本帖最后由 阿勒泰 于 2022-8-24 18:01 编辑
什么是日志审计LAS日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规 日志审计收集日志调用 syslog 服务,配置接收地址为日志审计设备地址即可
案例背景机房日志审计设备,只做了上架,能做登录,未进行任何配置,最近需要做安全设置,将设备日志接入到日志审计中。 遇到问题现有设备,深信服防火墙,linux系统服务器,根据客服给的接入指南配置好设备上的syslog接收地址为日志审计的ip地址和端口后,日志审计上并不能接收到任何日志。 非常纠结,为什么深信服的防火墙,配置syslog日志到深信服的日志审计还不通 (这时候可能有的大佬已经知道为什么了,其实很简单,就是一层窗户纸) 排查思路首先在深信服的防火墙上,日志设置,syslog勾选,然后设置好日志审计的地址和端口。 然后设置好日志收集设置,确保防火墙自己能生成日志。 登录日志审计,查看有没有收到日志,然而并没有,心想是不是同步时间并不是实时的?刚好已经周五下班了,告辞。 周一上班,登录日志审计,还是没有收到任何日志,按照常理来说,不应该这样呀,开始进入薅头发排查阶段 登录深信服设备,排障-命令行,ping日志审计IP,通的,没啥问题呀? 登录日志审计,一开始这个设备是死机状态,因为要用,强制重启的,服务没有启动好?又强制重启了一遍,问题依旧,还是收不到日志。 没有解决思路了,重新找客服要问问怎么解决,客服配合着看了下防火墙上的syslog设置,并询问中间是否有其他安全设备,syslog设置没有问题,中间没有其他安全设备,ping了一下,还是通的,日志也有新的生成,但是日志审计就是没有收到日志。 这时候,客服一句你Telnet一下514端口看看通不通,telnet测试结果是不通,转到日志审计web页面,查看 日志审计 ,有采集器,但是规则没有,增加规则后,成功接收到防火墙的日志,感谢客服解决问题,并结束会话。 这时候开始自我折腾及验证阶段,打开Linux服务器,根据上一个客服给的日志接入指南,配置syslog好以后,日志审计同样配置探针,成功接收日志,问题解决。
问题总结自己的技术能力还是要提高呀。 有问题找客服,找到手册以后,不要只看盯着那一份手册看,对比着几个手册查看自己的设置对不对。 | 
发表于 2023-12-6 10:40
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师3级 
