产品代号 型 号 SIEM-DATAVIEW 文件代号 密 级 商密
CNGate-SIEM日志采集配置指南
产品部
2015年01月
第 1 页 共 97 页
目 录
1. 2. 2.1. 2.2. 2.3. 2.4.
概述 .................................................................................................................................................. 5 SYSLOG配置 ................................................................................................................................. 5
LINUX主机日志 ...................................................................................................................................... 5
AIX主机日志 ........................................................................................................................................ 6 RHLINUX ................................................................................................................................................ 7 SUSE 主机日志 ..................................................................................................................................... 8
syslog配置 ..................................................................................................................................... 8 syslog-ng配置 ................................................................................................................................ 9 rsyslog配置 ................................................................................................................................. 10
2.4.1. 2.4.2. 2.4.3. 2.5.
SOLARIS ................................................................................................................................................ 11
Solaris 10 syslog ........................................................................................................................... 11
2.5.1. 2.6.
虚拟机 .................................................................................................................................................. 12
VMware Esxi ................................................................................................................................ 12 Funsionsphere .............................................................................................................................. 14
2.6.1. 2.6.2. 2.7.
网络设备 .............................................................................................................................................. 14
2.7.1. 2.7.2. 2.7.3. 2.7.4.
路由器 .......................................................................................................................................... 15 交换机 .......................................................................................................................................... 20 防火墙 .......................................................................................................................................... 24
IDS ................................................................................................................................................ 33
第 2 页 共 97 页
2.7.5. 2.7.6. 2.8.
安全产品 ...................................................................................................................................... 46
IPS ................................................................................................................................................ 47
防毒墙 .................................................................................................................................................. 60
2.8.1. 2.8.2. 2.8.3. 2.9.
方正熊猫防毒墙 .......................................................................................................................... 60 趋势防毒墙 .................................................................................................................................. 60
KILL滤网关防毒墙 ..................................................................................................................... 61
网闸 ...................................................................................................................................................... 62
2.9.1. 联想网御网闸 .............................................................................................................................. 62
2.10. 其他 ...................................................................................................................................................... 63 2.10.1. 3. 3.1.
山东中创网页防篡改 .................................................................................................................. 63
日志采集配置 ................................................................................................................................ 64 数据库自身日志 .................................................................................................................................. 64
Oracle ........................................................................................................................................... 64 SqlServer ...................................................................................................................................... 71
3.1.1. 3.1.2. 3.2.
应用服务器 .......................................................................................................................................... 77
IIS/FTP应用服务器 .................................................................................................................... 77 Apache服务器 ............................................................................................................................. 80 Resin服务器 ................................................................................................................................ 81 TongWeb ....................................................................................................................................... 81 Nginx ............................................................................................................................................ 82 Tuxedo .......................................................................................................................................... 84
3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.3.
邮件服务器 .......................................................................................................................................... 85
第 3 页 共 97 页
3.3.1. 3.4.
Lotus Domino ............................................................................................................................... 85
主机 ...................................................................................................................................................... 85
Windows 自身日志 ...................................................................................................................... 85 Windows 目录监控 ...................................................................................................................... 91
3.4.1. 3.4.2. 3.5.
定制日志 .............................................................................................................................................. 92
3.5.1. 3.5.2. 3.5.3. 3.6.
文本格式日志 .............................................................................................................................. 93 目录下文本日志 .......................................................................................................................... 94 数据表日志 .................................................................................................................................. 94
其它应用 .............................................................................................................................................. 95
CheckPoint ................................................................................................................................... 95
3.6.1.
第 4 页 共 97 页
1. 概述
DATAVIEW的功能是日志审计和设备监控,那么DATAVIEW能够接收或采集到设备的日志或实时获取设备的状态信息。本文档主要就是对DATAVIEW如何能够采集或接收到各个不同企业或组织的日志和监控不同设备配置进行说明。
2. Syslog配置
只有对有日志转发功能的设备才能使用这种方式。可以在设备上配置,将日志转发给DATAVIEW系统信息与事件管理平台系统或DATAVIEW的日志采集器。
对于一般的安全设备,只需将其日志服务器的IP指向DATAVIEW系统信息与事件管理平台系统或采集器所在的IP地址即可,端口为 514,具体的各厂商设备的配置方式见后面说明。
2.1. linux主机日志
Linux主机所有的日志文件一般都在/var/log下,默认只是不记录 FTP 的活动,Linux系统的日志文件是可以配置的,Linux syslog设备依据两个重要的文件:/etc/syslogd守护进程和/etc/syslog.conf配置文件。通过将需要处理的日志发送到DATAVIEW系统信息与事件管理平台所在的主机,DATAVIEW系统信息与事件管理平台就可以采集到Linux主机的日志信息了。
配置方法如下:
首先我们对/etc/syslog.conf文件进行编辑,在文件后面加入下面一行: *.info @10.115.136.69 注意上面不能使用空格,要使用tab键
上面的命令可以解释为:把系统kern(内核)、User(用户进程)、Damon(系统守护进程)、Auth(与安全权限相关命令)、Uucp(Uucp程序)、Cron(记录当前登录的每个用户信息)、Wtmp(一个用户每次登录进入和退出时间的永久记录)、Authpriv(授权信息)的info(一般性消息)及以上等级的日志发送到10.115.136.69日志采集服务器。
第 5 页 共 97 页
如果要发送全部日志,使用如下格式: *.* @ 10.115.136.69
*.warn;[authpriv.notice;][auth.notice] @10.115.136.69 以上命令表示:发送warning级以上(err,crit,alert与emerg)的所有登录登出日志(authpriv.notice),以及认证信息(auth.notice)。
配置完成后需要重启syslog服务才能生效 #service syslog restart 最后需要开通linux主机设备到日志采集服务器之间经过防火墙的UDP 514端口
2.2. AIX主机日志
AIX主机可以通过配置syslog把日志主机日志发送到日志服务器,AIX syslog设备依据两个重要的文件:/etc/syslogd守护进程和/etc/syslog.conf配置文件。
首先我们对/etc/syslog.conf文件进行编辑,在文件后面加入下面一行: # vi /etc/syslog.conf Kern.info;user.info;damon.info;auth.info;uucp.info;cron.info;wtmp.info;authpriv.info @10.115.136.69 注意上面不能使用空格,要使用tab键
把系统kern(内核)、User(用户进程)、Damon(系统守护进程)、Auth(与安全权限相关命令)、Uucp(Uucp程序)、Cron(记录当前登录的每个用户信息)、Wtmp(一个用户每次登录进入和退出时间的永久记录)、Authpriv(授权信息)的info(一般性消息)及以上等级的日志发送到10.115.136.69日志服务器
配置完成后需要重启syslog服务才能生效
第 6 页 共 97 页
#stopsrc -s syslogd #startsrc -s syslogd 最后需要开通AIX主机设备到日志采集服务器之间经过防火墙的UDP 514端口
2.3. RHLinux
先在Linux机器上配置/etc/syslog.conf,用于发送日志信息到日志审计系统
见文件:syslog.conf地14-16行的内容:
*.* @192.168.19.184
这段的意思是将所有设备的所有等级的日志都发送到192.168.19.184地址,这个地址应该指向
日志审计系统
完成修改后,执行service syslog restart
说明:这个文件是我已经修改过的,你可以作为参照使用。
以下为记录操作命令日志步骤,为可选步骤: 2、然后修改/etc/bashrc文件
添加第13行的内容:
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });user=$(whoami);
logger $(date \"+%Y-%m-%d %H:%M:%S\"):$user:\"$msg\":$(who am i); }'
然后添加第17行:
if [ -z \"$PROMPT_COMMAND\" ]; then 最后添加第37行内容: fi
完成修改后,执行source /etc/bashrc
第 7 页 共 97 页
2.4. SUSE 主机日志 2.4.1. syslog配置
配置操作参考如下:
1. 先确认/etc/sysconfig/syslog中参数
SYSLOG_DAEMON=\"syslogd\" 2. 编辑syslog.conf文件
vi /etc/syslog.conf 在文件中加入以下内容: *.* @10.228.201.36
说明: *.*和@之间为一个Tab。将设备产生的所有级别日志(类型为*、级别为*)发送到日志服务器10.228.201.36。
3. 重新启动syslog服务,使用以下任何一种命令:
rcsyslog restart rcsyslog reload
/etc/init.d/syslog restart /etc/init.d/syslog reload service syslog restart
4、关闭防火墙命令或者开放514端口: a)关闭防火墙:
SuSEfirewall2 stop
chkconfig SuSEfirewall2_init off
chkconfig SuSEfirewall2_setup off b)或者在防火墙开放514端口: 编辑防火墙配置
vi /etc/sysconfig/SuSEfirewall2
第 8 页 共 97 页
添加以下内容:
FW_SERVICES_EXT_TCP=\"514\" FW_SERVICES_EXT_UDP=\"514\" 重启防火墙配置
SuSEfirewall2 restart a)、b)任选其一即可。
2.4.2. syslog-ng配置
配置操作参考如下:
1.先确认/etc/sysconfig/syslog中参数
SYSLOG_DAEMON=\"syslog-ng\"
2.备份/etc/syslog-ng/syslog-ng.conf文件,命令如下:
cp /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.bak
3.修改/etc/syslog-ng/syslog-ng.conf文件,在文件最后增加如下几行,然后保存并退出,命令如下,在最后面添加以下内容:
filter f_somcprobe是用来配置过滤器,当前配置为所有facility的err级别以上日,auth的info级别以上日志。
filter f_somcprobe { level(err,crit,alert,emerg) and not facility(auth) or level(info,notice,warn,err,crit,alert,emerg) and facility(auth); }; destination d_somcprobe配置日志发送目的,其中PRI是优先级(十进制),ISMP_SUSE是定义的标识,FULLDATE是时间,HOST是主机名,FACILITY是日志类别,LEVEL日志级别,MSG日志内容。将其中的192.168.56.173改为接收日志的IP地址。 destination d_somcprobe { udp(\"192.168.56.173\" port(514)
template(\"<$PRI>ISMP_SUSE [$FULLDATE] [$HOST] [$FACILITY.$LEVEL] $MSG\\n\")); };
第 9 页 共 97 页
log { source(src); filter(f_somcprobe); destination(d_somcprobe); };
4.重新启动syslog-ng服务,使用以下任何一种命令:
rcsyslog restart rcsyslog reload
/etc/init.d/syslog restart /etc/init.d/syslog reload service syslog restart
2.4.3. rsyslog配置
配置操作参考如下: 1、编辑rsyslog.conf文件 vi /etc/rsyslog.conf 在文件中加入以下内容:
*.* @192.168.12.242:514 @后跟远程主机的IP地址 2、重启rsyslog服务 service rsyslog restart
3、关闭防火墙命令或者开放514端口: a)关闭防火墙:
SuSEfirewall2 stop
chkconfig SuSEfirewall2_init off
chkconfig SuSEfirewall2_setup off b)或者在防火墙开放514端口: 编辑防火墙配置
第 10 页 共 97 页
vi /etc/sysconfig/SuSEfirewall2 添加以下内容:
FW_SERVICES_EXT_TCP=\"514\" FW_SERVICES_EXT_UDP=\"514\" 重启防火墙配置
SuSEfirewall2 restart a)、b)任选其一即可。
2.5. Solaris
2.5.1. Solaris 10 syslog
1、关闭防火墙(Solaris-10默认防火墙关闭),或者添加放行syslog的规则。 2、备份syslog配置文件:
#cp /etc/syslog.conf /etc/syslog.conf_bak 3、修改syslog配置文件,添加以下内容:
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @192.168.56.173 4、重启syslog服务: #svcadm restart system-log
注:*表示所有的Facility,有auth、kern、daemon、audit、mail、cron、lpr、local0-7等,等级不可以用*表示,从高到低等级为:emerg、alert、crit、err、warning、notice、info、debug、none,可根据需要调整需要收取的日志,none表示排除选定功能,不记录某些日志。 @后加接收syslog的远程主机地址,请根据实际环境修改。
第 11 页 共 97 页
2.6. 虚拟机 2.6.1. VMware Esxi
客户端方式
1、安装并运行VMware vSphere Client,执行以下步骤:
选中左侧面板中的ESXi主机->配置->高级设置->Syslog->Syslog.global.logHost->“输入远程日志服务器地址”
注:Syslog.global.logHost是设置syslog服务器的地方。支持多个 syslog服务器同时发送,用“,”隔开即可。同时支持多种协议,UDP、TCP,也支持SSL加密传输到syslog服务器。当然一般来说 syslog服务器的默认端口是514,用UDP协议。我们这里写的是“192.168.56.173:514”,既采用UDP协议传输到 192.168.56.173的514端口。 2、开启防火墙syslog端口
选中左侧面板中的ESXi主机->配置->安全配置文件->防火墙属性->开放syslog连接
第 12 页 共 97 页
3、重启Esxi主机 命令行方式
1、打开ESXI SHELL控制台(或者远程工具SSH连接): 执行以下命令:
esxcli system syslog config get 查看当前syslog配置
esxcli system syslog config set --loghost='tcp://10.11.12.13:514' #配置远程syslog使用TCP端口514上: esxcli system syslog config set --loghost='udp://10.11.12.13:514' #配置远程syslog使用UDP端口514上: esxcli system syslog reload 重启syslog服务 注:可根据实际情况选择UDP或者TCP 2、防火墙开放syslog端口:
esxcli network firewall ruleset set --ruleset-id=syslog --enabled=true #开放syslog流量 esxcli network firewall refresh 3、重启ESXI 主机 Reboot
第 13 页 共 97 页
#刷新防火墙规则
2.6.2. Funsionsphere
远程SSH连接到设备,执行以下操作:
编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容:
destination logserver { udp(\"192.168.56.168\" port(514)); }; log { source(src); destination(logserver); }; #日志服务器ip视实际情况来确定。
2.7. 网络设备
对于网络设备,可以通过SNMP协议和syslog协议将日志发送给DATAVIEW系统信息与事件管理平台。一般地,通过syslog协议,服务器能够采集到更多的日志信息,有助于进行深入的安全分析。相比之下,通过SNMP Trap发送事件对网络设备的负载更小。另外还有netflow(例如cisco的网络设备)更可以对网络设备的流量进行分析。
1.配置SNMP服务
下面以Cisco PIX 535防火墙配置为例加以说明。 1) 通过Telnet登录到防火墙 2) 进入到特权模式:enable或en
3) 进入配置模式:configure terminal 或conf t
4) 配置本路由器的只读字串为public:snmp-server community public ro 5) 配置本路由器的读写字串为public:snmp-server community public rw 6) 允许路由器将SNMP Trap发送出去:snmp-server enable traps 7) 指定路由器SNMP Trap的接收者为 第 14 页 共 97 页 9) 其他配置,请参阅Cisco PIX 535配置文档 2.配置Syslog服务 下面以Cisco PIX 535防火墙配置为例加以说明。 1) 通过Telnet登录到防火墙 2) 进入到特权模式:enable或en 3) 进入配置模式:configure terminal 或conf t 4) 开启log:logging on 5) 发送syslog 信息到Syslog服务器: logging host dmz1 192.168.1.1 6) 其他配置,请参阅Cisco PIX 535配置文档 3.配置cisco的netflow: 在全局模式下,以管理员身份登录路由器,执行如下操作进行Netflow配置。 1) Router(config)# ip flow-export source interface //配置输出netflow流量的源端 口,收集哪个interface,就在路由器哪个接口上启用采样。【这是flow数据包的源ip地址,可以指定,一般为loopback0的地址】。 2) Router(config)# ip flow-export version 5【5指v5,目前支持v5】。 3) Router(config)# ip flow-export destination ip-addr port //配置netflow流量输出 的目标地址,此时应为DATAVIEW服务器的IP地址、端口号,注意如果中间有防火墙,需放开该端口。【缺省端口号是2055】。 2.7.1. 路由器 2.7.1.1. Cisco路由器 通过命令行方式在路由器上配置日志服务器的ip地址和端口 1) 通过Telnet或者串口登陆到路由器 第 15 页 共 97 页 2) 在控制台输入命令enable或en进入到特权模式 3) 输入命令configure terminal 或conf t进入配置模式 4) 输入如下命令行: (config)# Logging on //启用日志服务 (config)# Logging trap debug //决定什么级别的日志信息发送到服务器,一般有八个级别(emergency 紧急 ;alert 必须立即采取措施 ;critical 致命情况 ;error 错误情况 ;warn 警告情况 ; notice 一般重要情况 ;info 普通信息 ; debug 调试信息),debug级别可以记录所有可以记录的信息 (config)# Logging host //指定日志服务器(DATAVIEW服务器)的IP地址 第 16 页 共 97 页 2.7.1.2. 华为路由器 示例: 1. 开启信息中心。 2. 将IP 地址为DATAVIEW服务器的主机用作日志主机,输出语言为英文。 [Quidway] info-center loghost 10.1.103.79 channel loghost facility local0 language english 有些版本可能不支持language配置,默认即为english,那么去掉language english即 第 17 页 共 97 页 可。 3. 允许输出信息的模块为所有模块,设定日志信息的输出级别为warnings以上,告警信息 的输出级别为warnings以上,调试信息不输出。 [Quidway] info-center source default channel loghost debug state off log level warnings trap level warnings 4. 设置日志信息时间戳格式为date格式。 [Quidway] info-center timestamp loghost date 有些版本不支持loghost配置,需使用如下配置命令: [Quidway] info-center timestamp log date [Quidway] info-center timestamp trap date 5. 配置发送日志信息的源接口 [Quidway] info-center loghost source interface-type interface-numbe 6. 保存退出。 [Quidway] quit display channel loghost display info-center 2.7.1.3. Juniper路由器 必选: 1. edit system syslog; 2. set host hostname facility severity; 配置syslog服务器为132.194.68.112,配置发送facility为any,级别为notice及以上的日志: set host 132.194.68.112 any notice 3. set host 132.194.68.112 log-prefix string 第 18 页 共 97 页 在日志中添加字符,可以自定义添加任何字符(除了空格、=和:)以标识,如添加“JUNOS”。 举例: 4. set explicit-priority 在日志中添加日志优先级。默认日志中不包含优先级信息。添加优先级后,日志中会包含facility信息和severity信息。如以下分别为包含优先级和不包含优先级的日志: 5. 应用配置:Commit 6. show log [filename]:查看存放在文件filename中的日志内容。 可选: 1. set time-format [year|millisecond|year millisecond);] 配置时间格式中包含年、毫秒或都包括(确认路由器版本是否支持此项功能)。 2. source-address source-address; 第 19 页 共 97 页 设定使用路由器某个接口地址转发日志。 2.7.2. 交换机 2.7.2.1. cisco交换机 cisco>en cisco #conf t cisco(config)#logging on //进入到配置模式 //启用日志服务 cisco(config)#logging 192.168.19.115 //指定日志服务器IP地址 //注:By de fault, the logging level is set to 3 (error). (config)#logging trap errors //指定发送日志级别,可选的级别有0-7,0最低 emergencies System is unusable (severity=0) alerts Immediate action needed (severity=1) critical Critical conditions (severity=2) errors Error conditions (severity=3) warnings Warning conditions (severity=4) notifications Normal but significant conditions (severity=5) informational Informational messages (severity=6) debugging Debugging messages (severity=7) 2.7.2.2. 华为交换机 第 20 页 共 97 页 [Quiaway] info-center enable //启用日志服务 [Quiaway] info-center loghost 192.168.19.115 //指定日志服务器IP地址 2.7.2.3. H3C交换机 [H3C-s8812-01] info-center enable //启用日志服务 [H3C-s8812-01] info-center loghost 192.168.19.115 //指定日志服务器IP地址 2.7.2.4. 美国力腾 FORCE10 C150交换机 在网上查美国力腾交换机命令跟cisco的命令类似 FC300_1>en FC300_1#config //进入到配置模式 FC300_1(conf)#logging on //启用日志服务 FC300_1 (conf)#logging 192.168.19.115 //指定日志服务器IP地址 2.7.2.5. Extreme交换机 开启syslog功能 enable syslog 添加syslog服务器,并指定facility(local0)和发送日志级别(warning及以上) configure syslog add 132.194.68.112 local0 warning 设置日志发送格式(默认有一些格式),指定日志中日期格式,并将hostname及severity级别放在日志中。 configure log target syslog 132.194.68.112 local0 format date mm-dd-yyyy timestamp 第 21 页 共 97 页 seconds host-name on severity on 显示日志配置 show log configuration show log configuration target 显示日志内容: show log messages memory-buffer,显示内存缓冲区中的日志; 2.7.2.6. 港湾交换机 打开日志服务功能。 config syslog enable 配置所要记录日志信息的最低级别为4级(warning)。 config syslog server lowest-level 4 配置IP地址为DATAVIEW主机ip的日志服务器 config syslog server add 132.194.68.112 配置日志管理对所有类型的日志信息进行记录。 config syslog server type all enable 打开日志信息保存到日志服务器的功能。 config syslog server enable 显示日志管理的所有配置信息。 show syslog configuration 保存配置。 save configuration 显示系统资源利用率: show memory usage show system recource 第 22 页 共 97 页 2.7.2.7. CableTron网络设备 CableTron设备的syslog分为5个安全级别,从低到高依次为: I – informational message A – audit message W – warning condition E – error condition F – fatal error syslog的设置步骤如下: 1. 进入CLI命令行配置模式 2. 设置syslog服务器和全局记录级别: system set syslog [serverIP] level warning 所有warning及其以上级别的事件都会上传到审计服务器。 3. 设置局部报警级别: system set syslog-level sys level audit 系统(sys)记录audit及其以上级别的事件,用于对管理员配置操作的审计。 2.7.2.8. 马可尼网络设备 (已被爱立信收购) 1. 进入设备的config模式; # configure 2. 打开日志记录功能: (config)# set syslog enable 3. 配置日志服务器IP: (config) # set syslog server_ip 10.120.4.248 第 23 页 共 97 页 可以将此处的IP替换为实际的IP。 4. 配置发送日志的facility,这里选择all: (config) # set syslog facility all 5. 配置发送的报警信息的级别为warning,即warning及其以上的级别需要发送到日志服务 器: (config) # set syslog severity warning 6. 查看日志配置,命令为: cisco(config) # show syslog config 7. 退出并保存配置: (config) # exit # copy running-config startup-config 2.7.3. 防火墙 2.7.3.1. 天融信防火墙 为网络卫士防火墙配置日志服务器的具体方法如下: 1) 点击导航菜单 日志与报警 > 日志设置,进入“日志设置”窗口,如下图所示。 第 24 页 共 97 页 2) 服务器地址填写日志采集服务器地址 3) 服务器端口填写514 4) 传输类型选取syslog 5) 是否传输选取“是” 6) 是否加密选取“否” 7) 日志级别选取4 8) 日志类型选取配置管理、阻断策略、访问控制、防攻击、深度内容检测、用户认证、入侵 防御、虚拟专网、防病毒 其他配置界面的防火墙syslog配置: 1.登录Topsec集中管理器; 第一步:配置日志服务器 第 25 页 共 97 页 1) 在导航树中选择“选项设置”; 2) 在界面右侧窗口内选择“安全设备登录”,打开“安全设备登录访问控制”界面; 3) 增加一条安全设备登录客户; 4) 对象属性->客户类型选择“日志服务器”,属性->类型选择“SYSLOG”,地址和端口 填入日志服务器的地址和端口。 第二步:配置访问控制策略 1) 在导航树中选择高级管理->访问策略->内网; 2) 对需要发送日志的策略进行新增或修改; 在“访问控制”界面中,日志选项选择“日志会话”,其他配置项目根据需要进行配置 2.7.3.2. Cisco防火墙 思科防火墙的syslog日志发送与思科交换机syslog日志发送一致 cisco>en cisco #conf t cisco(config)#logging on //进入到配置模式 //启用日志服务 cisco(config)#logging 10.115.136.70 //指定日志服务器IP地址 (config)#logging trap informational //发送日志级别,可选的级别有0-7,0最低 emergencies System is unusable (severity=0) alerts Immediate action needed (severity=1) critical Critical conditions (severity=2) errors Error conditions (severity=3) warnings Warning conditions (severity=4) notifications Normal but significant conditions (severity=5) informational Informational messages (severity=6) debugging Debugging messages (severity=7) 第 26 页 共 97 页 最后需要开通ASA防火墙设备到日志采集服务器之间经过防火墙的UDP 514端口。 2.7.3.3. 网御防火墙 联想网御防火墙syslog配置: 1) 配置日志服务器 2) 配置包过滤规则日志 3) 找到禁止访问的包过滤规则 ,点击编辑进入包过滤规则维护。 第 27 页 共 97 页 4) 打开包过滤日志 网御星云防火墙syslog配置: 1) 配置日志服务器并提交。 第 28 页 共 97 页 2) 选择日志存储方式并提交。 3) 配置日志存储类型(选择全部即可)并提交。 2.7.3.4. H3C防火墙 1) 在界面左侧的导航栏中选择“设备日志 > 日志设置”,进入下图所示的页面。 第 29 页 共 97 页 2) 在日志主机中填入日志采集服务器地址 3) 点击确定。 2.7.3.5. Juniper防火墙 1) 用admin用户登陆web界面 2) 选择Configuration->;Report Settings->;Syslog 3) 点击'Enable Syslog' 4) Source Interface选择能与日志采集服务器通信的端口 5) 在IP/Hostname处填入日志采集服务器IP,Port填514 6) Security Facility和Facility都选取error 7) 在Event Log和Traffic log选项处打勾,TCP不选取。 8) 点击Apply Traffic log 开启方式如下图:Policy->Policies->点击相应策略的Edit->勾选 第 30 页 共 97 页 Logging 第 31 页 共 97 页 2.7.3.6. 东软防火墙 在东软5200-T-S2防毒墙上配置接收syslog日志服务器地址和转发syslog日志使用的端口 在东软防火墙4202上配置接收syslog日志服务器地址和转发syslog日志使用的端口 第 32 页 共 97 页 2.7.3.7. 网神防火墙 主要有两种方式进行配置: 1.通过防火墙的web管理页面进行配置,[首先需要保证可以进行web管理,需要将浏览器所在机器设置为防火墙的管理主机,该选项在“管理配置”-“管理主机”位置],在“系统配置”-“日志服务器”中配置为DATAVIEW所在IP,端口默认514。 2.或者可以通过命令行方式在防火墙上配置日志服务器的ip地址和端口,首先通过终端或网络登陆到防火墙,键入的命令如下: 语法: logsrv set 参数说明: ip 设置日志服务器的IP地址 port 设置日志服务器的端口,UDP协议的默认端口是514 udp 设置发送日志使用的协议 示例: firewall>logsrv set 192.168.1.1 514 udp 2.7.4. IDS 2.7.4.1. 安氏 IDS 1.启动LinkTrust IDS Console。 2.上面工具栏中的“设备”。 第 33 页 共 97 页 3.在左侧栏目中选择IDS安全策略,然后选择其中需要编辑的某策略。 第 34 页 共 97 页 4.选择左侧上面的“编辑锁定”。然后选择中间栏中需要发送SNMP Trap的某策略,鼠标左键双击该策略。 第 35 页 共 97 页 5.选择响应配置。 第 36 页 共 97 页 6.选择SYSLOG。 第 37 页 共 97 页 7.选择策略,选择后,将出现策略已经修改,是否保存,选择保存。 第 38 页 共 97 页 第 39 页 共 97 页 8.请选择目前使用的策略,设置SYSLOG互动协议。设置服务器IP地址为DATAVIEW安全管理平台所在的主机IP地址,服务端口设为514。根据需要设置响应级别。 9.选择需要采集日志的IDS,鼠标右键选择应用策略。设置完成。 第 40 页 共 97 页 2.7.4.2. 网神 IDS 1.以管理员身份登录 2.选择:控制区—〉admin—〉SNMP Trap 3.配置SNMP Server IP 4.团体字符串,选择要发送的SNMP Trap规则 5.保存 第 41 页 共 97 页 2.7.4.3. INZEN IDS 1.进入IDS CONSOLE 2.选择策略菜单 3.选择我们用的策略,比如航信策略,点编辑 4.选择响应 第 42 页 共 97 页 5.选SNMP TRAP,点编辑 6.添加响应对象,配置对象属性 第 43 页 共 97 页 7.一路确定到策略编辑器,选策略,看右边SNMP TRAP是否勾上了 第 44 页 共 97 页 8.选全部保存,退出,确定 9.如果更改了策略,自动出现策略下发窗口 第 45 页 共 97 页 10.选择好需要下发的SENSOR ,勾上重新应用 11.下发后,SENSOR自动重启,策略生效 2.7.5. 安全产品 2.7.5.1. 天珣内网安全 1、进入syslog配置界面 2、将“是否启用syslog日志发送”选为是 3、输入syslog服务器地址及端口514 4、选择需要发送的参数及日志类型。保存即可。 2.7.5.2. 深信服上网行为管理 1、 进入高级配置选择外部Syslog配置,如图所示: 第 46 页 共 97 页 2、 配置syslog内容: [syslog 服务器 IP 地址]用于设置 syslog 服务器的 IP 地址。 [系统允许日志]包括调试日志、信息日志、告警日志、错误日志 勾选[开启调试日志]用于将设备上的调试日志同步到 syslog 服务器上。 勾选[开启信息日志]用于将设备上的信息日志同步到 syslog 服务器上。 勾选[开启告警日志]用于将设备上的告警日志同步到 syslog 服务器上。 勾选[开启错误日志]用于将设备上的错误日志同步到 syslog 服务器上。 勾选[管理员操作日志]用于将管理员操作日志同步到 syslog 服务器上。 2.7.6. IPS 2.7.6.1. 冰之眼IPS 1.打开浏览器IE,用HTTPS方式连接冰之眼的IP地址,如https://10.78.173.136 2.回车后出现安全警报框,如下图所示,单击【是】,接受冰之眼证书加密的通道。 第 47 页 共 97 页 图 1.1 登录时的安全警报界面 3.在如图所示的冰之眼登录界面中,输入正确的用户名和密码,并单击【登录】。 4.成功登录后,进入系统当前运行状态的界面,如图所示。 第 48 页 共 97 页 5.点击【系统】-【证书与附加设置】 第 49 页 共 97 页 6.打开Snmp Trap开头,设置Snmp Trap主机:10.78.239.46 7.配置完成后,点击应用配置按钮使配置生效 2.7.6.2. 网神 IPS 配置网神SecIPS3600-G的syslog 1.登录SecIPS3600 Console,点击“策略->策略列表->Global_Settings”; 2.在SYSLOG互动协议下面填写接受syslog的服务器IP、服务器端口和响应级别; 3.点击“策略->策略列表->告警策略->user”; 第 50 页 共 97 页 4.在packages处,点击右键,选择:事件响应整体配置,在出现的对话框中选择Syslog。 2.7.6.3. 启明星辰 IPS 1.天清入侵防御系统控制台—系统设置—SNMP Trap 设置 第 51 页 共 97 页 2.天清入侵防御系统控制台—策略任务—入侵防御—策略编辑 第 52 页 共 97 页 3.双击当前应用的策略,本例中当前应用的策略为”串行保护策略集衍生策略” 第 53 页 共 97 页 4.设置模板—相应设置模板 第 54 页 共 97 页 5.新建三个策略模板:报警日志snmp、报警日志包阻断snmp、报警日志RST包阻断snmp,并在右侧的相应方式上勾选snmp选项,保存后关闭即可,三个模板配置完成后的截图如下: 第 55 页 共 97 页 6.在策略编辑页面,点击“响应方式”,把事件按响应方式排列,然后对相同响应方式的事件批量应用新建的相应的相应模板 第 56 页 共 97 页 7.保存策略 第 57 页 共 97 页 8.重新在控制台主页面下发编辑后的策略 第 58 页 共 97 页 2.7.6.4. 天融信IPS 1.点击导航菜单 日志与报警 > 日志设置,进入“日志设置”窗口,如下图所示。 2.服务器地址填写日志采集服务器地址 3.服务器端口填写514 第 59 页 共 97 页 4.传输类型选取syslog 5.是否传输选取“是” 6.是否加密选取“否” 7.日志级别选取4 8.日志类型选取配置管理、阻断策略、访问控制、防攻击、深度内容检测、、入侵防御 2.8. 防毒墙 2.8.1. 方正熊猫防毒墙 方正并行防毒墙上配置接收syslog日志服务器地址和转发syslog日志使用的端口 2.8.2. 趋势防毒墙 配置趋势防毒墙的syslog 1.通过ie浏览器登录趋势防毒墙控制台,点击“Logs->log Settings”; 第 60 页 共 97 页 2.勾选”Send logs to the Control Manager server”和”Send logs to the primary syslog server”,并在Server IP address和Ports中填写正确的syslog服务器的IP地址和端口信息; 3.点击“save”按钮,保存设置。 2.8.3. KILL滤网关防毒墙 该设备目前支持在图形化界面配置通过syslog方式转发告警信息和事件,如下图: 第 61 页 共 97 页 2.9. 网闸 2.9.1. 联想网御网闸 配置NetGap联想网御网闸的syslog. 1.通过ie浏览器登录NetGap联想网御网闸控制台,点击“系统设置->报告设置->日志服务器”; 第 62 页 共 97 页 2.在日志服务器中填写日志服务器IP、协议和端口,然后点击确定; 3.由于联想网御网闸日志是通过网闸的内网向外发送日志,因此,为不影响网络正常使用和保 证安全性,在配置中我们需要利用网闸的内网管理口向外发送出数据,通过在路由器(如:cisco 4507)上配置路由的方式,将网闸内网管理口发出的日志数据发送到日志服务器上。 2.10. 其他 2.10.1. 山东中创网页防篡改 前提条件:系统信息与事件管理平台版本是V5.3.5及以上版本支持syslog协议。 配置方法:在产品安装路径的var\\inforguard下有config.xml文件,内容如下: 第 63 页 共 97 页 修改第13行的监控代理配置。 设置步骤: 1.属性 isStart=”true” 2.属性 agenttype=”syslog” 3.属性 targetAddress=”syslog服务端的IP地址” 4.属性 monitorPort=”514” 一般syslog日志使用端口为514,也可以根据syslog服务端 设置不同的端口(要根据syslog服务端绑定的端口来定)。 3. 日志采集配置 采集设备可以使用这种方式由DATAVIEW采集器主动去采集设备或应用的日志。这种方式主要针对没有日志发送功能的设备,比如 Windows 主机日志。 3.1. 数据库自身日志 3.1.1. Oracle 3.1.1.1. Oracle9i for Linux 3.1.1.1.1. 告警日志采集 首先使用oracle客户端登陆oracle后进行下面操作 1.创建目录,这里的‘/oracle/admin/nhgtfc/bdump’安装oracle的绝对路径,nhgtfc是数据库的实例名称; 第 64 页 共 97 页 SQL > create directory BDUMP as ‘/oracle/admin/nhgtfc/bdump’ ; 2.把alert_DataView.log文件中的日志映射到一张新创建的数据库表中, alert_ nhgtfc.log中的nhgtfc为该数据库的实例名 SQL > create table alert_log ( text varchar2(255) ) organization external ( type oracle_loader default directory BDUMP access parameters ( records delimited by newline ) location('alert_ nhgtfc.log') ) reject limit unlimited; 3.1.1.1.2. 审计日志采集 使用sysdba身份登录oracle(在oracle数据库本地登录):sqlplus \"/as sysdba\" 1.查看审计开关是否打开 首先登陆oracle后输入show parameter audit_trail来查看审计是否打开 SQL > show parameter audit_trail ; 说明VALUE :返回值是NONE/FALSE表示审计未打开;返回值是DB/TURE表示审计功能已经打开 2.审计开关未打开,需要打开审计开关 SQL > alter system set audit_trail=’DB’ scope=spfile ; 这里对audit_trail=进行说明:audit_trail=’DB’ 表示把审计日志记录到数据库sys.audit$表中。 第 65 页 共 97 页 3.确定相关表是否安装 SQL > select * from sys.audit$ ; 返回结果 :未选定行。表示该表已经安装 SQL > select * from dba_audit_trail ; 返回结果 :未选定行。表示该表已经安装 上述查询的时候发现表不存在,说明审计相关的表还没有安装 4.设置审计内容 审计每个用户的所有数据库连接 SQL > audit session; 审计表,包括create table 、drop table 、truncate table SQL > audit table; 审计视图 SQL > audit view; 审计存储过程 SQL > audit procedure; 审计触发器 SQL > audit trigger; 审计向数据库表中插入记录 SQL > audit insert table; 审计修改数据库表中的记录 SQL > audit update table; 审计删除数据库表中的记录 第 66 页 共 97 页 SQL > audit delete table; 审计修改表结果 SQL >audit ALTER TABLE; 审计修改任何角色 SQL > audit ALTER ANY ROLE; 审计创建用户 SQL > audit CREATE USER; 审计修改用户 SQL > audit ALTER USER; 审计授予任何权限 SQL > audit GRANT ANY PRIVILEGE; 审计sys用户的DBA_USERS表上的(INSERT, UPDATE, DELETE, SELECT)每一项操作 SQL > audit INSERT, UPDATE, DELETE, SELECT on sys.DBA_USERS by ACCESS; 审计sys用户的AUD$表上的(INSERT, UPDATE, DELETE)每一项操作 SQL > audit INSERT, UPDATE, DELETE on sys.AUD$ by ACCESS; 5.日志传感器安装、注册、设置与oracle告警日志设置一致,设置完成后,请重新启动传感器。 3.1.1.2. Oracle9i for Windows 3.1.1.2.1. 告警日志采集 首先使用oracle客户端登陆oracle后进行下面操作 1.创建目录,这里的‘c:\\oracle\\admin\\DataView\\bdump’安装oracle的绝对路径,DataView是数据库的实例名称 SQL > create directory BDUMP as ‘c:\\oracle\\admin\\DataView\\bdump’ ; 第 67 页 共 97 页 2.把alert_DataView.log文件中的日志映射到一张新创建的数据库表中, alert_DataView.log中的DataView为该数据库的实例名 SQL > create table alert_log ( text varchar2(255) ) organization external ( type oracle_loader default directory BDUMP access parameters ( records delimited by newline ) location('alert_DataView.log') ) reject limit unlimited; 3.1.1.2.2. 审计日志采集 说明:oracle9i for windows审计日志采集方法请参照oracle9i for linux审计日志采集方法。 3.1.1.3. Oracle10g for Linux 3.1.1.3.1. oracle10g for Linux告警日志采集 说明:oracle10g for linux告警日志采集方法请参照oracle9i for linux告警日志采集方法。 3.1.1.3.2. 审计日志采集 使用sysdba身份登录oracle(在oracle数据库本地登录):sqlplus \"/as sysdba\" 第 68 页 共 97 页 1.查看审计开关是否打开 首先登陆oracle后输入show parameter audit_trail来查看审计是否打开 SQL > show parameter audit_trail ; 说明VALUE :返回值是NONE/FALSE表示审计未打开;返回值是DB/TURE表示审计功能已经打开 2.审计开关未打开,需要打开审计开关 SQL > alter system set audit_trail=’DB’ scope=spfile ; 这里对audit_trail=进行说明:audit_trail=’DB’ 表示把审计日志记录到数据库sys.audit$表中。 3.确定相关表是否安装 SQL > select * from sys.audit$ ; 返回结果 :未选定行。表示该表已经安装 SQL > select * from dba_audit_trail ; 返回结果 :未选定行。表示该表已经安装 上述查询的时候发现表不存在,说明审计相关的表还没有安装 4.设置审计内容 审计每个用户的所有数据库连接 SQL > audit session; 审计表,包括create table 、drop table 、truncate table SQL > audit table; 审计视图 SQL > audit view; 审计存储过程 第 69 页 共 97 页 SQL > audit procedure; 审计触发器 SQL > audit trigger; 审计向数据库表中插入记录 SQL > audit insert table; 审计修改数据库表中的记录 SQL > audit update table; 审计删除数据库表中的记录 SQL > audit delete table; 审计修改表结果 SQL >audit ALTER TABLE; 审计修改任何角色 SQL > audit ALTER ANY ROLE; 审计创建用户 SQL > audit CREATE USER; 审计修改用户 SQL > audit ALTER USER; 审计授予任何权限 SQL > audit GRANT ANY PRIVILEGE; 审计sys用户的DBA_USERS表上的(INSERT, UPDATE, DELETE, SELECT)每一项操作 SQL > audit INSERT, UPDATE, DELETE, SELECT on sys.DBA_USERS by ACCESS; 审计sys用户的AUD$表上的(INSERT, UPDATE, DELETE)每一项操作 第 70 页 共 97 页 SQL > audit INSERT, UPDATE, DELETE on sys.AUD$ by ACCESS; 3.1.1.4. Oracle10g for Windows 3.1.1.4.1. 告警日志采集 说明:oracle10g for windows告警日志采集方法请参照oracle9ifor windows告警日志采集方法。 3.1.1.4.2. 审计日志采集 说明:oracle10g for windows审计日志采集方法请参照oracle10g for linux审计日志采集方法。 3.1.2. SqlServer 3.1.2.1. Sqlserver 2000 3.1.2.1.1. 告警日志采集 Sqlserver告警日志默认保存在C:\\Program Files\\Microsoft SQL Server\\MSSQL\\LOG目录下,日志文件名为ERRORLOG,使用目录定制的方式获取该日志。 3.1.2.1.2. 自身日志采集 要获取sql server 2005操作日志,必须要打开审计开关,配置审计源。打开审计开关的原理是追 踪并且保存事情,所以打开审计开关必然会影响数据库的性能,具体影响情况我回在后续研究后告诉大家。 建立日志保存目录 由于在64位机器中的相关限制而无法连接sqlserver2005,所以需要安装传感器在其它机器中。 第 71 页 共 97 页 首先,需要在64位的机器建一个共享目录,此共享目录,目录名为log,默认建立在c盘,此 共享目录允许网络用户更改我的文件。 然后,在传感器所在服务器中映射网络驱动盘,点击我的电脑-〉工具-〉映射网络驱动盘,点击 后出现如下画面 在文件夹框中,填入64位sqlserver服务器所在机器IP和共享目录,如\\\\192.168.19.147\\log, 打开审计开关 A、执行下面语句建立存储过程 注:默认建立的跟踪文件为z: \race_log.trc。若需要修改传感器所在共享目录log所在路径,需要在sql语句中进行相应的替换,sql语句包含在安装目录sqlserveroplog.xml文件sql项中。 create PROC AuditTrcProc AS exec sp_configure 'xp_cmdshell' ,1 RECONFIGURE; declare @cmd sysname set @cmd='del c:\\log\race_log.trc' print @cmd 第 72 页 共 97 页 exec master..xp_cmdshell @cmd declare @P1 int; set @P1=0 declare @max_file_var bigint set @max_file_var=1000 exec sp_trace_create @P1 output, 2, N'c:\\log\race_log', @max_file_var, NULL select @P1 declare @on_var bit set @on_var=1 exec sp_trace_setevent @P1, 10, 1, @on_var exec sp_trace_setevent @P1, 10, 6, @on_var exec sp_trace_setevent @P1, 10, 9, @on_var exec sp_trace_setevent @P1, 10, 10, @on_var exec sp_trace_setevent @P1, 10, 11, @on_var exec sp_trace_setevent @P1, 10, 12, @on_var exec sp_trace_setevent @P1, 10, 13, @on_var exec sp_trace_setevent @P1, 10, 14, @on_var 第 73 页 共 97 页 exec sp_trace_setevent @P1, 10, 16, @on_var exec sp_trace_setevent @P1, 10, 17, @on_var exec sp_trace_setevent @P1, 10, 18, @on_var exec sp_trace_setevent @P1, 12, 1, @on_var exec sp_trace_setevent @P1, 12, 6, @on_var exec sp_trace_setevent @P1, 12, 9, @on_var exec sp_trace_setevent @P1, 12, 10, @on_var exec sp_trace_setevent @P1, 12, 11, @on_var exec sp_trace_setevent @P1, 12, 12, @on_var exec sp_trace_setevent @P1, 12, 13, @on_var exec sp_trace_setevent @P1, 12, 14, @on_var exec sp_trace_setevent @P1, 12, 16, @on_var exec sp_trace_setevent @P1, 12, 17, @on_var exec sp_trace_setevent @P1, 12, 18, @on_var exec sp_trace_setevent @P1, 14, 1, @on_var exec sp_trace_setevent @P1, 14, 6, @on_var exec sp_trace_setevent @P1, 14, 9, @on_var exec sp_trace_setevent @P1, 14, 10, @on_var exec sp_trace_setevent @P1, 14, 11, @on_var exec sp_trace_setevent @P1, 14, 12, @on_var exec sp_trace_setevent @P1, 14, 13, @on_var exec sp_trace_setevent @P1, 14, 14, @on_var 第 74 页 共 97 页 exec sp_trace_setevent @P1, 14, 16, @on_var exec sp_trace_setevent @P1, 14, 17, @on_var exec sp_trace_setevent @P1, 14, 18, @on_var exec sp_trace_setevent @P1, 15, 1, @on_var exec sp_trace_setevent @P1, 15, 6, @on_var exec sp_trace_setevent @P1, 15, 9, @on_var exec sp_trace_setevent @P1, 15, 10, @on_var exec sp_trace_setevent @P1, 15, 11, @on_var exec sp_trace_setevent @P1, 15, 12, @on_var exec sp_trace_setevent @P1, 15, 13, @on_var exec sp_trace_setevent @P1, 15, 14, @on_var exec sp_trace_setevent @P1, 15, 16, @on_var exec sp_trace_setevent @P1, 15, 17, @on_var exec sp_trace_setevent @P1, 15, 18, @on_var exec sp_trace_setevent @P1, 17, 1, @on_var exec sp_trace_setevent @P1, 17, 6, @on_var exec sp_trace_setevent @P1, 17, 9, @on_var exec sp_trace_setevent @P1, 17, 10, @on_var exec sp_trace_setevent @P1, 17, 11, @on_var exec sp_trace_setevent @P1, 17, 12, @on_var exec sp_trace_setevent @P1, 17, 13, @on_var exec sp_trace_setevent @P1, 17, 14, @on_var 第 75 页 共 97 页 exec sp_trace_setevent @P1, 17, 16, @on_var exec sp_trace_setevent @P1, 17, 17, @on_var exec sp_trace_setevent @P1, 17, 18, @on_var declare @intfilter int declare @bigintfilter bigint exec sp_trace_setfilter @P1, 10, 0, 7, N'SQL Profiler' exec sp_trace_setstatus @P1, 1 B、在数据库每次启动前执行上面跟踪的存储过程 use master exec sp_procoption 'AuditTrcProc','startup','on' 建立数据源 打开 控制面板--〉管理工具--〉数据源,在系统DSN面板选择 “添加”(注意是系统DSN) 在数据源驱动程序中选择 “SQL Server” --〉完成,即打开 “创建到SQL Server 的新数据源” 在“数据源名称”中填入名称,我们填 SqlServer2005,然后选择 服务器,在其中选择要连接到的SQL Server服务器。 点击 下一步 配置认证信息,使用用户登录ID和密码的SQL Server验证 配置完后点击 下一步, 选中 “更改默认的数据库为”复选框,在下拉中选择自己刚才建立的要连接的数据库。 (这一步很重要,一般一个Server上会有多个数据库,如果不更改数据源的默认数据库,你 建立的数据源将连接到默认的数据库,这样就会造成程序中执行SQL语句时“对象名无效”的错误,即找不到你指定的数据表等) 选择完数据库后直接 下一步--〉完成 就完成了数据源的配置。接下来会出现配置数据源的基本信息,可以通过 “测试数据源”来测试数据源是否配置成功。 第 76 页 共 97 页 3.2. 应用服务器 3.2.1. IIS/FTP应用服务器 IIS日志存放的目录是可以修改的。用户可以通过“我的电脑/管理/服务和应用程序/Internet信息服务/网站/默认网站属性/活动日志格式/日志文件目录”来设置。 DATAVIEW采集器支持以下类型的日志: IIS的本地日志(默认位置在C:\\WINDOWS\\system32\\Logfiles) IIS的FTP服务器的自身日志 远程日志(通过配置FTP来采集指定目录下的日志) 3.2.1.1. IIS日志代理采集 1、登录服务器后,进IIS的管理控制台,选择发送的日志字段,设置成图下内容 第 77 页 共 97 页 除了Cookie这个不勾选外,其他全选如有多个域名,请一个个的核对。 注:勾选日志记录字段请按照上图指定字段勾选,否则会导致接收日志格式变化,解析文件不能解析的情况。 2、查看日志存储位置: 第 78 页 共 97 页 3、设置TDATAVIEW-Agent,选择IIS日志发送,配置完成后,请选择服务重启。 第 79 页 共 97 页 注:在agent菜单中注册可以看到这台机器的日志发送给哪台机器了。 建议你们将注册IP记下,这样知道哪台机器发给哪个采集器了,回头方便维护和排查。 3.2.2. Apache服务器 Apache日志存放的目录是可以修改的。Apache默认的日志文件目录为%Apache_home%\\logs。该目 第 80 页 共 97 页 录下包括访问日志access.log、错误日志error.log。如果需要修改日志存放目录,请修改配置文件%Apache_home%\\conf\\ httpd.conf。 3.2.2.1. 本地日志 仅用来采集跟采集器安装在同一台服务器上的Apache服务器的日志。指定Apache服务器的配置文件的路径即可。 3.2.2.2. 远程日志 对于远程日志,只支持安装在 Linux 主机上的Apache服务器。可以通过Shell脚本与Syslog服务,将日志转发到DATAVIEW采集器上。 3.2.3. Resin服务器 Resin服务器的日志文件目录可以修改。Resin的日志格式化字符串为: Resin中对日志设置主要有如下参数:log,logger,access-log,stdout-log,stderr-log。前两个放在 标签,也就是主标签下面,其中log主要用于配置JDK logging API,logger用于指定需要log的包及level, resin中level有个特殊的选项就是off,用于关闭日志输出;而后面三个*-log放在 其中,3个*-log的属性相同。path用于设定日志文件的路径。archive-format设置日志归档的格式,format设置每条日志的输出格式,rollover-size设置归档文件的最小尺寸,rollover用来设置归档日志文件的周期。 3.2.4. TongWeb TongWeb默认日志设置比较小,日志通过轮转方式生成,轮转日志时将新建一个名为server.log的空文件,并将旧文件重命名为server.log_date,其中date是轮转文件的日期和时间。建议采用如下两种方式,进入“管理控制台”->“服务配置”->“日志服务”->“日志服务配置”配置。 第 81 页 共 97 页 访问日志主要记录应用访问的IP和URL,日志生成在TongWeb的logs/access目录下。如果没有需要可以停掉此日志,节省资源。进入“管理控制台”->“服务配置”->“WEB容器”->“虚拟主机”,选择应用使用的虚拟主机“server”和“admin”,将“访问日志”开关的勾去掉并保存。 在Unix/Linux下用nohup./startserver.sh&启动TongWeb后,会在TongWeb的bin目录下生成nohup.out日志输出文件,由于不限制大小需要定时清理,可修改TongWeb的配置不向nohup.out中输出日志信息,修改TongWeb的startserver.sh启动脚本,找到-Dtongweb.verbose将其值设为false。 3.2.5. Nginx Nginx日志主要分为两种:访问日志和错误日志。日志开关在Nginx配置文件(/etc/nginx/nginx.conf)中设置,两种日志都可以选择性关闭,默认都是打开的。 3.2.5.1. 访问日志 访问日志主要记录客户端访问Nginx的每一个请求,格式可以自定义。通过访问日志,可以得到用户地域来源、跳转来源、使用终端、某个URL访问量等相关信息。Nginx中访问日志相关指令主要有两条: (1)log_format log_format用来设置日志格式,也就是日志文件中每条日志的格式,具体如下: log_format name(格式名称) type(格式样式) 举例说明如下: log_format main '$server_name $remote_addr - $remote_user [$time_local] \"$request\" ' '$status $uptream_status $body_bytes_sent \"$http_referer\" ' '\"$http_user_agent\" \"$http_x_forwarded_for\" ' '$ssl_protocol $upstream_response_time'; 上面红色部分为Nginx默认指定的格式样式,每个样式的含义如下: $server_name:虚拟主机名称。 $remote_addr:远程客户端的IP地址。 -:空白,用一个“-”占位符替代,历史原因导致还存在。 $remote_user:远程客户端用户名称,用于记录浏览者进行身份验证时提供的名字,如果没有登录 第 82 页 共 97 页 $ssl_cipher $upstream_addr $request_time 就是空白。 [$time_local]:访问的时间与时区,比如18/Jul/2012:17:00:01 +0800,时间信息最后的\"+0800\"表示服务器所处时区位于UTC之后的8小时。 $request:请求的URI和HTTP协议,这是整个PV日志记录中最有用的信息,记录服务器收到一个什么样的请求 $status:记录请求返回的http状态码,比如成功是200。 $uptream_status:upstream状态,比如成功是200. $body_bytes_sent:发送给客户端的文件主体内容的大小,比如899,可以将日志每条记录中的这个值累加起来以粗略估计服务器吞吐量。 $http_referer:记录从哪个页面链接访问过来的。 $http_user_agent:客户端浏览器信息 $http_x_forwarded_for:客户端的真实ip,通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过$remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中,可以增加x_forwarded_for信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。 $ssl_protocol:SSL协议版本,比如TLSv1。 $ssl_cipher:交换数据中的算法,比如RC4-SHA。 $upstream_addr:upstream的地址,即真正提供服务的主机地址。 $request_time:整个请求的总时间。 $upstream_response_time:请求过程中,upstream的响应时间。 访问日志中一个典型的记录如下: 192.168.1.102 - scq2099yt [18/Mar/2013:23:30:42 +0800] \"GET /stats/awstats.pl?config=scq2099yt HTTP/1.1\" 200 899 \"http://192.168.1.1/pv/\" \"Mozilla/4.0 (compatible; MSIE 6.0; Windows XXX; Maxthon)\" 需要注意的是:log_format配置必须放在http内,否则会出现如下警告信息: nginx: [warn] the \"log_format\" directive may be used only on \"http\" level in /etc/nginx/nginx.conf:97 (2)access_log access_log指令用来指定日志文件的存放路径(包含日志文件名)、格式和缓存大小,具体如下: access_log path(存放路径) [format(自定义日志格式名称) [buffer=size | off]] 举例说明如下: 第 83 页 共 97 页 access_log logs/access.log main; 如果想关闭日志,可以如下: access_log off; 能够使用access_log指令的字段包括:http、server、location。 需要注意的是:Nginx进程设置的用户和组必须对日志路径有创建文件的权限,否则,会报错。 Nginx支持为每个location指定强大的日志记录。同样的连接可以在同一时间输出到不止一个的日志中,更多信息请查看这里,这里,还有这里。 3.2.5.2. 错误日志 错误日志主要记录客户端访问Nginx出错时的日志,格式不支持自定义。通过错误日志,可以得到系统某个服务或server的性能瓶颈等。错误日志由指令error_log来指定,具体格式如下: error_log path(存放路径) level(日志等级) path含义同access_log,level表示日志等级,具体如下: [ debug | info | notice | warn | error | crit ] 从左至右,日志详细程度逐级递减,即debug最详细,crit最少。 举例说明如下: error_log logs/error.log info; 需要注意的是:error_log off并不能关闭错误日志,而是会将错误日志记录到一个文件名为off的文件中。 正确的关闭错误日志记录功能的方法如下: error_log /dev/null; 上面表示将存储日志的路径设置为“垃圾桶”。 3.2.6. Tuxedo 使用Tuxedo启停用户登录进去后,使用如下命令:tmunloadcf |grep ULOGPFX,所显示的结果就是Tuxedo的路径以及日志文件前缀名,如显示/home/tuxedo/log/ULOG,则表示日志位于/home/tuxedo/log路径下,且日志的前缀名为ULOG。 第 84 页 共 97 页 3.3. 邮件服务器 3.3.1. Lotus Domino 首先进行domino服务器的设置,在服务器文档(names.nsf或webadmin.nsf)的配置页面做如下配置: 1.开安全性页签,设置Java/Com限制。 运行有限制的java/javascript/com: * 运行无限制的java/javascript/com: * 2.开端口页签的Internet页签的DIIOP页签,设置HTTP的端口号是63148,状态为启用。 3.开端口页签的Internet页签的web页签,设置HTTP的端口号是80,状态为启用。 4.在服务器上启动 HTTP 和 DIIOP 任务,需要确保这些任务在 Notes.ini 文件 ServerTasks 变量的任务列表中,如果正确配置了Server 文档,那么这些任务应该包 含在任务列表中。 Notes.ini 文件应该包含类似于下面的行: ServerTasks=Update,Replica,Router,AMgr,AdminP,CalConn,Sched,DIIOP,HTTP,LDAP 5.从运行的服务器,可以在控制台中输入下列命令来加载任务: > load http > load diiop 3.4. 主机 3.4.1. Windows 自身日志 Windows主机本身没有对外发送安全信息的功能,DATAVIEW有两种方式采集Windows主机的日志:一是通过DATAVIEW采集器采用WMI来采集日志;一是通过在Windows主机客户端安装采集器来实现对Windows主机的日志进行采集,并通过syslog协议发送到DATAVIEW系统信息与事件管理平台。 第 85 页 共 97 页 3.4.1.1. 采用WMI在采集系统日志 用WMI在采集系统日志时对用户权限是有要求的,远程取日志时需以administrator组账户登陆,所以需要建一个以administrator组的账户。所以采集windows日志配置如下: 1.在windows主机上建立一个administrator组的账户 2.需要在服务中开启相关服务:Remote Registry、Remote Procedure Call(RPC) 3.在防火墙上需要开启TCP 135端口(RPC) 3.4.1.2. 客户端方式采集 如果通过在Windows主机安装客户端(agent)来采集日志,在配置事件传感器之前,用户必须确认开启了Windows操作系统的日志审计策略。如果没有打开日志审计策略,需要在组策略中设置审核策略。有两种方法: 1.开始菜单/运行/输入gpedit.msc/选择计算机配置/Windows设置/安全设置/本地策略/审核策略,然后修改审核即可。 2.控制面板/管理工具/本地安全策略/本地策略/审核策略,然后修改审核即可。 第 86 页 共 97 页 通过Windows日志审计策略,用户可以审核Windows操作系统下策略更改,登录事件、对象访问、帐户管理、帐户登录等事件。 3.4.1.2.1. 安装 双击cngate-dataview-agent.exe出现下图: 点击图中的下一步: 第 87 页 共 97 页 自行修改目录,注:英文目录不要使用汉字 第 88 页 共 97 页 自行修改目录,注:英文目录不要使用汉字 选择 默认路径或者通过更改按钮来选择路径后点击下一步 选择快捷方式点击下一步: 第 89 页 共 97 页 点击完成安装成功。 3.4.1.2.2. 基本配置 在安装完后,在系统右下角有一个托盘,点击托盘右键,则会弹出菜单 第 90 页 共 97 页 在安装完后必须进行注册。注册即是连接到服务器(系统信息与事件管理平台或采集器)。 需要开放端口514。514是服务器接收日志的端口。 3.4.2. Windows 目录监控 Windows 目录监控只有在采集器安装在Windows 服务器上时才可以使用。用来监控指定目录下文件的变化。 第 91 页 共 97 页 3.5. 定制日志 定制日志主要用来采集某些用户自定义的应用,或者第三方应用的产品的日志。依据日志存放的位置,分为三类:文本格式、目录下的文本格式、数据表格式(日志存放在数据库中)。 第 92 页 共 97 页 3.5.1. 文本格式日志 采集器采集以文本文件存放的日志。 第 93 页 共 97 页 3.5.2. 目录下文本日志 日志存放在指定目录下,采集器采集目录下的所有文本文件。 3.5.3. 数据表日志 应用的日志存放在数据库的表中,采集器通过读取表来采集应用的日志。 第 94 页 共 97 页 3.5.3.1. Symantec 防病毒 日志的默认存放在目录在 C:\\Documents and Settings\\All Users\\Application Data\\Symantec\\Symantec AntiVirus Corporate Edition\\7.5\\Logs下),可以采用DATAVIEW自带的采集器采集。 3.5.3.2. McAfee ePO4.0 防病毒 日志存放在 MS SQLServer 中,可以通过 DATAVIEW自带的采集器来采集。 在任务配置/定制日志/数据表日志中输入如下 SQL 语句: AutoID=0#SELECT AutoID, ReceivedUTC, DetectedUTC, Analyzer, AnalyzerName, AnalyzerVersion, AnalyzerHostName, AnalyzerIPV4, AnalyzerDetectionMethod, SourceIPV4, SourceHostName, SourceUserName, TargetHostName, TargetIPV4, TargetUserName, TargetPort, TargetProcessName, TargetFileName, ThreatCategory, ThreatEventID, ThreatSeverity, ThreatName, ThreatType, ThreatActionTaken, ThreatHandled FROM dbo.EPOEvents where AutoID > ?; 3.5.3.3. 江民网络版防病毒 日志也是存放在MS SQLServer 中,可以通过 DATAVIEW自带的采集器来采集。 在任务配置/定制日志/数据表日志中输入如下 SQL 语句:(暂无) 3.6. 其它应用 目前其它应用只支持CheckPoint 的日志。 3.6.1. CheckPoint 采集CheckPoint 的日志,需要CheckPoint 的LEA服务。 使用expert命令进入专家模式 在安装Check Point管理服务器的FWDIR/conf 目录下,编辑fwopsec.conf文件并添加以下行: lea_server port 18184 第 95 页 共 97 页 lea_server auth_port 0 例如,该文在所在路径为:/var/opt/CPsuite-R62/fw1/conf/fwopsec.conf 使用vi编辑该文件即可。 也可利用find命令查找该文件:find / -name fwopsec.conf auth_port 认证情况下连接的端口,port 未认证的情况下连接的端口。 重启防火墙服务 [4.1] fwstop ; fwstart [NG] cpstop ; cpstart 使用管理客户端SmartDashboard在策略上添加规则来允许从外部访问Check Point管理服务器的 上面定义的端口,18184是缺省LEA连接端口。(安装checkpoint安装包中的图形管理界面smartconsole,即可在远端配置checkpoint规则,需配置远程管理用户,并设置允许远程访问的ip) 规则如下: SOURCE DESTINATION SERVICE ACTION TRACK INSTAL L ON TIME COMMENT Wizard Firewall LEA ACCEPT LOG GATEWAYS ANY Comments Source: 采集机IP地址:IP,这台主机需要通过OPSEC API和防火墙的Manager建立连 接,和接收防火墙信息/告警 Destination: Check Point管理服务器 Service: FW1_lea Action: Accept Track: Log 安装该策略 在采集端测试18184端口是否能够连接,使用命令: telnet 若连接成功则以可以开始采集日志;若连接不成功,检查以下几项: 1) checkpoint是否以防火墙运行,右键单击network object下的cpmodule,选择菜单项 第 96 页 共 97 页 convert to gateway...(在管理客户端中进行) 2) 使用fw stat命令检查是否安装了不必要的策略,使用fw unloadlocal卸载策略。 第 97 页 共 97 页 因篇幅问题不能全部显示,请点此查看更多更全内容