【2022争霸赛*干货满满】深信服LAS日志审计系统测试配置分享

大家好，我是大白，正所谓长风破浪会有时，直挂云帆济沧海。优质的帖子也在尽力中提供，也希望各位道友多多支持，让我引劫渡劫成功哈哈哈。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

今天分享的是深信服LAS日志审计系统测试配置分享，这个LAS也是当时之前进行配置的测试使用案例，这个LAS相对现在正在迭代更新的SIP Logger产品相对较老，但也是一个比较好的配置典例，日志审计系统是用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的系统。

当前信息安全形势日益严峻，信息安全防护工作面临前所未有的困难和挑战。日志审计能够帮助用户更好监控和保障信息系统运行，及时识别针对信息系统的入侵攻击、内部违规等信息，同时日志审计能够为安全事件的事后分析、调查取证提供必要的信息。

国家的政策法规、行业标准等都明确对日志审计提出了要求，日志审计已成为企业满足合规内控要求所必须的一项基本要求。 2017年6月1日起施行的《中华人民共和国网络安全法》中规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

《网络安全等级保护基本要求》（GB∕T 22239-2019）中规定：二到四级需要对网络、主机、应用安全三部分进行日志审计，留存日志需符合法律法规规定。

支持多种日志采集方式：Syslog、SNMP trap、agent工具（windows操作系统）、流量日志、文本日志（日志导入和定时采集）

各种采集方式适用的场景不尽相同，在实际设置时应根据具体的被接入设备进行设置：

（1）Syslog方式：适用于大多数Linux/Unix类系统及多数网络和防火墙类设备；（常见）

（2）SNMP Trap方式：适用于一般的网络设备，通用性不高；

（3）agent：适用于Windows系统的事件接入；（常见）

（4）流量日志：通过在交换上做端口镜像采集数据库（Oracle、DB2、MSSQL、SyBase、MySQL、Informix、达梦）的操作日志（包括增加、查询、修改、删除）等；（常见）也可以采集其它流量日志包括邮件、web访问、FTP上传下载等，邮件只能记录单记录时间、发送者、接收者以及邮件主题日志，内容是加密采集不到的，web访问日志记录访问每个页面的url连接，ftp记录上传、下载的文件名

（5）文本日志：适用于无法通过上述方式实时接入系统的或需集中审计（特别是事后审计）的应用系统留存的日志信息；包括页面日志导入以及通过FTP方式将文本日志上传到日志审计系统进行集中审计

*文本日志需要日志系统里提前内置好对应的样本日志才能采集，可以通过页面日志导入或文件定时采集去查看对应的应用系统内置好的样本日志，日志审计系统默认已经开启FTP服务

测试条件：

将网络中需要分析的设备日志通过syslog、端口镜像等方式发送到SANGFOR日志审计系统。

预计测试效果：

网络中设备的日志发送到SANGFOR日志审计系统成功，并且可以看到事件日志。

测试过程：

      页面登陆

打开浏览器，输入SANGFOR日志审计系统地址，（eth0口默认地址10.251.251.128/24），以SANGFOR日志审计管理员角色登录，默认用户名：admin；密码：admin;如图所示，点击【登录】：

登录设备后配置网口地址和网关，LAS通常ETH0口一个网口接线即可，可做业务口和管理口，ETH2备用管理口（默认地址10.252.252.126)，ETH1口系统默认为镜像口。

      授权查看

      日志采集

采集深信服防火墙日志

默认syslog采集过来的日志会统一放到UNIX日志下，采集网络及安全设备日志需要通过配置syslog进行分类，放到对应的网络及安全设备模块下

（1）点击镜像采集-----syslog，点击添加

（2）属性选择网络及安全设备，类型选择深信服，日志源选择防火墙，编码选择UTF-8。

*如果不对编码进行配置那安全设备采集过来的日志内容中带有中文就会显示为乱码

深信服防火墙配置

（1）配置将AF通过syslog方式发送日志到SANGFOR日志审计系统，AF会把安全日志通过syslog发送到日志审计系统上

配置资产管理

到监控模块下的资产状况或系统配置下的资产管理里，把资产分类方便后续做资产管理。

资产管理支持批量导入导出资产

日志审计系统日志查看

（1）资产状况——所有资产界面可以显示已采集哪些设备

点击其中某台资产可以查看到事件的详细日志

（1）数据概要——最新日志可以看到不同类型的日志采集情况

（2）数据概要——常规统计可以看到当天数据每个时间段的采集日志条目数、TOP10当天采集日志最多服务器、当天不同类型日志的总和以及当天系统性能概要

*如果每天的数据时间分布采集都很均衡，某一天发布某个时间段日志量特别大，可以重点关注这个时间段采集的日志，判断是否有攻击行为

采集LINUX系统日志

1、Linux系统配置

配置通过syslog发送日志到SANGFOR日志审计系统，配置方法如下：

下图是一台linux配置发送debug日志到深信服日志审计系统192.168.121.40

配置成功可以看到采集到了Linux系统的日志

Windows日志采集配置方法

1.通过策略管理器（可运行命令：gpedit.msc），打开审核策略，如下图所示：

2.关闭Windows系统防火墙，如下图：

3.将 Evtsys工具放到C盘目录下

4.进入Evtsys目录，右击编辑Install_EvtSys脚本，将标红的IP改为日志审计系统IP，关闭保存

5.双击执行Install_EvtSys脚本，按任意键继续

安装成功，按任意键退出

在最新日志里可以看windows事件日志

其他日志接入因为各个产品厂商的配置方式不同，接入的也不相同后续也会整理发出来。

       日志关联分析

系统内置实时规则，采集过来的日志会和实时规则进行匹配，匹配上的日志会进行告警，告警方式支持syslog、snmp trap、邮件、短信网关将告警信息进行外发

1、系统已经内置好的实时规则

2、告警日志查询

在监控---安全事件里的告警统计里可以看到所有匹配实时规则所产生的告警

3、手动添加规则

在最新日志里查看某条信息的内容，这里将服务器信息里包含RESULT=失败的内容设置为告警字段

在安全事件----告警统计里可以看到RESULT=失败的告警日志信息

日志检索和报表功能

日志检索

1、数据概要---最新日志，可以看到当前所采集的日志类型，点击其中的某条日志可以看到具体的日志内容.

2、通过高级检索，选择时间、日志类型，添加检索条件可以快速查看到所需要的日志内容

审计报表

审计事后日志可以通过报表的方式进行展现，系统内置了一些满足合规性需求的报表，可以通过手动生成和自动生成的方式进行生成报表，生成的格式可以是html、CSV、PDF、XML

1、手动生成报表

选择报表模板，选择入库时间，选择文件类型

点击执行报表

在手动任务里可以看到已选择的报表模板

点击查看，可以看到报表里的内容

2、自动报表，在选择里的模板里选择计划任务，可以每天、每周、每月，定期去生成报表

生成的报表在计划任务里查看

常见问题处理：

最新日志无法看到收集的日志？

1、检查被采设备是否正确配置了日志外发配置：正确的配置才能保证设备外发日志，对于不同的设备，Syslog的配置方法各不相同，请参考日志接入指南里的相关配置知识对设备的外发日志配置进行检查是否正确无误
2、检查网络是否通畅：被采设备需要与采集器的UDP：514（syslog）端口通讯

在检索分析的快速检索中，查不到想要的信息，提示无意义的过滤条件？

点快速检索时，默认会查询最近一小时的所有信息，如果此时选择条件再进行查询，是在上次结果上进行二次查询，如果想要查询其他时间段的信息，必须先点清空条件，再选择其他条件进行过滤，才会重新查询到想要的信息。

数据库操作日志采集不到怎么办？

1、首先查看交换机端口镜像做的是否有问题
2、检查页面镜像采集是否勾选了需要采集的数据库模块
3、查看日志审计设备网口是否为镜像口
4、2和3步骤没问题的情况下请将镜像线连接到笔记本上进行抓包，确认流量包里是否有数据库操作日志
5、以上都没问题的情况下，请联系售后人员解决

支持的镜像流量采集清单如下表：

[size=12.0000pt]模块名称	[size=12.0000pt]协议类型	[size=12.0000pt]记录说明
数据库模块	[size=12.0000pt]ORACLE、MSSQL[size=12.0000pt]INFORMIX[size=12.0000pt]、SYSBASE、DB2、MYSQL、DM	[size=12.0000pt]记录[size=12.0000pt]查询、增加、修改、删除[size=12.0000pt]操作日志
文件传输模块	[size=12.0000pt]FTP、SMB、HTTP	[size=12.0000pt]记录[size=12.0000pt]文件[size=12.0000pt]上传、下载日志
邮件模块	[size=12.0000pt]SMTP、POP、HTTP	[size=12.0000pt]简单记录时间、发送者、接收者以及邮件主题日志
远程控制模块	[size=12.0000pt]TELNET	[size=12.0000pt]记录远程telnet到交换机或路由器操作日志
应用服务模块	[size=12.0000pt]DNS	[size=12.0000pt]记录DNS解析[size=12.0000pt]日志
网站访问模块	[size=12.0000pt]HTTP	[size=12.0000pt]记录[size=12.0000pt]浏览[size=12.0000pt]网页[size=12.0000pt]url[size=12.0000pt]日志

如果突然设备没有日志收集了怎么办？

首先要排查情况，先检查网络层面，即日志审计设备与各服务器网络是否还正常可达。其次，针对之前的配置，分别检查Windows服务器上采集插件的服务是否正常开启，linux服务器上syslog的配置，交换机的镜像配置，syslog配置等。如果以上检查都没问题，判定应该是审计设备的问题，可以联系我们售后人员。

以上就是本次的深深信服LAS日志审计系统测试配置分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

凿壁偷光，聚萤作囊；忍贫读书，车胤匡衡。——许名奎

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

感谢楼主分享！文章记录了一次las部署案例，图文并茂，注意事项也进行了总结分享，期待楼主带来更多有价值的案例分享

一起来学习，一起来学习

感谢楼主分享，学习一下

感谢分享，有助于工资和学习！！！

楼主分享的案例很实用，具有典型性

感谢楼主分享，学习一下

每天学习一点点，每天进步一点点

有助学习，构建全联接的未来

非常好的分享，对后续的项目实施很有帮助

坚持每日打卡，有利于工资！！！