客户为了等保要上一台LAS日志审计,设备已经寄到客户公司,提前约好时间然后去客户处进行部署实施。 其实之前没部署过日志审计,没配置过没见过实机(相信很多伙伴都是 ),部署的前一天把实施文档看了一下,还有学院的视频,文档是3.0.4版本的,不过相差不是特别大,实在不懂找不到的地方也可以问客服,比如这次部署找不到资产管理的一个子项,问过客服才知道是合并到了别的子项里,所以有不懂问客服也是非常好的解决办法,比自己在那里蒙头找好多了。
到了客户现场后,和客户沟通完,没有太多的服务器,只有四台windows服务器,两台2003,两台2008,除了这四台暂时没有其他设备的日志需要对接到LAS,客户给了一个ip,话不多说,直接开搞!有一点需要吐槽一下,就是客户的机房环境,有点乱和脏(部署的时候刚好有其他的施工队在干活,干完活我的书包和电脑上一层灰 ,网线没整过,全部混在一起了,本来想上个图,想想还是算了),简直就是战后现场。
设备开箱,通电开始配置。LAS设备每个接口都有默认IP ETH0:10.250.250.128/24ETH1:10.251.251.128/24ETH2:10.252.252.128/24ETH3:10.253.253.128/24ETH4:10.254.254.128/24ETH5:172.16.254.1/24 如果扩展了光口,则: ETH6:10.251.251.251/24 ETH7:10.252.252.252/24 ETH8:10.253.253.253/24 ETH9:10.254.254.254/24
标准版本LAS3.0.4及以后:LAS默认管理地址是ETH0口:10.250.250.128/24 1、PC直连LAS设备的manage(eth 0)口 2、PC的ip为10.250.250.X/24这个网段的,可以不用配置网关和dns 3、在PC上的浏览器上输入https://默认IP:8082,登录LAS硬件管理配置菜单,在PC上的浏览器上输入https://默认IP,登录LAS控制台。 4、输入默认用户名和密码admin/admin即可
LAS的部署模式支持镜像部署和单臂部署,本次采用的是单臂模式。
LAS登录有两个端口,一个默认的443(登录进去配置资产信息和策略之类的),还要一个是8082端口,登录进去配置硬件平台(网络之类的)。默认接口登录进去的,在控制台也可以跳转到硬件平台。LAS初次登录还需要邮箱地址,用来接收告警之类的,可以提前向客户要好。登录之后对网络信息进行配置,一个业务口IP(可以和0口复用),一个流量口(默认为1口,用来镜像使用,别把业务口配置到1口),配置IP地址及网关,路由会自动形成。配置完成后可以接线到核心(可以使用系统工具ping下内网是否接通)。
资产管理,如果设备过多可以使用资产发现来配置资产信息,不多像我这样,我就是直接新增,把服务器添加进去 接下来可以配置日志采集,windows 需要安装 nxlog 程序后通过目标端口 UDP514 发送日志到 LAS。需要确保被收集日志终端到 LAS 的 UDP514 端口能通信。 nxlog 默认采集了客户的系统日志和 中间件的日志(tomcat,iis,apache 日志),如不需要采集中间件的日志可以修改 nxlog 的配置文件,修改 tomcat,iis 等日志路径为一个不存在的路径即可。 Linux 终端通过自带的 SYSLOG 程序发送日志到 LAS。
不建议使用 WMI 采集系统日志,如需使用则需开通 Windows 系统 135 端口服务。 WMI 只取 windows 的系统日志,不采集中间件的日志。 新建采集器 服务器登录到las控制台下载nxlog客户端或者下载到自己的电脑导入到服务器(感觉liunx服务器方便一点,用自带的syslog,修改下配置就ok了) 下载 nxlog 客户端,解压后得到以下文件
nxlog-ce-2.9.1716.msi 为安装文件,双击,根据提示下一步直至安装完成。 安装完成后,服务列表里检查是否有 nxlog 服务。
替换配置文件 Nxlog 安装完成后的目录在: 32 位系统:C:\Program Files\nxlog\conf 64 位系统:C:\Program Files (x86)\nxlog\conf 配置文件说明: nxlog-win2008.conf 用于 Windows 2008/2012/2016/7/8/10 nxlog-win2003.conf 用于 Windows 2003/XP 使用win2008这个文件替换nxlog.conf,替换之后,需要将win2008这个文件名更名为 nxlog.conf 修改关键配置项 ,打开nxlog.conf。(建议不要使用记事本修改,由于排版的问题,会导致报错 )
默认采集了 Tomcat,IIS,某公司 的日志,如不需要采集这部分的日志可以修改路径为一个不存在的文件路径。 配置 Windows 本地安全策略,建议开启如下: 启动 Nxlog 服务
配置完成后到日志列表页面查看是否接收到日志,点击 IP 进入日志查询页面查看日志详情。日志查询-日志列表
审计策略配置(可以根据需求来确认要哪些策略,默认策略已经很多,只要简单配置即可)我采用的都是默认策略,进去配置审计对象和告警基本配置保存即可。
配置完后就可以看到告警信息了 一次LAS简单的部署实施就完成了,还有许多其他的配置和更详细的配置信息,建议去社区查看文档。文章里面有些图和信息是文档和社区找来的(配置时没有步步截图下来),文章哪里有问题或者步骤有什么不对,希望大佬指出,如果觉得有帮助,可以帮忙点个赞。
部署的时候社区找到一篇文章,很详细也很有帮助,大家也可以去看: | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-11-25 09:47
