资源描述
事件源Agent部署要求
1 部署范围
安全产品
数目
部署采集机(名称/IP)
Agent 部署描述
Windows主机
通过Windows Event日志来采集,在采集服务器上部署Windows 主机的专用Agent,把关心的Windows主机日志采集到SOC系统中。
UNIX主机
通过Logging Server收到各个设备使用syslog转发的相关日志,SOC系统分别通过部署在pc服务器的相应得Agent获得这些设备日志,并对日志进行格式化,保存到Soc系统中。
Cisco路由器
Nortel
Foundry
Radware
Cisco交换机
RSA ACE Server
Pix防火墙
Linktrust 防火墙
通过ODBC接口方式采集。先在PC服务器上安装防火墙的日志管理工具,该工具通过Syslog的方式获得部署在中国电信中的LTCW防火墙日志,SOC系统通过一个部署在同一台pc服务器的Agent获得该日志,并对日志进行格式化,保存到Soc系统中。
LinkTurst IDS
通过odbc数据库接口方式采集。由于本项目的ids Sensor采取集中管理的方式,分布在全网的sensor由部署在中心点的ec统一管理,所有在SOC中心pc服务器上NIDS的Agent,负责接收来在IDS Sensor上的安全事项并转发到soc服务端。
趋势防病毒系统
通过odbc数据库接口方式采集。
ISS RealSecure IDS
通过odbc数据库接口方式采集。
CA IDS,CA Access Control
待定
2 部署要求
2.1 Windows主机
1.将evtsys.zip中的两个文件(evtsys.exe和evtsys.dll)展开到Windows系统system32目录下
2.然后运行下面的命令安装服务:
evtsys -i -h IP -p 514
-h为syslog 服务器地址
-p为syslog服务器端口
3.在系统服务面板中,将eventlog to syslog服务的启动类型设定改为自动
并启动该服务。
注:根据实际情况IP取192.168.18.12(内网地址)或202.102.15.237(外网地址)
2.2 LINUX主机
LINU系统接入方法:通过Syslog转发到KiWi服务器
1. 在Unix系统的/etc/hosts文件中增加一行
IP loghost
注:根据实际情况IP取192.168.18.11(内网地址)或202.102.15.237(外网地址)
2. 在Unix系统/etc/syslog.conf文件最后追加以下7行
*.alert ifdef(`LOGHOST', /var/log/syslog, @loghost)
*.emerg ifdef(`LOGHOST', /var/log/syslog, @loghost)
*.crit ifdef(`LOGHOST', /var/log/syslog, @loghost)
auth.notice ifdef(`LOGHOST', /var/log/syslog, @loghost)
auth.err ifdef(`LOGHOST', /var/log/syslog, @loghost)
auth.info ifdef(`LOGHOST', /var/log/syslog, @loghost)
auth.warning ifdef(`LOGHOST', /var/log/syslog, @loghost)
3. 用下面的命令停止syslog服务
/etc/init.d/syslog stop
4. 用下面的命令启动syslog服务
/etc/init.d/syslog start
2.3 Unix主机
2.3.1 AIX
AIX系统接入方法:
1. 提供Unix系统的IP地址
2. 提供Unix系统的主机名称
3. 在Unix系统/etc/syslog.conf文件最后追加以下2行
*.err @172.20.3.14 (中间以Tab健分割)
auth.info @172.20.3.14 (中间以Tab健分割)
5. 用下面的命令停止syslog服务
stopsrc -s syslogd
6. 用下面的命令启动syslog服务
startsrc -s syslogd
2.3.2 Solaris
通过Unix系统的Syslog服务和采集机Agent接口,具体的步骤如下:
方法:通过Syslog转发到KiWi服务器
1. 提供Unix系统的IP地址
2. 提供Unix系统的主机名称
3. 在Unix系统的/etc/hosts文件中增加一行
IP loghost
注:根据实际情况IP取192.168.18.11(内网地址)或202.102.15.237(外网地址)
4. 在Unix系统/etc/syslog.conf文件最后追加以下7行
*.alert ifdef(`LOGHOST', /var/log/syslog, @loghost)
*.emerg ifdef(`LOGHOST', /var/log/syslog, @loghost)
*.crit ifdef(`LOGHOST', /var/log/syslog, @loghost)
auth.notice;auth.err;auth.info;auth.warning ifdef(`LOGHOST', /var/log/syslog, @loghost)
5. 用下面的命令停止syslog服务
/etc/init.d/syslog stop
6. 用下面的命令启动syslog服务
/etc/init.d/syslog start
2.3.3 HP-UX
通过Unix系统的Syslog服务和采集机Agent接口,具体的步骤如下:
方法:通过Syslog转发到KiWi服务器
1.提供Unix系统的IP地址
2.提供Unix系统的主机名称
3.在Unix系统的/etc/hosts文件中增加一行
IP loghost
注:根据实际情况IP取192.168.18.11(内网地址)或202.102.15.237(外网地址)
4.在Unix系统/etc/syslog.conf文件最后追加以下7行
*.alert @loghost
*.emerg @loghost
*.crit @loghost
auth.notice;auth.err;auth.info;auth.warning @loghost
5. 下面的命令停止syslog服务
ps –ef|grep syslogd
kill PID
6. 下面的命令启动syslog服务
/usr/sbin/syslogd -D
2.4 Cisco路由器
通过Cisco路由器的Syslog服务和采集机Agent接口,具体的步骤如下:
device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface e0 //日志发出用的源IP地址(e0为发出日志的端口,使用哪个端口由实际情况决定)
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
注:根据实际情况IP取192.168.18.13(内网地址)或202.102.15.238(外网地址)
2.5 FoundryBigIron 8000路由器
通过Foundry路由器的Syslog服务和采集机Agent接口,具体的步骤如下:
bigiron(config)#logging on
bigiron(config)#logging IP //日志服务器的IP地址
(Software Release earlier than 07.7.00)
bigiron(config)#logging host IP //日志服务器的IP地址
(Software Release 07.7.00 and later)
bigiron(config)#logging buffered alerts
bigiron(config)#logging buffered critical
bigiron(config)#logging buffered emergencies
bigiron(config)#logging facility auth
查看状态
bigiron>show logging
注:根据实际情况IP取192.168.18.13(内网地址)或202.102.15.238(外网地址)
2.6 Radware路由器
通过Radware路由器的Syslog服务和采集机Agent接口,具体的步骤如下:
1. Access the Device Access tab in the Management Preferences
window.
2. In the SysLog Reporting area, enter the IP address of the device
running the syslog service (syslog) in the Syslog Station Address
field.
3. Select the Syslog Operation checkbox to enable syslog reporting.
4. Click Apply to implement your changes and OK to close the
window.
注:根据实际情况IP取192.168.18.16(内网地址)或202.102.15.241(外网地址)
2.7 Cisco交换机
通过Cisco交换机的Syslog服务和采集机Agent接口,具体的步骤如下:
device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的端口,使用哪个端口由实际情况决定)
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
注:根据实际情况IP取192.168.18.13(内网地址)或202.102.15.238(外网地址)
2.8 RSA ACE Server
方式:通过RSA ACE的日志转发功能将RSA ACE日志信息转发到系统Syslog,再由UNIX主机发送到SYSLOG服务器:
条件:需要有远程管理客户端(DB REMOTE MGMT)
如果没有远程管理客户端,可以执行sdadmin程序
步骤
1.在远程管理客户端上
Click Start > Programs > ACE/Server > Database Administration – Remote Mode.
The Select Server to Administer dialog box opens.
输入相关认证信息,启动Database Administration管理界面。
2.在管理界面上 click Log > Log to System Log.(确保Log to System Log.选项前面打上勾“√”)。
注:根据实际情况IP取192.168.18.16(内网地址)或202.102.15.241(外网地址)
2.9 Cisco Pix防火墙
通过Cisco Pix防火墙的Syslog服务和采集机Agent接口,具体的步骤如下:
device#conf t
device(config)#logging on
device(config)#logging IP //日志服务器的IP地址
device(config)#logging trap critical //日志记录级别,可用"?"查看详细内容
device(config)#logging source-interface e0 //日志发出用的源IP地址
device(config)#service timestamps log datetime localtime //日志记录的时间戳设置
检验
device#sh logging
保存配置
device#copy runningconfigure startingconfigure
注:根据实际情况IP取192.168.18.14(内网地址)或202.102.15.239(外网地址)
2.10 LinkTrust CyberWall
版本: 3.6
接口方式: Syslog
配置步骤:
1.loghost add IP //日志服务器的IP地址
2.apply
3.Save
注:根据实际情况IP取192.168.18.14(内网地址)或202.102.15.239(外网地址)
2.11 LinkTurst IDS
版本: 7.0
接口方式: ODBC
数据库: MSDE
配置步骤:
1. 提供用户名/密码
2. 采集表名为AlertEvent
注:根据实际情况IP取192.168.18.14(内网地址)或202.102.15.239(外网地址)
2.12 趋势防病毒系统
版本: 6.5
接口方式: ODBC
数据库类型:SQL Server 2000
配置步骤:
1.提供用户名/密码
2.采集表名tb_AVVirusLog
注:IP取192.168.18.17
注:需要TMCM支持
2.13 ISS RealSecure NIDS
版本: 6.6
接口方式: ODBC
数据库类型:SQL Server
配置步骤:
1. 提供用户名/密码
2. 采集表名Events,Products
注:根据实际情况IP取192.168.18.15(内网地址)或202.102.15.240(外网地址)
2.14 ISS RealSecure HIDS
版本: 6.6
接口方式: ODBC
数据库类型:SQL Server
配置步骤:
1. 提供用户名/密码
2. 采集表名Events,Products
注:根据实际情况IP取192.168.18.15(内网地址)或202.102.15.240(外网地址)
2.15 CA eTrustIDS
通过CA eTrustIDS管理工具,对需相应策略的响应方式进行设置。CA eTrustIDS的EVENT事件响应支持:EVENT LOG、SNPM以及SYSLOG,本次试点暂时先采用SYSLOG。
版本: 1.5
接口方式: Syslog
配置步骤:
操作方法:
1. 打开CA eTrustIDS管理工具,选择Setting|definition
2. 在随后出现的界面中选择 ACTIONS
3. 点选ACTIONS下拉列表中的一条记录,再选择properties
4. 在properties中选择 assign to syslog
5. 填写发送的目的SYSLOG服务器地址,并设定Priority,确定即可。
6. 以此类推(注:每条策略都须作相应设置)。
注:根据实际情况IP取192.168.18.15(内网地址)或202.102.15.240(外网地址)
不能把Message信息带过来,需要用户自己输入。
2.16 CA eTrustAccess Control
假设eTrust Access Control的安装目录为/usr/seos。SNMP Trap将通过eTrust Access Control的selogrd进程来发送。
步骤一:
修改/usr/seos.ini中的
[daemons]
selogrd = yes
步骤二:
创建文件/usr/seos/etc/selogrd.ext
步骤三:
在步骤二的文件中加入一行
snmp /usr/seos/lib/snmp.so(在HP-UX上为snmp.sl)
步骤四:
修改/usr/seos/log/selogrd.cfg,如需要Audit所有 FILE类,PROCESS类及SURROGATE类可以为:
snmpRule
snmp AuditPC
include Class(FILE).
include Class(PROCESS).
include Class(SURROGATE).
.
其中snmpRule为规则名,AuditPC为SNMP Trap需要发送到的目标机器名(需要将该机器加到/etc/hosts中)。更为详细的关于selogrd.cfg的格式可参见eTrust Access Control Utilities Guide第106页。
步骤五:
启动selogrd,并通过ps -ef |grep selogrd确认进程的存在
注:根据实际情况AuditPC取192.168.18.16(内网地址)或202.102.15.241(外网地址)
2.17 Alcatel 7750 路由器
接口方式:Syslog
配置步骤:
SZX-7750-1>config>log# info
----------------------------------------------
#------------------------------------------
echo "Log Configuration"
#------------------------------------------
syslog 1
description "To syslog-server"
address 202.102.15.238
facility auth
exit
log-id 1
from main
to syslog 1
exit
----------------------------------------------
SZX-7750-1>config>log#
注:根据实际情况IP取192.168.18.13(内网地址)或202.102.15.238(外网地址)
2.18 ISS Internet Scanner
由SOC软件自行管理
注:根据实际情况IP取192.168.18.14(内网地址)或202.102.15.239(外网地址)
2.19 F5(bigip1000)交换机
通过Unix系统的Syslog服务和采集机Agent接口,具体的步骤如下:
方法:通过Syslog转发到KiWi服务器
1.提供Unix系统的IP地址
2.提供Unix系统的主机名称
3.在Unix系统的/etc/hosts文件中增加一行
IP loghost
注:根据实际情况IP取192.168.18.11(内网地址)或202.102.15.237(外网地址)
4.在Unix系统/etc/syslog.conf文件最后追加以下7行
*.alert @loghost
*.emerg @loghost
*.crit @loghost
auth.notice;auth.err;auth.info;auth.warning @loghost
7. 下面的命令停止syslog服务
ps –ef|grep syslogd
kill -HUP PID
8. 下面的命令启动syslog服务
/usr/sbin/syslogd -D
注:根据实际情况IP取192.168.18.11(内网地址)或202.102.15.237(外网地址)
2.20 Ironport
接口方式:文件
配置步骤:
在> logconfig
Currently configured logs:
1. "antivirus" Type: "AntiVirus Logs" Retrieval: FTP Push - Host
2. "avarchive" Type: "AntiVirus Archive" Retrieval: FTP Poll
3. "bounces" Type: "Bounce Logs" Retrieval: FTP Push - Host 202.102.13.136
4. "brightmail" Type: "" Retrieval: FTP Poll
5. "cli_logs" Type: "CLI Audit Logs" Retrieval: FTP Poll
6. "delivery_log" Type: "Delivery Logs" Retrieval: FTP Poll
7. "error_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
8. "ftpd_logs" Type: "FTP Server Logs" Retrieval: FTP Poll
9. "gui_logs" Type: "HTTP Logs" Retrieval: FTP Poll
10. "maildebug" Type: "IronPort Text Mail Logs" Retrieval: FTP Push - Host 202.102.13.136
11. "qmail_log" Type: "qmail Format Mail Logs" Retrieval: FTP Poll
12. "rptd_logs" Type: "Mailflow Report Logs" Retrieval: FTP Poll
13. "sntpd_logs" Type: "NTP logs" Retrieval: FTP Poll
14. "status" Type: "Status Logs" Retrieval: FTP Poll
15. "system_logs" Type: "System Logs" Retrieval: FTP Poll
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configuration headers to log.
[]> edit
Enter the number of the log you wish to edit.
[]> 15
Log level:
1. Error
2. Warning
3. Information
4. Debug
5. Trace
[3]> 3
Please enter the name for the log:
[system_logs]>
Choose the method to retrieve the logs.
1. FTP Poll
2. FTP Push
3. SCP Push
[1]> 2
Hostname to deliver the logs:
[]>
Username on the remote host:
[]>
Password for dingning ("DELETE" for empty password):
[]>
Directory on remote host to place logs:
[]> .
Filename to use for log files:
[system]>
Maximum time to wait before transferring:
[3600]>
Maximum filesize before transferring:
[10000000]>
> commit
Please enter some comments describing your changes:
[]> log
2.21 NetScreen 防火墙
接口方式:Syslog
配置步骤:
set syslog config IP local4 local4
set syslog traffic
set syslog enable
set log module system level critical destination syslog
save
注:根据实际情况IP取192.168.18.14(内网地址)或202.102.15.239(外网地址)
2.22 Syslog-ng
按以下模板修改/etc/syslog-ng/syslog-ng.conf文件
source syslog-ng { sun-streams(“/dev/log” door(“/etc/.syslog_door”)); }; //solaris2.6-2.8
source syslog-ng {sun-streams(“/dev/log” door(“/var/run/syslog_door”)); } //solaris2.9
source syslog-ng {unix-dgram(“dev/log”); }; //AIX
source syslog-ng { pipe(“/dev/log” pad_size(2048)); }; //HP-UX
filter filtersoc { level(“info”) or level(“notice”) or level(“warning”) or level(“err”) or level(“crit”) or level(“alert”) or level(“emerg”); };
destination soc {udp(ip(192.168.18.11) port(514));};
log {source(syslog-ng);filter(filtersoc);destination(soc);};
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
