- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-高性能流日誌源典型配置
本章節下載: 03-高性能流日誌源典型配置 (881.49 KB)
H3C SecCenter CSAP-SA係列 綜合日誌審計平台
高性能流日誌典型配置
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹綜合日誌審計平台高性能流日誌源日誌采集功能的配置案例。綜合日誌審計平台主要采集網絡中各類日誌數據,係統對采集到的數據進行歸一化處理。並將采集到的數據通過默認規則進行分析。分析結果通過WEB可視化呈現給用戶。通常將提供數據的設備稱為日誌源。
· 被動采集指一些網絡設備自身可以通過配置日誌服務器,及時向日誌主機發送日誌的功能 ,該類設備被稱為被動日誌源,綜合日誌審計平台作為日誌服務器,配置對應日誌源,對接收到的日誌源發送來的數據進行分析。
· 高性能流日誌采集屬於被動采集的一種,但是與被動采集的方式不完全相同,該種日誌源僅支持采集二進製流日誌,通過高性能流日誌采集的方法可以實現流日誌的高效采集與解析的能力。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔舉例接入的日誌源設備均為H3C設備,其他品牌設備請以設備配套操作手冊為準。若客戶網絡中存在其它第三方廠商日誌不適配的情況,需要進行定製化開發時,請與當地銷售人員聯係。
本文檔假設您已了解綜合日誌審計平台的相關特性。
用戶期望將網絡設備日誌,如防火牆設備,接入到綜合日誌審計平台,其中管理網絡與綜合日誌審計平台eth0在同一網絡。
配置順序如下:
(1) 查看防火牆設備時間與綜合日誌審計平台係統時間一致。
(2) 將設備日誌主機配置為綜合日誌審計平台eth0地址。
(3) 在綜合日誌審計平台將設備配置為日誌源。
(4) 配置完成後,可以查看日誌采集統計信息和日誌信息。
(5) 本舉例主要是防火牆設備為例。
配套防火牆設備,防火牆設備版本請使用D032SP21及以上版本,本舉例基於F5000-C Release 9360P42版本,綜合日誌審計平台以E1901版本舉例。
· 在配置之前確保路由可達。
· 管理PC、防火牆、綜合日誌審計管理地址路由可達。
· 保證日誌源設備與綜合審計平台係統時間一致,否則可能造成分析不準確。當係統時間相差24h以上時,綜合日誌審計平台將丟棄該類日誌。
(1) 確認日誌源與綜合日誌審計平台係統時間一致。
a. 登錄綜合日誌審計平台,【配置中心-係統管理-全局設置-時間管理】查看當前係統時間。
b. 登錄防火牆設備,【係統-維護-係統設置-日期和時間】查看當前係統時間。
c. 若不一致,請以其中一方為基準,請在上步配置界麵進行時間校正。
(2) 防火牆側配置日誌服務器
#【係統>日誌設置>基本配置】界麵,僅需要在【流日誌】標簽頁進行如下配置:
a. 新建日誌主機:
¡ 日誌主機:綜合日誌審計平台日誌采集eth0 IP地址。
¡ 端口號:缺省情況下,端口號為9002。建議使用缺省配置。
¡ VRF:缺省情況下為公網,使用缺省配置。
b. 日誌版本:
¡ 流日誌根據日誌信息所包含字段多少分為1.0、3.0和5.0三個版本。 根據用戶需求選擇對應的版本即可。推薦使用3.0或5.0版本
(3) 會話日誌配置
a. 進入【係統>日誌設置>會話日誌】界麵,配置會話日誌輸出的格式。按照如下要配置設備。
¡ 日誌類型:選擇“流日誌”。
¡ 記錄日誌:必須勾選記錄刪除會話日誌,可選擇勾選記錄新建會話日誌。
¡ 添加接口:選擇記錄入方向、出方向。
b. (可選)進入“係統 > 會話設置 > 高級設置”界麵,開啟會話統計。
注:不開啟會話統計,會話日誌不記錄上下行字節數據,開啟會話統計會影響設備處理性能,需根據實際場景評估。
(4) NAT日誌配置
進入“係統 > 日誌設置 > NAT日誌”界麵,配置NAT日誌。按照如下參考配置設備。
¡ 開啟NAT日誌。
¡ 不要勾選輸出快速日誌。
¡ 高級配置:可勾選記錄新建NAT會話的日誌、記錄刪除NAT會話的日誌、記錄NAT活躍流日誌
(5) 綜合日誌審計平台日誌源配置
登錄綜合審計平台,“配置中心-數據來源-日誌源管理-高性能流日誌采集”:
a. 配置采集端口並啟用
¡ 采集端口默認值為9002,可修改,配置采集端口後點擊“啟用”
¡ 所有高性能流日誌源共用一個采集端口,不可設置為不同值
b. 選擇“新增”,添加防火牆安全設備日誌源配置如下所示。
¡ 名稱:自定義安全設備名稱,便於識別日誌源。
¡ IP:設備管理IP地址。
¡ 資產類型:現場根據型號選擇對應的“防火牆”
¡ 廠商:選擇“H3C”。
¡ 型號:現場根據型號選擇對應設備型號係列:如“F5000係列(V7)”
(1) 高性能流日誌源添加成功
在高性能流日誌采集頁麵,添加日誌源成功,列表顯示添加記錄:
(2) 日誌信息查詢
進入【日誌中心 >全文檢索】界麵,可以查詢到對應日誌源上報的網絡流量日誌。點擊操作列詳情按鈕可以查看日誌報文詳情。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
