在使用我们的安全设备时,经常会出现磁盘空间不足,或是想把各种设备的日志统一收集、分析等操作。
本期分享如果将EDR中心端接入LAS日志审计系统,其他设备大同小异。
一、LAS配置
1、登录LAS控制台;
2、点击资产管理模块下的“资产管理”,点击“新增”;
3、把带“*”号的必填项填写好对应的信息;
4、在下方安全管理信息选择对应的级别,或是默认,然后保存;
5、如果觉得填写这些信息比较繁琐,可以在“资产发现”中添加;
6、选中我们要添加的资产,点击“转资产”;
7、转到资产信息编辑页面,填写好对应的信息保存;
8、配置日志采集器;
9、填写好名称、IP地址、标准化策略,我们这里选择的是AC(UTF-8);
10、添加采集器成功;
二、EDR中心端配置
1、登录EDR中心端,选择“系统设置”下的“数据备份”;
2、填写上LAS的IP地址及备份内容;
3、测试连通性,测试正常;
稍等片刻日志就可以查询到了!
注意事项:
1、LAS上配置不正确可能会乱码,可以尝试使用UTF-8的类型进行采集;
2、被采设备需要与采集器的UDP:514(syslog)端口通讯;
3、如果配置好了没有采集到日志,需要检查被采集设备上配置情况,不同的设备配置方法各所不同,可以查询相关的配置方法再尝试;
|