【每日一记】第8天+AF接入LAS,接收不到日志
  

阿勒泰 2885

{{ttag.title}}
本帖最后由 阿勒泰 于 2022-8-24 18:01 编辑

什么是日志审计
LAS日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效的发现异常安全事件及审计违规
日志审计收集日志调用 syslog 服务,配置接收地址为日志审计设备地址即可

案例背景
机房日志审计设备,只做了上架,能做登录,未进行任何配置,最近需要做安全设置,将设备日志接入到日志审计中。
遇到问题
现有设备,深信服防火墙,linux系统服务器,根据客服给的接入指南配置好设备上的syslog接收地址为日志审计的ip地址和端口后,日志审计上并不能接收到任何日志。
非常纠结,为什么深信服的防火墙,配置syslog日志到深信服的日志审计还不通
(这时候可能有的大佬已经知道为什么了,其实很简单,就是一层窗户纸)
排查思路
首先在深信服的防火墙上,日志设置,syslog勾选,然后设置好日志审计的地址和端口。
然后设置好日志收集设置,确保防火墙自己能生成日志。
登录日志审计,查看有没有收到日志,然而并没有,心想是不是同步时间并不是实时的?刚好已经周五下班了,告辞。
周一上班,登录日志审计,还是没有收到任何日志,按照常理来说,不应该这样呀,开始进入薅头发排查阶段
登录深信服设备,排障-命令行,ping日志审计IP,通的,没啥问题呀?
登录日志审计,一开始这个设备是死机状态,因为要用,强制重启的,服务没有启动好?又强制重启了一遍,问题依旧,还是收不到日志。
没有解决思路了,重新找客服要问问怎么解决,客服配合着看了下防火墙上的syslog设置,并询问中间是否有其他安全设备,syslog设置没有问题,中间没有其他安全设备,ping了一下,还是通的,日志也有新的生成,但是日志审计就是没有收到日志。
这时候,客服一句你Telnet一下514端口看看通不通,telnet测试结果是不通,转到日志审计web页面,查看 日志审计  ,有采集器,但是规则没有,增加规则后,成功接收到防火墙的日志,感谢客服解决问题,并结束会话。
这时候开始自我折腾及验证阶段,打开Linux服务器,根据上一个客服给的日志接入指南,配置syslog好以后,日志审计同样配置探针,成功接收日志,问题解决。

问题总结
自己的技术能力还是要提高呀。
有问题找客服,找到手册以后,不要只看盯着那一份手册看,对比着几个手册查看自己的设置对不对。

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

C罗单手卸AF 发表于 2022-8-22 17:07
  
非常感谢楼主的分享,将AF到LAS出问题的过程排查了一遍,像讲故事一样,给大家呈现了出来。另外其实AF到LAS不通,其实还是有很多可能的,不仅仅是端口不通,例如AF需要在策略配置处开始审计策略,以及开启后且端口也是通的,此时如何解决?希望楼主可以再次进行分析!期待楼主的下次分享!
阿勒泰 发表于 2022-8-12 12:06
  
成功又水一篇帖子,沙发自留,以备补充
新手612152 发表于 2022-8-21 11:01
  
感谢楼主分享,每日学习打卡
新手780102 发表于 2022-8-21 11:31
  
感谢分享,学习学习!
飞翔的苹果 发表于 2022-8-22 08:11
  

每天学习,每天进步!感谢!
头像被屏蔽
新手760047 发表于 2022-8-22 08:48
  
提示: 作者被禁止或删除 内容自动屏蔽
怪兽君 发表于 2022-8-22 08:51
  
感谢分享,有助于工作和学习!!!
白鹭先生 发表于 2022-8-22 08:54
  
感谢分享,学习一下。
奔走的公牛 发表于 2022-8-22 09:25
  
感谢楼主分享,每日学习打卡
新手741261 发表于 2022-8-22 11:32
  

感谢分享,学习学习!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
新版本体验
产品连连看
功能体验
技术咨询
GIF动图学习
2023技术争霸赛专题
每周精选
标准化排查
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人