×

【2022争霸赛*干货满满】siplogger日志采集
  

李会斌 2974

{{ttag.title}}
本帖最后由 李会斌 于 2022-10-13 21:24 编辑

siplogger日志采集

     我们最近实施等保项目的时候发现我们的日志审计系统从原有的LAS变成了新的siplogger,以前LAS可以通过镜像或者安装 插件的方式实现记录客户服务器的日志,但是从我们新产品siplogger开始我们的日志审计开始不支持镜像模式部署在客户的网络里面,针对我们新产品的变动,总结了一下我们siplogger实施的基本操作。



     一、设备部署模式

       siplogger采用旁路部署在客户的网络里面,通过Syslog采集客户的服务器、安全产品、交换等日志;

     SIP-Logger的日志采集功能是指通过不同的采集方式去采集目标设备上的日志。

1、填写日志源名称;
2、选择接入方式为syslog;
3、选择解析规则为Linux System Log(若能明确接入的linux系统类型,也可以搜索对应系统类型的解析规则);深信服对应协议选择对应可以搜索sangfor(如没有的请联系400在线客服获取):
4、选择对应的编码(默认为UTF-8)(默认为UTF-16)等;
5、源IP选择接入设备的IP


LIUNX日志采集配置

在目标Linux服务器上配置syslog服务,将日志转发至SIP-Logger,步骤如下:
1、登录Linux服务器(注:这里请使用root权限用户进行操作);
2、使用“vi /etc/rsyslog.conf”命令打开syslog的配置文件;
3、在文件末尾增加如下图的配置内容(注:debug与@之间是1个TAB键);
可复制下面相关的命令到文件中
1、测试项目建议在文件末添加以下命令:
*.debug          @SIP-Logger IP
2、实施项目建议在文件末添加以下命令:
authpriv.*        @SIP-Logger IP
*.err        @SIP-Logger IP

4、使用“service rsyslog restart”命令重启syslog服务,使配置内容生效。

Winlogbeat方式采集Windows日志

1、登录SIP-Logger设备,进入[系统管理->数据源对接],点击“新增”,选择接入类型为winlogbeat,点击下载Winlogbeat windows agent到windows系统本地。
2、在windows上解压sangfor-SIP-winlogbeat压缩包至欲安装agent的路径(路径不含特殊字符、空格或中文的目录,防止出现未知问题),按照安装说明进行安装
3、以管理员身份运行install-service.bat,遵循提示输入SIP-Logger设备的IP
安装完成之后,服务列表里检查是否有SangforSIPWinlogbeat服务
4、配置Windows本地安全策略,建议开启如下
5、回到SIP-Logger设备控制台,继续在新增数据源弹窗中完善信息,填写日志源名称,选择解析规则为Windows Event Log,选择日志编码(默认为UTF-8),填写windows系统IP,点击“确定”
6、中间网络放通windows设备到SIP-Logger设备的TCP5044端口。
7SIP-Logger设备上可以查询到windows设备发送过来的日志:

安全设备推送Syslog

     安全厂商的设备都一般情况下都支持推送Syslog服务,例如我们深信服的产品目前都可以推送Syslog服务,以前遇到过edr版本推送Syslog服务可能会有无法获取日志的问题,可以通过400获取补丁;


    交换机也是可以推送Syslog服务,因为涉及好多不同型号的交换机,无法举例说明,具体配置可以让客户运维人员配合实施推送。


*********************************************************************************
注意事项:

1、需开放目标Linux服务器与SIP-Logger的UDP 514端口之间的通信。确保syslog报文可以正常发送到SIP-Logger上。

2、根据发行的类Linux操作系统版本,syslog服务的配置文件的命名可能是不一样的,如:syslog服务的配置文件命名可能是syslog.conf,也可能是rsyslog.conf。另外,不同的Linux操作系统版本,重启rsyslog服务命令可能略有不同,如CentOS 6使用的是“service rsyslog restart”命令,而CentOS 7重启服务的命令则是“systemctl restart rsyslog”。

3、目前SIP-Logger设备不支持同时解析两种以上的不同日志,如:客户的Linux服务器同时发送自身的系统日志和中间件日志到SIP-Logger设备,这时SIP-Logger设备可以同时接收这两种日志,但是只能解析其中的一种日志(至于解析哪一种日志,就取决于日志源里面选择的解析规则是针对linux系统的解析规则,还是中间件日志的解析规则)。

4、收集Linux中间件日志时需注意:
(1)Apache日志选择解析规则为:Apache Linux
(2)Tomcat日志选择解析规则为:Apache Tomcat(linux)
(3)以上中间件日志,选择接入类型为:syslog


打赏鼓励作者,期待更多好文!

打赏
14人已打赏

339015 发表于 2022-10-17 21:40
  
感谢楼主分享,文章介绍了sip logger日志采集常用方式与配置指导,整体比较清晰,期待更多优秀的分享
新手589624 发表于 2022-10-17 08:27
  
感谢老师无私分享,学习网络
小德 发表于 2023-4-17 18:57
  

感谢楼主无私奉献,学习一下
小西北 发表于 2023-4-17 18:57
  

感谢楼主无私奉献,学习一下
朱墩2 发表于 2023-4-17 18:57
  

感谢楼主无私奉献,学习一下
唐三平 发表于 2023-4-17 18:57
  

感谢楼主无私奉献,学习一下
鲤鲤 发表于 2023-4-17 19:02
  

感谢楼主无私奉献,学习一下
蔺嘉宾 发表于 2023-4-17 19:03
  

感谢楼主无私奉献,学习一下
梦境人生 发表于 2023-4-17 19:04
  

感谢楼主无私奉献,学习一下
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人