- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-被動日誌源典型配置
本章節下載: 02-被動日誌源典型配置 (4.72 MB)
H3C SecCenter CSAP-SA係列 綜合日誌審計平台
被動日誌源典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
3.4.2 NTA-V[X00]係列網絡全流量威脅分析探針 日誌配置
3.4.6 WAF W2000-AK4X5/G2/vX00(G2)係列
3.4.14 ESM 日誌配置(E1902及以後版本配置):
本文檔介紹綜合日誌審計平台被動日誌源日誌采集功能的配置案例。綜合日誌審計平台主要采集網絡中各類日誌數據,係統對采集到的數據進行歸一化處理。並將采集到的數據通過默認規則進行分析。分析結果通過WEB可視化呈現給用戶。通常將提供數據的設備稱為日誌源。
被動采集指一些網絡設備自身可以通過配置日誌服務器,及時向日誌主機發送日誌的功能 ,該類設備被稱為被動日誌源,綜合日誌審計平台作為日誌服務器,配置對應日誌源,對接收到的日誌源發送來的數據進行分析。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔舉例接入的日誌源設備均為H3C設備,其他品牌設備請以設備配套操作手冊為準。若客戶網絡中存在其它第三方廠商日誌不適配的情況,需要進行定製化開發時,請與當地銷售人員聯係。
本文檔假設您已了解綜合日誌審計平台的相關特性。
用戶期望采集網絡中各類設備日誌至綜合日誌審計平台。該類設備統稱為日誌源設備。
· 在日誌源設備上配置日誌主機為綜合日誌審計平台
· 綜合日誌審計平台將添加日誌源設備為被動日誌源
· 接收的日誌為二進製格式時,在綜合日誌審計平台添加日誌源,字符集選擇“bin”。如H3C IMC-EIA終端接入控製設備發送的AAA日誌,H3C係列防火牆、IPS設備及防火牆插卡發送的會話日誌等支持二進製格式及Syslog兩種格式,建議使用Syslog格式日誌。
· 在綜合日誌審計平台將某個設備添加為日誌源,但沒有對應的設備型號選項時,可將其設備類型、生產廠商、設備型號配置為“其他”,那麼,該設備日誌會被係統收集存儲,並在頁麵展示為係統類日誌。
IPS & 防火牆設備Syslog日誌發送配置說明是基於T1080 R8524P37版本編寫。其他型號IPS或防火牆設備可以參考T1080型號配置日誌發送。
【係統>日誌設置>基本配置】界麵,僅需要在【快速日誌】標簽頁進行如下配置:
(1) 新建日誌主機。
¡ 日誌主機:綜合日誌審計平台日誌采集IP地址。
¡ 端口號:缺省情況下,端口號為514。建議使用缺省配置。
¡ VRF:缺省情況下為公網,使用缺省配置。
¡ 日誌類型:勾選入侵防禦日誌、防病毒日誌、會話日誌、URL過濾日誌。
(2) 日誌時間戳:
¡ 格林威治時間:設備默認選擇格林威治時間,此時設備時區也為格林威治時區,此時不用更改。
¡ 設備本地時間:如果設備修改時區,不為格林威治時區,此時選用設備本地時間。
【係統>日誌設置>威脅日誌】界麵,配置入侵防禦日誌和防病毒日誌。按照如下要配置設備。
(1) 入侵防禦日誌。
¡ 輸出快速日誌。
¡ 日誌編碼格式:IPS/防火牆設備默認輸出gbk編碼方式,因此默認情況下,不論是否勾選輸出中文日誌,綜合日誌審計平台對應日誌字符集配置均為gbk。
(2) 防病毒日誌。
¡ 輸出快速日誌。
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
【係統>日誌設置>會話日誌】界麵,配置會話日誌。按照如下參考配置設備。
(1) 會話日誌。
¡ 輸出快速日誌。
¡ 記錄日誌:必須勾選記錄刪除會話日誌,可選擇勾選記錄新建會話日誌。
¡ 添加流量經過的接口,選擇記錄入方向、出方向。
(可選) 【係統>會話設置>高級日誌】界麵,配置會話日誌。按照如下參考配置設備。
(2) 勾選會話統計。
· 會話日誌不支持流日誌(二進製格式)配置接收,配置接收會影響係統穩定性。
· 不開啟會話統計,會話日誌不記錄上下行字節數據,影響綜合日誌審計部分功能使用,開啟會話統計會影響設備處理性能,需根據實際場景評估。
【係統>日誌設置>NAT日誌】界麵,配置NAT日誌。按照如下參考配置設備。
(1) NAT日誌。
¡ 開啟NAT日誌
¡ 不要勾選輸出快速日誌(運營商格式)
¡ 記錄日誌:可勾選記錄新建NAT會話的日誌、記錄刪除NAT會話的日誌、記錄NAT活躍流日誌
【係統>日誌設置>會話日誌】界麵,配置會話日誌。按照如下參考配置設備。
(2) 會話日誌。
¡ 輸出快速日誌
【係統>日誌設置>基本配置】界麵,配置快速日誌服務器。按照如下參考配置設備。
(3) 新建日誌主機。
¡ 日誌主機:綜合日誌審計平台日誌采集IP地址。
¡ 端口號:缺省情況下,端口號為514。建議使用缺省配置。
¡ VRF:缺省情況下為公網,使用缺省配置。
¡ 日誌類型:勾選會話日誌。
【係統>日誌設置>URL過濾日誌】界麵,配置URL過濾日誌。按照如下要配置設備。
(1) URL過濾日誌。
¡ 輸出快速日誌。
¡ 開啟URL過濾日誌。
¡ 日誌編碼格式:IPS/防火牆設備默認輸出gbk編碼方式,因此默認情況下,綜合日誌審計平台對應日誌字符集配置均為gbk。
不開啟URL過濾策略,影響綜合日誌審計部分功能使用,開啟URL過濾策略會影響設備處理性能,需根據實際場景評估。
(1) 配置發送日誌信息到綜合日誌審計平台日誌采集器。如日誌采集器IP = 1.1.1.1,設備通過514端口上報日誌,配置如下:
customlog host 1.1.1.1 export session dpi url-filter ips anti-virus
(2) 配置應用層檢測引擎的ips模塊日誌動作參數profile,開啟記錄IPS日誌使用快速日誌,語言為中文,缺省情況下,記錄IPS日誌使用的語言為英文。
#
inspect logging parameter-profile ips_logging_default_parameter
undo log syslog
log language chinese
#
(3) 配置應用層檢測引擎的av模塊日誌動作參數profile,開啟記錄AV日誌使用快速日誌。
#
inspect logging parameter-profile av_logging_default_parameter
undo log syslog
#
(4) 配置入侵防禦、防病毒日誌、會話日誌、URL過濾日誌、信譽日誌、DNS審計日誌發送快速日誌。
customlog format dpi ips
customlog format dpi anti-virus
customlog format session
customlog format dpi url-filter
(5) 配置接口視圖下開啟會話日誌功能,新建、刪除會話的日誌功能。此接口為探針接入鏡像流量接口。
#
[H3C] int G1/0/20
[H3C-GigabitEthernet1/0/20] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/20] session log enable ipv4 outbound
#
session statistics enable(可選)
session log flow-end
session log flow-begin(可選)
(6) (可選)配置字符編碼:IPS/防火牆默認編碼格式為gbk,可根據需要設置格式為utf8,該項需版本支持。
customlog character-encoding utf-8
(7) (可選)配置快速日誌使用本地時間。
customlog timestamp localtime
配置記錄IPS日誌使用的語言為中文後,僅IPS日誌的威脅名稱字段使用中文描述,其它日誌信息仍然為英文。
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”, 綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義安全設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:選擇“入侵防禦”或者“防火牆”。
· 廠商:選擇“H3C”。
· 型號:現場根據型號選擇對應設備型號係列:如“T1000係列(V7)”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:默認情況下,不論是否輸出中文日誌,均選擇“gbk”;命令行設置編碼格式為utf8時,不論是否輸出中文日誌,均選擇“utf8”
· 日誌類型:選擇需要上報的日誌類型。
網絡全流量威脅分析探針設備Syslog日誌發送配置說明是基於vNTA200 E1260P1211版本編寫。其他型號網絡全流量威脅分析設備可以參考vNTA200型號配置日誌發送。
因部分配置操作不支持web頁麵配置,配置方法全部采用命令行配置。
(1) 配置發送日誌信息到綜合日誌審計平台日誌采集器。如日誌采集器IP = 1.1.1.1,設備通過514端口上報日誌,配置如下:
customlog host 1.1.1.1 export session dpi url-filter ips anti-virus reputation dns
(2) 配置應用層檢測引擎的ips模塊日誌動作參數profile,開啟記錄IPS日誌使用快速日誌,語言為中文,缺省情況下,記錄IPS日誌使用的語言為英文。
#
inspect logging parameter-profile ips_logging_default_parameter
undo log syslog
log language chinese
#
(3) 配置應用層檢測引擎的av模塊日誌動作參數profile,開啟記錄AV日誌使用快速日誌。
#
inspect logging parameter-profile av_logging_default_parameter
undo log syslog
#
(4) 配置入侵防禦、防病毒日誌、會話日誌、URL過濾日誌、信譽日誌、DNS審計日誌發送快速日誌。
customlog format dpi ips
customlog format dpi anti-virus
customlog format session
customlog format dpi url-filter
customlog format dpi reputation
customlog format dns
(5) 配置接口視圖下開啟會話日誌功能,新建、刪除會話的日誌功能。此接口為探針接入鏡像流量接口。
#
[H3C] int G1/0/20
[H3C-GigabitEthernet1/0/20] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/20] session log enable ipv4 outbound
#
session statistics enable
session log flow-end
session log flow-begin(可選)
(6) 開啟DNS審計日誌記錄服務。
dns snooping log enable
(7) (可選)配置字符編碼:IPS/防火牆默認編碼格式為gbk,可根據需要設置格式為utf8,該項需版本支持。
customlog character-encoding utf-8
(8) (可選)配置快速日誌使用本地時間。
customlog timestamp localtime
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義安全設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:威脅檢測探針。
· 廠商:選擇“H3C”。
· 型號:現場根據型號選擇對應設備型號係列:CSAP-NTA係列。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:選擇“gbk”。
· 日誌類型:選擇需要上報的日誌類型。
高級威脅檢測引擎支持配置以標準日誌通道(比如syslog)外發事件日誌到指定接收服務器(比如綜合日誌審計平台),日誌格式支持JSON、WEIF、豎線分隔(“|”),支持基於TCP或UDP的日誌外發,綜合日誌審計係列產品采用豎線分隔(“|”)日誌格式和UDP日誌接收。
· 高級威脅檢測引擎WEB管理端推薦使用Chrome瀏覽器進行訪問操作,使用其他瀏覽器可能會出現兼容性問題;
· 日誌外發功能當前僅支持網絡攻擊事件、惡意代碼事件、威脅情報事件、自定義事件的外發;
(1) 如圖1所示,打開Chrome瀏覽器,使用https的方式訪問設備的Web管理端地址,使用正確的用戶名和密碼登錄管理係統,默認的用戶名和密碼是admin/Admin@123(采用默認密碼登錄後必須修改密碼並重新登錄,方可正常使用WEB管理端),並點擊<登錄>按鈕。
(2) 配置將告警事件以基於UDP的syslog日誌格式外發到指定服務器
(3) 通過頁麵上方菜單欄進入“策略 – 數據外發 – 日誌外發配置”菜單頁麵,默認日誌外發功能為關閉狀態,需要用戶手動開啟日誌外發功能並完善相應配置;
(4) 點擊日誌外發功能的開關,打開日誌外發功能配置,如圖2;
(5) 點擊<保存>按鈕完成配置;
¡ 外發協議類型:可選TCP、UDP,綜合日誌審計支持UDP
日誌傳輸格式:可選|、WELF、JSON,綜合日誌審計支持WELF
外發日誌類型:惡意代碼事件
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義沙箱設備名稱,便於識別日誌源。
· IP:沙箱管理IP地址。
· 資產類型:選擇“沙箱”。
· 廠商:選擇“H3C”。
· 型號:根據現場沙箱型號配置選擇“高級版ATD-A係列(WELF版)”、“專業版ATD-E係列(WELF版)”、“專業版ATD-P係列(WELF版)”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與沙箱的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:勾選需上報的日誌類型
CSAP-NTA流量探針Syslog日誌發送配置說明是基於ESS 6801P04版本SecCenter-CSAP-NTA-A型號流量探針編寫。其他型號探針可以參考SecCenter-CSAP-NTA-A型號配置日誌發送。
使用admin帳號登錄係統
【業務設置>數據接口>日誌設置】界麵,日誌服務器標簽頁中配置日誌服務器。
· 啟用日誌服務器設置功能。
· 配置日誌服務器IP地址,日誌不加密。
· 日誌服務器IP地址配置綜合日誌審計日誌采集器IP地址。
· 日誌服務器端口號默認為514。
· 會話日誌發送周期設置。TCP會話和UDP會話發送周期配置成45分鍾。
日誌編碼格式:默認為utf8。
(1) 【業務設置>數據接口>日誌設置】界麵,日誌過濾標簽頁中配置日誌服務器配置。
(2) 基礎配置
¡ 告警日誌:流量告警日誌 、審計告警日誌不發送。
(3) 高級配置
¡ 流日誌:僅發送TCP/UDP會話。其餘日誌全部不發送。
¡ 審計日誌:僅發送DNS日誌、網站日誌 。其餘日誌全部不發送。
¡ 檢測日誌:掃描攻擊檢測日誌配置不發送。
¡ 安全日誌:IPS日誌、AV日誌、威脅情報日誌不發送。
日誌設置必須按要求配置,否則,將上報大量日誌影響綜合日誌審計平台日誌采集性能。
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台上流量探針綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義流量探針設備名稱,便於識別日誌源。
· IP:流量探針管理IP地址。
· 資產類型:選擇的“流量探針”。
· 廠商:選擇“H3C”。
· 型號:選擇“H3C-NTA”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與流量探針的服務器端口值一致。
· 編碼:選擇“utf8”。
· 日誌類型:勾選需要上報的日誌類型。
ACG探針Syslog日誌發送配置說明是基於R6612版本ACG1000-AK210型號流量探針編寫。
使用admin帳號登錄係統
【係統管理>係統設定>日誌設定>日誌服務器】界麵,日誌服務器標簽頁中配置日誌服務器。
(1) 啟用日誌服務器設置功能。
(2) 配置日誌服務器IP地址,不勾選蝶式交換算法。日誌服務器IP地址配置綜合日誌審計日誌采集器IP地址。日誌服務器端口號默認為514。
日誌編碼格式:默認為utf8。
(1) 【係統管理>係統設定>日誌設定>日誌服務器】界麵,日誌過濾標簽頁中配置發送的日誌類型。
(2) 探針模式:配置開啟探針日誌。
(3) 統一配置項中本地日誌、Server日誌均配置“全選”
(4) 各類型日誌發送配置
¡ 係統日誌:日誌均不發送。
¡ 安全日誌:僅發送IPS日誌、AV日誌、掃描攻擊防禦日誌、Flood攻擊防禦日誌、弱密碼防護日誌、防暴力破解日誌、非法外聯防護日誌、行為模型日誌。其餘日誌全部不發送。
¡ 流日誌:僅發送會話日誌,其餘日誌均不發生發送。
¡ IPsecVPN:日誌均不發生。
¡ 上網行為日誌:僅發送網站訪問日誌、惡意URL日誌、IM內容審計日誌、微博、社區SNS日誌、搜索引擎日誌、郵件上報日誌、文件傳輸日誌、娛樂/股票日誌、協議審計日誌、其它應用日誌,其餘日誌全部不發送。
日誌設置必須按要求配置,否則,將上報大量日誌影響綜合日誌審計平台日誌采集性能。
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義流量探針設備名稱,便於識別日誌源。
· IP:流量探針管理IP地址。
· 資產類型:選擇的“流量探針”。
· 廠商:選擇“H3C”。
· 型號:選擇“ACG1000(探針)”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與流量探針的服務器端口值一致。
· 編碼:選擇“utf8”。
· 日誌類型:勾選需上報的日誌類型。
W2000-AK4X5/G2/vX00(G2)係列WAF設備Syslog日誌發送配置相同,本例說明基於6201P01版本W2000-AK425型號WAF編寫。
配置說明:
(1) 登錄WAF的WEB界麵。默認用戶名admin/admin。
(2) 點擊左側菜單欄“日誌係統--Syslog”,進入配置頁麵。
(3) 進入配置界麵,配置需要信息後,點擊保存即可。
¡ 啟用:勾選
¡ 本地存儲:默認勾選
數據格式類型:選擇字符串格式。
¡ 日誌類型:根據需要勾選
¡ Syslog服務器IP、端口:支持3個服務器配置。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義WAF設備名稱,便於識別日誌源。
· IP:WAF管理IP地址。
· 資產類型:選擇“Web應用防火牆”。
· 廠商:選擇“H3C”。
· 型號:根據現場WAF型號配置選擇“W2000-AK4X5係列”、“W2000- G2係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與WAF的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:勾選需要上報的日誌類型。
使用admin帳號登錄係統
(1) 選擇 係統配置 >日誌 > Syslog設置。
圖3 Syslog設置
(2) 選擇向Syslog日誌服務器發送的日誌類型,並勾選“啟用Syslog日誌”,則係統將根據配置向Syslog服務器發送日誌。設備的日誌分為七類:
¡ 攻擊事件日誌:記錄監測到的針對Web服務器的攻擊事件的日誌。
¡ 病毒事件日誌:記錄監測到的向Web服務器上傳的文件中查殺到病毒的行為日誌。
¡ 訪問事件日誌:記錄監測到的針對Web服務器的訪問日誌。
¡ 爬蟲事件:記錄網絡爬蟲識別和處理的日誌。
¡ 管理事件日誌:記錄管理員行為,包括係統登錄、登出以及所做的係統變更。
¡ 係統事件日誌:記錄所有非管理員係統行為,如:HA、更新和接口狀態。
¡ 入侵防護事件日誌:記錄所有IPS攻擊類型事件日誌。
管理員可以通過勾選相應類型日誌,設置具體發送哪些日誌到Syslog服務器。
(3) 設置日誌服務器參數。可保存日誌文件到最多三台Syslog服務器上。
表1 Syslog參數說明
|
參數 |
說明 |
|
IP地址 |
設置Syslog服務器的IP地址。 |
|
端口 |
設置Syslog服務器接收日誌的端口號。 |
|
級別 |
限製向Syslog服務器發送日誌的最低級別。例如選擇“錯誤”,則隻向Syslog服務器發送級別為“錯誤”、“嚴重”、“警報”和“緊急”的日誌信息。 |
(4) 單擊“應用”按鈕使設置生效。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義WAF設備名稱,便於識別日誌源。
· IP:WAF管理IP地址。
· 資產類型:選擇“Web應用防火牆”。
· 廠商:選擇“H3C”。
· 型號:根據現場WAF型號配置選擇“W2000-AK4X0係列”、“W2000- G係列”、
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與WAF的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型。
W2000係列/W1000-D係列WAF Syslog日誌發送配置說明是基於ESS6702P06版本W2040型號編寫,其他型號WAF可以參考W2040型號配置日誌發送。
使用admin帳號登錄係統
【首頁>配置>事件通知】界麵,配置syslog通知。配置參數要求如下:
· 告警事件:發送告警日誌,此處設置發送的服務器地址和端口號,缺省端口號514
· 係統事件:發送係統日誌,此處設置發送的服務器地址和端口號,缺省端口號514
· Syslog服務器地址可為IP地址或域名並支持自定義端口如192.168.1.1:1234,多個服務器請用逗號隔開。
【首頁>配置>事件通知】界麵,配置syslog發送。配置參數要求如下:
· 告警配置-syslog通知,設置syslog通知是否啟用,以及語言和編碼類型
· 係統事件-syslog通知,設置syslog通知是否啟用,通知的等級和編碼類型
日誌編碼格式:可選gbk和utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義WAF設備名稱,便於識別日誌源。
· IP:WAF管理IP地址。
· 資產類型:選擇“Web應用防火牆”。
· 廠商:選擇“H3C”。
· 型號:根據現場WAF型號配置選擇“W2000係列”、“W1000-D係列”、
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與WAF的日誌服務器端口號配置一致。
· 編碼:與syslog發送的配置一致(3.3.2章節)
· 日誌類型:選擇需要上報的日誌類型。
此配置方法適用通用ACG版本和型號(ACG探針型號請參考ACG探針配置)。
(1) 使用admin帳號登錄係統
(2) 【係統管理>係統設定>日誌設定>日誌服務器】界麵,日誌服務器標簽頁中配置日誌服務器。
(3) 啟用日誌服務器設置功能。
(4) 配置日誌服務器IP地址,加密為發送給日誌服務器的內容是加密的。日誌服務器IP地址配置日誌采集器IP地址。日誌服務器端口號默認為514。
(5) 源IP地址:日誌的源IP地址。
日誌編碼格式:默認為utf8。
· 日誌加密是為了防止在傳輸過程中泄露信息,和外置數據中心配合使用,發送給標準的日誌服務器時不要啟用日誌加密。
· 如果沒有特殊需求,不要配置日誌的源IP,讓係統自動選擇,在配置有VPN的情況的下,如果想讓日誌通過VPN隧道發送出去,可以指定源接口IP為tunnel接口的IP地址。
(1) 【係統管理>係統設定>日誌設定>日誌過濾】界麵,日誌過濾標簽頁中配置日誌過濾。
(2) 日誌過濾配置
¡ 本地日誌:配置是否記錄本地日誌。
¡ Server日誌:配置日誌是否發送到日誌服務器。不發送表示不發送到日誌服務器;發送,發送指定級別的日誌到日誌服務器;全部級別發送所有的日誌到日誌服務器。缺省情況下,本地不記錄會話日誌和NAT,其它類型的日誌本地會記錄,對發送到遠端的日誌不做過濾。
默認流量不審計也不記錄,通過配置審計策略,產生相應的審計日誌。
(1) 【策略配置>IPv4審計策略】界麵,點擊<新建>按鈕,新增ipv4審計策略。
(2) 新增配置對話框中,配置ipv4審計策略,對用戶內網流量進行審計。配置完成後,點擊<提交>按鈕,完成ipv4審計策略新增。
表2 IPV4審計策略詳細配置
|
標題項 |
說明 |
|
啟用 |
新建策略默認勾選該項,表示策略啟用;不勾選表示禁用狀態。 |
|
描述 |
IPV4審計策略描述。 |
|
用戶 |
匹配IPV4審計策略的用戶對象。 |
|
接口 |
匹配IPV4審計策略的源目的接口/域。 |
|
源地址 |
匹配IPV4審計策略的源地址。 |
|
目的地址 |
匹配IPV4審計策略的目的地址。 |
|
HTTP |
HTTP類審計對象,可以對HTTP類行為進行審計,主要包括網頁訪問、網絡社區、網頁搜索、HTTP文件上傳下載、web網盤文件上傳下載審計。 |
|
郵件 |
郵件類審計對象,可以對郵件類行為進行審計,主要包括SMTP、POP3、IMAP、Webmail收發郵件及附件審計。 |
|
即時通訊 |
即時通訊類審計對象,主要包括常用通訊軟件QQ、微信、飛信等登錄賬號審計,以及收發消息行為審計,還有其他類通訊軟件登錄行為審計。 |
|
基礎協議 |
基礎協議類審計對象,主要包括FTP登錄上傳下載文件審計。 |
|
娛樂股票 |
娛樂股票類審計對象,主要包括娛樂股票類應用登錄賬號以及評論類審計。 |
|
網絡應用 |
網絡應用類審計對象,主要包括出上麵具體應用行為外的其他一些應用行為進行審計。 |
|
時間 |
匹配IPV4審計策略的時間對象。 |
|
日誌級別 |
IPV4審計策略日誌記錄級別,默認是信息級別,可以根據需求配置日誌級別。 |
|
終端 |
匹配IPV4審計策略終端類型,默認是any所有終端類型,可以根據需求配置終端類型進行審計。 |
默認流量全部允許通過不控製也不記錄,通過配置控製策略,產生相應的控製日誌。
(1) 【策略配置>IPv4控製策略】界麵,點擊<新建>按鈕,新增ipv4控製策略。
(2) 新增配置對話框中,配置ipv4控製策略,對用戶內網流量進行控製。配置完成後,點擊<提交>按鈕,完成ipv4控製策略新增。
表3 IPV4控製策略詳細配置
|
標題項 |
說明 |
|
啟用 |
策略啟用和禁用,勾選表示開啟策略,不勾選表示禁用策略。 |
|
行為 |
策略的行為包含: · 允許,對匹配條件的會話進行應用控製,如URL過濾和應用過濾。 · 拒絕,阻斷命中匹配條件的會話。 |
|
策略分組 |
策略可以分組展示。 |
|
描述 |
IPV4控製策略描述信息。 |
|
匹配條件 |
IPV4控製策略的匹配條件,包含用戶、接口、源地址、目的地址、應用、服務。 |
|
入侵防禦 |
入侵防禦配置,包括事件集等。 |
|
病毒防護 |
病毒防護配置,包括防護項目等。 |
|
URL過濾 |
URL過濾規則,包含URL控製和惡意URL控製。 |
|
應用過濾 |
應用過濾規則,包含應用控製、郵件控製、WEB關鍵字控製、虛擬賬號控製。 |
|
終端公告提醒 |
給匹配條件的終端推送公告提醒頁麵。策略首次下發後會進行第一次推送,後續按間隔定期推送。 |
|
高級配置 |
包含時間對象配置、老化時間配置、終端類型配置。 |
默認識別範圍是private,識別模式為強製模式,通過識別配置來識別內網用戶,以便進行審計和控製。
(1) 【用戶管理>認證管理>高級選項>全局配置】界麵,修改識別配置。
|
項目 |
說明 |
|
識別範圍 |
標示用戶識別範圍的地址對象或者地址對象組。 |
|
識別模式 |
· 識別模式分為“啟發模式”和“強製模式”兩種,默認配置為強製模式,識別範圍默認配置均為private私網地址段。 · “啟發模式”指的是,優先將屬於識別範圍的IP地址識別為在線用戶,並且根據流量發起方先識別源IP,再識別目的IP,如果源IP和目的IP都不在識別範圍中時則將源IP識別為在線用戶。 · “啟發模式”使用場景:對用戶識別要求不嚴格的情況下使用啟發模式,在線用戶中會出現非識別範圍內的用戶(如:同時出現私網IP和公網IP的用戶),所以統計到的在線用戶數量會比較多,在此模式下需要將識別範圍修改成內網實際使用的地址網段,否則會導致用戶識別不精確。 · “強製模式”指的是,隻將屬於識別範圍的IP地址識別為在線用戶,並且根據流量發起方先識別源IP,再識別目的IP,隻有源IP或目的IP地址中的一個屬於識別範圍時,才會被識別為在線用戶;否則此IP地址流量不受係統轉發流程中用戶識別後的所有功能模塊限製,如:用戶策略、安全策略、應用識別和審計、入侵檢測、病毒防護、QOS。 · “強製模式”使用場景:對用戶識別要求嚴格的情況下使用強製模式,在線用戶中隻會存在識別範圍內的用戶,過濾掉了不屬於內網地址段的用戶,精簡了在線用戶列表,隻顯示用戶真正關心的數據,同時提升了設備性能,不在識別範圍內的IP流量不走用戶認證流程,避免了對用戶不關心數據的處理,在此模式下務必將識別範圍修改成內網實際使用的地址網段,避免因識別範圍配置錯誤導致的用戶關心的IP地址流量不受用戶策略控製的情況出現。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義ACG設備名稱,便於識別日誌源。
· IP:ACG管理IP地址。
· 資產類型:選擇“應用控製網關”。
· 廠商:選擇“H3C”。
· 型號: ACG型號配置選擇“ACG1000係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與WAF的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型。
服務器安全監測Syslog日誌發送配置說明是基於E6402版本SSMS編寫。
登錄係統配置後台,默認Web登錄地址:https://管理平台IP:82/,默認賬戶:admin
密碼:admin。
【首頁>服務設置>Syslog】界麵,配置日誌服務器。配置參數要求如下:
· 目標ip:配置日誌服務器IP地址為綜合日誌審計平台日誌采集IP地址
· 訪問端口:配置日誌服務器上報日誌端口號(缺省端口號是514)。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台上服務器安全監測-SMS綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義服務器安全監測-SSMS設備名稱,便於識別日誌源。
· IP:服務器安全監測管理IP地址。
· 資產類型:選擇的“終端安全”。
· 廠商:選擇“H3C”。
· 型號:選擇“SecPath SSMS”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與流量探針的服務器端口值一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型。
AFC Syslog日誌發送配置說明是基於E6503版本AFC 2020型號AFC編寫,其他型號AFC Syslog外發配置相同,可以參考AFC 2020型號配置日誌發送。
使用admin用戶登錄係統,點擊“係統管理”----“日誌管理”----“遠程”。
針對不同的日誌類型可以設置發送到不同的syslog服務器。如下圖所示。
E6502之前的版本不同類型的日誌沒做區分,都發送到一個syslog服務器。
注意:如果日誌服務器是非標準端口,設置格式形如:101.1.4.12:5541。同一種類型的日誌隻能配置一個syslog服務器,不支持配置多個。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義AFC設備名稱,便於識別日誌源。
· IP:AFC管理IP地址。
· 資產類型:選擇“抗拒絕服務係統”。
· 廠商:選擇“H3C”。
· 型號:AFC型號配置選擇“AFC2000係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與AFC的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型
防篡改 Syslog日誌發送配置說明是基於E6201版本防篡改編寫,純軟件產品不涉及型號。當前隻發布了一個軟件版本,後續版本日誌配置如果有修改會及時更新此文檔。
使用admin用戶登錄係統,點擊“日誌係統-日誌配置”,編輯“遠程日誌配置”。是否啟用選擇“是”。
可以設置兩個日誌服務器,若日誌服務器是非標準端口,設置格式形如:101.1.4.12:5541。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義頁麵防篡改係統設備名稱,便於識別日誌源。
· IP:頁麵防篡改係統管理IP地址。
· 資產類型:選擇“頁麵防篡改係統”。
· 廠商:選擇“H3C”。
· 型號:防篡改係統型號配置選擇“H3C-WG係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與頁麵防篡改係統的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型。
終端安全由防病毒、EDR、桌麵管理三個終端類型組成,需要在三個地方分別做syslog配置
· 防病毒
使用admin帳號登錄係統,【係統管理>高級配置>Syslog服務器配置】界麵
¡ 啟用syslog服務器上報
¡ 配置服務器IP地址,服務器端口,上報頻率,上報內容
¡ 點擊右下角應用
編碼格式:默認為utf8
· EDR
使用admin帳號登錄係統,【係統管理>高級配置>Syslog服務器】界麵,配置Syslog服務器IP和端口
【EDR管理>EDR配置>任務上報設置>syslog上報設置】選擇上報內容
編碼格式:默認為utf8
· 桌麵管理
使用admin帳號登錄係統,【係統管理>高級配置>syslog服務器】界麵
¡ 啟用syslog服務器上報
¡ 配置服務器IP地址,服務器端口,syslog類別
¡ 點擊下方應用
編碼格式:默認為utf8
· EDR
其中文件行為信息、注冊表行為信息、網絡行為信息、DNS行為信息需要同時進行【客戶端數據上報設置】才可以上報到syslog服務器
· 桌麵管理
對需要上報到syslog服務器的類別需要在終端管理中開啟日誌采集策略
[策略配置-日誌采集策略】界麵,開啟係統類和用戶權限類日誌采集
選擇上報的終端下發日誌采集策略,如果有多個終端策略,需要都進行日誌采集策略配置
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,配置如下:
· 名稱:自定義終端安全設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:選擇“終端安全”。
· 廠商:選擇“H3C”。
· 型號:選擇“SecCenter CSAP-ESM”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:綜合日誌審計平台對應日誌字符集配置為utf8。
· 日誌類型:選擇需要上報的日誌類型。
(1) 使用係統管理員賬戶進行登錄頁麵;
(2) 終端安全管理平台,在係統管理-聯動配置-syslog上報設置,打開全部開關,在係統管理-聯動配置-syslog服務配置,IP為綜合日誌審計采集器地址,端口為514。
(3)
終端安全管理平台,進入策略中心,創建安全策略:開啟策略中的信息采集
(4) 進入終端管理,選擇待待監測的終端主機,點擊策略分發,選擇上步配置的安全策略。
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義終端安全設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:選擇“終端”。
· 廠商:選擇“H3C”。
· 型號:選擇“SecCenter CSAP-ESM”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:綜合日誌審計平台對應日誌字符集配置為utf8。
· 日誌類型:選擇需要上報的日誌類型。
登錄係統管理員admin賬號,在策略中心-事件響應-響應策略配置配置syslog服務器啟動、地址和端口
· 配置風險告警響應動作
登錄係統管理員admin賬號,在策略中心-事件響應-風險響應策略頁麵配置高中低三種可疑事件的告警為syslog告警。
日誌編碼格式:默認為gbk。
· 配置係統日誌響應動作
登錄係統管理員admin賬號,在係統管理-日誌響應頁麵,配置所有級別日誌的響應策略為syslog日誌。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義終端安全設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:選擇“數據庫安全審計”。
· 廠商:選擇“H3C”。
· 型號:選擇“D2000係列”或“D2000-G係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:數據庫審計係統配置事件響應時(10.2.1章節),選擇gbk;數據庫審計係統配置日誌響應時(10.2.2章節),選擇utf8。
· 日誌類型:選擇需要上報的日誌類型。
網閘Syslog日誌發送配置說明是基於E6006版本GAP2000-SE型號網閘編寫,其他型號網閘可以參考GAP2000-SE型號配置日誌發送。
admin登錄【設備管理>syslog配置】界麵,配置日誌服務器。配置參數要求如下:
· 啟用:勾選
· IP:配置日誌服務器IP地址和上報日誌端口號(缺省端口號是514)。日誌服務器IP為綜合日誌審計平台日誌采集IP地址。
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義網閘設備名稱,便於識別日誌源。
· IP:網閘管理IP地址。
· 資產類型:選擇“網閘”。
· 廠商:選擇“H3C”。
· 型號:網閘型號配置選擇“GAP2000係列”。
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與網閘的日誌服務器端口號配置一致。
· 編碼:選擇“utf8”。
· 日誌類型:選擇需要上報的日誌類型。
使用admin帳號登錄係統
【係統設置>基本設置>告警事件】界麵,配置接收日誌服務器
日誌編碼格式:默認為utf8
身份驗證登錄成功級別為:INFORMATION,登錄失敗為WARNING
勾選”身份驗證”,並配置發送級別
配置資產訪問的事件級別,,在相應的權限規則模板中設置的事件級別。
接收日誌源處配置
配置高危命令事件日誌級別,在相應的高危命令規則中設置的事件級別。
接收日誌源處配置
配置會話複核日誌級別,在相應的會話複核規則中設置的事件級別。
接收日誌源處配置
字符審計日誌默認級別為INFORMATION
勾選”字符審計日誌”,並配置發送級別
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義運維審計堡壘機設備名稱,便於識別日誌源。
· IP:運維審計堡壘機設備管理IP地址。
· 資產類型:選擇“運維審計係統”。
· 廠商名稱:選擇“H3C”。
· 型號:選擇相應對應型號的係列:“A2000-G[AK][V]係列”、“A2000-G係列”、“A2000係列”“H3C-堡壘機(FTP )”
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與運維審計堡壘機設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:綜合日誌審計平台對應日誌字符集配置為utf8。
· 日誌類型:選擇需要上報的日誌類型。
使用admin帳號登錄係統
【係統-〉係統配置—〉syslog 配置】配置syslog服務器
發送測試數據,產生syslog測試日誌
日誌編碼格式:默認為utf8
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
(1) 名稱:自定義運維審計堡壘機設備名稱,便於識別日誌源。
(2) IP:運維審計堡壘機設備管理IP地址。
(3) 資產類型:選擇“運維審計係統”。
(4) 廠商:選擇“H3C”。
(5) 型號:選擇相應對應型號的係列:“A2000-G[AK][V]係列”、“A2000-G係列”、“A2000係列”“H3C-堡壘機(FTP )”
(6) 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
(7) 關聯采集器IP:選擇綜合日誌審計平台的采集器IP地址。
(8) 上報協議:選擇“Syslog”。
(9) 上報端口:缺省值為514,與運維審計堡壘機設備的日誌服務器上報日誌所用端口號配置一致。
(10) 編碼:綜合日誌審計平台對應日誌字符集配置為utf8。
(11) 日誌類型:選擇需要上報的日誌類型。
防毒牆Syslog日誌發送配置說明是基於E6501、E6501P01版本AVG2000係列型號編寫
使用admin帳號登錄係統
【網絡配置>SOC>SYSLOG】界麵,配置日誌服務器。
· 狀態:啟用、禁用
· 協議:TCP、UDP
· 遠程主機:接收SYSLOG日誌的遠程服務器IP地址
· 端口:接收SYSLOG日誌的遠程服務器端口號
· FaCILITY:默認local0
· 級別:默認alert(包含病毒過濾日誌)、info(包含病毒過濾日誌、操作日誌)
登錄綜合日誌審計平台,“配置中心-數據源管理-日誌源管理-被動采集”選擇“新增”,綜合日誌審計平台側日誌源配置如下所示。
· 名稱:自定義防毒牆設備名稱,便於識別日誌源。
· IP:設備管理IP地址。
· 資產類型:選擇“防毒牆”。
· 廠商:選擇“H3C
· 型號:選擇“AVG2000係列”
· 關聯采集器:選擇綜合日誌審計平台的日誌采集器。
· 關聯采集器IP:選擇綜合日誌審計平台的采集器IP。
· 上報協議:選擇“Syslog”。
· 上報端口:缺省值為514,與設備的日誌服務器上報日誌所用端口號配置一致。
· 編碼:綜合日誌審計平台對應日誌字符集配置為utf8。
· 日誌類型:選擇需要上報的日誌類型。
日誌源配置完成且正常發送日誌後可在采集器監控彙總、綜合概覽、日誌概覽等頁麵查看日誌信息,如防火牆上報的日誌的展示結果如下。
· 在采集器監控彙總頁麵查看該防火牆上報日誌的統計信息:
· 綜合概覽日誌統計情況展示:
· 日誌實時監控結果:
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
