本帖最后由 Hacking 于 2022-7-8 19:04 编辑
日志审计原理:
LAS日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规。
syslog:适用于大多数Linux、Unix类系统,服务器通过syslog将日志发送给日志审计系统,日志审计系统会解析相关日志,然后进行分析。
nxlog:适用于Windows系统,服务器通过nxlog软件将日志发送给日志审计系统,日志审计系统会解析相关日志,然后进行分析
拓扑:
syslog(Linux)部署实施
1、配置步骤
先登录到 Linux 设备系统中,需为 root 账号,执行命令:"vi /etc/syslog.conf"(或者为 rsyslog.conf),在文件末添加如下内容:*.debug @SyslogserverIP 其中 debug
和@符号之间是一个 Tab 键而不是空格,IP 地址填写收集 Syslog 接收服务器的地址(LAS 地址);保存配置文件:执行命令":wq!" ;
2、 重启syslog服务器:
centos 6执行命令"service rsyslog restart";
centos 7以上执行命令“systemctl restart rsyslog.service”。
Centos 6版本
Centos 7版本
3、 虚拟机配置路由
检查虚拟机是否有到以下网段的路由,如果没有需要手动添加:
进入Linux命令行(举例)
route add -net 192.56.76.0 netmask 255.255.255.0 dev eth2
为了可以是路由永久生效需要将路由条目添加到/etc/rc.local文件内
添加后使用 route -n 命令确认路由是否添加成功。
注意事项
Linux 设备与 日志审计设备之间网络可达,与 日志审计设备的 UDP:514 端口能进行通讯。
|