging on
3. device(config)#logging IP //集服务器的IP地址
4. device(config)#logging trap critical //日志记录级别,可用"?" 查看详细内容
5. device(config)#logging source-interface e0 //日志发出用的源IP地址
6. device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
7. device#sh logging //检验设置
注:根据实际情况IP取业务系统采集机地址
8 Netscreen Firewall
通过在采集服务器上开启Syslog服务,收集Netscreen Firewall的日志,具体配置方法如下:
1. set syslog config IP local4 local4
2. set syslog traffic
3. set syslog enable
4. set log module system level critical destination syslog
5. save
注:根据实际情况IP取业务系统采集机地址
9 CheckPoint Firewall
部署在网络内的checkpoint防火墙是由其manager组件统一管理的,Manger模块负责定义所管理的防火墙的策略,并记录个防火墙产生的各种事件。即一个Manager可以管理一组防火墙,同时其Manger主机支持opsec协议,可以把记录的日志转发给授权的opsec客户端系统。具体配置方法如下:
Ø 管理端配置步骤
1. 在Checkpoint Manager组件上增加一条规则到当前的防火墙上,允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接;
| SOURCE |
DESTINATION |
SERVICE |
ACTION |
TRACK |
INSTAL L ON |
TIME |
COMMENT |
| Wizard |
Firewall |
LEA |
ACCEPT |
LONG |
GATEWAYS |
ANY |
Comments |
• Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连接,和接收防火墙信息/告警
• Destination:防火墙的管理主机
• Service: FW1_lea
• Action: Accept
• Track: Log
2. 进入防火墙管理主机$FWDIR/conf目录,修改fwopsec.conf文件,在文件中增加以下内容:
#LEA CONF CLEAR: (1 or NG FW)
lea_server auth_port 0
lea_server port 18184
3. 在命令行状态下输入:fwstop/fwstart,重新启动checkpoint防火墙;
4. 将Checkpoint Agent拷贝到采集机
%WORKBENCH_HOME%/elements/checkpoint目录下;
Ø 采集端配置步骤
5. 编辑lea_client.conf文件,增加以下内容:
lea_server ip <opsec服务器地址>
lea_server port 18184
6. 在%WORKBENCH_HOME%/elements 目录下,执行checkpoint\lea_client checkpoint\lea_client.conf –new命令,检查是否可以收到防火墙的事件,如果有则配置成功,否则检查前面的步骤;
7. Agent Port参数如下:
| Port Name |
Cp_opsec (名称可以随意,主要是标示作用) |
| Rx/Tx Type |
Persistent Process |
| Rx/Tx Value |
checkpoint/\lea_client checkpoint/\lea_client.conf -new |
| Agent |
T1_CHKP_FRW1_xxxx_OPSC_Bv410 |
10 LinkTrust Firewall
通过在采集服务器上开启Syslog服务,收集LinkTrust Firewall的日志,具体配置方法如下:
1. https://防火墙地址:9898;
2. 登录防火墙WEB配置界面(缺省的用户名/密码为:admin/admin12);
3. 点击日志页面,进入日志设置栏目,选中配置SYSLOG;
4. 在Syslog主机之一右面的框中,输入采集服务器的IP地址;
5. 进入日志策略栏目,点击新增日志策略按钮,新增一条日志策略;
6. 添加全部模块,选中emergency、alert、critical、error、warnning等五个级别,在目的地中选中sylog,确认该条策略;
7. 进入保存栏目,保存该条策略,保存后再应用该条策略;
11 LinkTrust IDS
NIDS 7.2入侵检测设备支持外部应用程序接口Syslog,可以把记录的事件日志转发给采集机,具体配置方法如下:
1. 使用用户帐号登陆系统,该帐号需要具备查看告警事件的权限;
2. 使用新建立的帐号,设置告警事件转发到事件采集服务器;