#原创分享#记一次LAS日志审计部署实施

客户为了等保要上一台LAS日志审计，设备已经寄到客户公司，提前约好时间然后去客户处进行部署实施。

  其实之前没部署过日志审计，没配置过没见过实机（相信很多伙伴都是 ），部署的前一天把实施文档看了一下，还有学院的视频，文档是3.0.4版本的，不过相差不是特别大，实在不懂找不到的地方也可以问客服，比如这次部署找不到资产管理的一个子项，问过客服才知道是合并到了别的子项里，所以有不懂问客服也是非常好的解决办法，比自己在那里蒙头找好多了。

  到了客户现场后，和客户沟通完，没有太多的服务器，只有四台windows服务器，两台2003，两台2008，除了这四台暂时没有其他设备的日志需要对接到LAS，客户给了一个ip，话不多说，直接开搞！有一点需要吐槽一下，就是客户的机房环境，有点乱和脏（部署的时候刚好有其他的施工队在干活，干完活我的书包和电脑上一层灰 ，网线没整过，全部混在一起了，本来想上个图，想想还是算了），简直就是战后现场。

  设备开箱，通电开始配置。LAS设备每个接口都有默认IP

ETH0：10.250.250.128/24ETH1：10.251.251.128/24ETH2：10.252.252.128/24ETH3：10.253.253.128/24ETH4：10.254.254.128/24ETH5：172.16.254.1/24

如果扩展了光口，则：

ETH6：10.251.251.251/24

ETH7：10.252.252.252/24

ETH8：10.253.253.253/24

ETH9：10.254.254.254/24

  标准版本LAS3.0.4及以后：LAS默认管理地址是ETH0口：10.250.250.128/24

1、PC直连LAS设备的manage（eth 0）口

2、PC的ip为10.250.250.X/24这个网段的，可以不用配置网关和dns

3、在PC上的浏览器上输入https://默认IP:8082，登录LAS硬件管理配置菜单，在PC上的浏览器上输入https://默认IP，登录LAS控制台。

4、输入默认用户名和密码admin/admin即可

  LAS的部署模式支持镜像部署和单臂部署，本次采用的是单臂模式。

   LAS登录有两个端口，一个默认的443（登录进去配置资产信息和策略之类的），还要一个是8082端口，登录进去配置硬件平台（网络之类的）。默认接口登录进去的，在控制台也可以跳转到硬件平台。LAS初次登录还需要邮箱地址，用来接收告警之类的，可以提前向客户要好。登录之后对网络信息进行配置，一个业务口IP（可以和0口复用），一个流量口（默认为1口，用来镜像使用，别把业务口配置到1口），配置IP地址及网关，路由会自动形成。配置完成后可以接线到核心(可以使用系统工具ping下内网是否接通)。

  资产管理，如果设备过多可以使用资产发现来配置资产信息，不多像我这样，我就是直接新增，把服务器添加进去

  接下来可以配置日志采集，windows 需要安装 nxlog 程序后通过目标端口 UDP514 发送日志到 LAS。需要确保被收集日志终端到 LAS 的 UDP514 端口能通信。 nxlog 默认采集了客户的系统日志和 中间件的日志（tomcat,iis，apache 日志)，如不需要采集中间件的日志可以修改 nxlog 的配置文件，修改 tomcat，iis 等日志路径为一个不存在的路径即可。

Linux 终端通过自带的 SYSLOG 程序发送日志到 LAS。

不建议使用 WMI 采集系统日志，如需使用则需开通 Windows 系统 135 端口服务。 WMI 只取 windows 的系统日志，不采集中间件的日志。

新建采集器

  服务器登录到las控制台下载nxlog客户端或者下载到自己的电脑导入到服务器（感觉liunx服务器方便一点，用自带的syslog，修改下配置就ok了）

下载 nxlog 客户端，解压后得到以下文件

  nxlog-ce-2.9.1716.msi 为安装文件，双击，根据提示下一步直至安装完成。

安装完成后，服务列表里检查是否有 nxlog 服务。

  替换配置文件

Nxlog 安装完成后的目录在：

32 位系统：C:\Program Files\nxlog\conf

64 位系统：C:\Program Files (x86)\nxlog\conf

配置文件说明：

nxlog-win2008.conf 用于 Windows 2008/2012/2016/7/8/10

nxlog-win2003.conf 用于 Windows 2003/XP

使用win2008这个文件替换nxlog.conf，替换之后，需要将win2008这个文件名更名为 nxlog.conf        

修改关键配置项 ，打开nxlog.conf。（建议不要使用记事本修改，由于排版的问题，会导致报错        ）

默认采集了 Tomcat，IIS，某公司 的日志，如不需要采集这部分的日志可以修改路径为一个不存在的文件路径。

配置 Windows 本地安全策略，建议开启如下：

启动 Nxlog 服务

配置完成后到日志列表页面查看是否接收到日志，点击 IP 进入日志查询页面查看日志详情。日志查询-日志列表

审计策略配置（可以根据需求来确认要哪些策略，默认策略已经很多，只要简单配置即可）我采用的都是默认策略，进去配置审计对象和告警基本配置保存即可。

配置完后就可以看到告警信息了

  一次LAS简单的部署实施就完成了，还有许多其他的配置和更详细的配置信息，建议去社区查看文档。文章里面有些图和信息是文档和社区找来的（配置时没有步步截图下来），文章哪里有问题或者步骤有什么不对，希望大佬指出，如果觉得有帮助，可以帮忙点个赞。

部署的时候社区找到一篇文章，很详细也很有帮助，大家也可以去看：

#原创分享#LAS如何使用nxlog客户端采集windows的日志

没碰过这个，第一次，学到了

学习学习

感谢分享

感谢分享

学习学习

很有帮助

明天要部署了，加油奥利给

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

很好的帖子，继续学习大神的知识