Syslog设备事件采集部署.doc

事件源Agent部署要求 1 部署范围 安全产品 数目 部署采集机（名称/IP） Agent 部署描述 Windows主机 通过Windows Event日志来采集，在采集服务器上部署Windows 主机的专用Agent，把关心的Windows主机日志采集到SOC系统中。 UNIX主机 通过Logging Server收到各个设备使用syslog转发的相关日志，SOC系统分别通过部署在pc服务器的相应得Agent获得这些设备日志，并对日志进行格式化，保存到Soc系统中。 Cisco路由器 Nortel Foundry Radware Cisco交换机 RSA ACE Server Pix防火墙 Linktrust 防火墙 通过ODBC接口方式采集。先在PC服务器上安装防火墙的日志管理工具，该工具通过Syslog的方式获得部署在中国电信中的LTCW防火墙日志，SOC系统通过一个部署在同一台pc服务器的Agent获得该日志，并对日志进行格式化，保存到Soc系统中。 LinkTurst IDS 通过odbc数据库接口方式采集。由于本项目的ids Sensor采取集中管理的方式，分布在全网的sensor由部署在中心点的ec统一管理，所有在SOC中心pc服务器上NIDS的Agent，负责接收来在IDS Sensor上的安全事项并转发到soc服务端。 趋势防病毒系统 通过odbc数据库接口方式采集。 ISS RealSecure IDS 通过odbc数据库接口方式采集。 CA IDS，CA Access Control 待定 2 部署要求 2.1 Windows主机 1．将evtsys.zip中的两个文件（evtsys.exe和evtsys.dll）展开到Windows系统system32目录下 2．然后运行下面的命令安装服务： evtsys -i -h IP -p 514 -h为syslog 服务器地址 -p为syslog服务器端口 3．在系统服务面板中，将eventlog to syslog服务的启动类型设定改为自动 并启动该服务。 注：根据实际情况IP取192.168.18.12（内网地址）或202.102.15.237（外网地址） 2.2 LINUX主机 LINU系统接入方法：通过Syslog转发到KiWi服务器 1． 在Unix系统的/etc/hosts文件中增加一行 IP loghost 注：根据实际情况IP取192.168.18.11（内网地址）或202.102.15.237（外网地址） 2． 在Unix系统/etc/syslog.conf文件最后追加以下7行 *.alert ifdef(`LOGHOST', /var/log/syslog, @loghost) *.emerg ifdef(`LOGHOST', /var/log/syslog, @loghost) *.crit ifdef(`LOGHOST', /var/log/syslog, @loghost) auth.notice ifdef(`LOGHOST', /var/log/syslog, @loghost) auth.err ifdef(`LOGHOST', /var/log/syslog, @loghost) auth.info ifdef(`LOGHOST', /var/log/syslog, @loghost) auth.warning ifdef(`LOGHOST', /var/log/syslog, @loghost) 3． 用下面的命令停止syslog服务 /etc/init.d/syslog stop 4． 用下面的命令启动syslog服务 /etc/init.d/syslog start 2.3 Unix主机 2.3.1 AIX AIX系统接入方法： 1． 提供Unix系统的IP地址 2． 提供Unix系统的主机名称 3． 在Unix系统/etc/syslog.conf文件最后追加以下2行 *.err @172.20.3.14 (中间以Tab健分割) auth.info @172.20.3.14 (中间以Tab健分割) 5． 用下面的命令停止syslog服务 stopsrc -s syslogd 6． 用下面的命令启动syslog服务 startsrc -s syslogd 2.3.2 Solaris 通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下： 方法：通过Syslog转发到KiWi服务器 1． 提供Unix系统的IP地址 2． 提供Unix系统的主机名称 3． 在Unix系统的/etc/hosts文件中增加一行 IP loghost 注：根据实际情况IP取192.168.18.11（内网地址）或202.102.15.237（外网地址） 4． 在Unix系统/etc/syslog.conf文件最后追加以下7行 *.alert ifdef(`LOGHOST', /var/log/syslog, @loghost) *.emerg ifdef(`LOGHOST', /var/log/syslog, @loghost) *.crit ifdef(`LOGHOST', /var/log/syslog, @loghost) auth.notice;auth.err;auth.info;auth.warning ifdef(`LOGHOST', /var/log/syslog, @loghost) 5． 用下面的命令停止syslog服务 /etc/init.d/syslog stop 6． 用下面的命令启动syslog服务 /etc/init.d/syslog start 2.3.3 HP-UX 通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下： 方法：通过Syslog转发到KiWi服务器 1．提供Unix系统的IP地址 2．提供Unix系统的主机名称 3．在Unix系统的/etc/hosts文件中增加一行 IP loghost 注：根据实际情况IP取192.168.18.11（内网地址）或202.102.15.237（外网地址） 4．在Unix系统/etc/syslog.conf文件最后追加以下7行 *.alert @loghost *.emerg @loghost *.crit @loghost auth.notice;auth.err;auth.info;auth.warning @loghost 5． 下面的命令停止syslog服务 ps –ef|grep syslogd kill PID 6． 下面的命令启动syslog服务 /usr/sbin/syslogd -D 2.4 Cisco路由器 通过Cisco路由器的Syslog服务和采集机Agent接口，具体的步骤如下： device#conf t device(config)#logging on device(config)#logging IP //日志服务器的IP地址 device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容 device(config)#logging source-interface e0 //日志发出用的源IP地址（e0为发出日志的端口，使用哪个端口由实际情况决定） device(config)#service timestamps log datetime localtime //日志记录的时间戳设置 检验 device#sh logging 保存配置 device#copy runningconfigure startingconfigure 注：根据实际情况IP取192.168.18.13（内网地址）或202.102.15.238（外网地址） 2.5 FoundryBigIron 8000路由器 通过Foundry路由器的Syslog服务和采集机Agent接口，具体的步骤如下： bigiron(config)#logging on bigiron(config)#logging IP //日志服务器的IP地址 (Software Release earlier than 07.7.00) bigiron(config)#logging host IP //日志服务器的IP地址 (Software Release 07.7.00 and later) bigiron(config)#logging buffered alerts bigiron(config)#logging buffered critical bigiron(config)#logging buffered emergencies bigiron(config)#logging facility auth 查看状态 bigiron>show logging 注：根据实际情况IP取192.168.18.13（内网地址）或202.102.15.238（外网地址） 2.6 Radware路由器 通过Radware路由器的Syslog服务和采集机Agent接口，具体的步骤如下： 1. Access the Device Access tab in the Management Preferences window. 2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field. 3. Select the Syslog Operation checkbox to enable syslog reporting. 4. Click Apply to implement your changes and OK to close the window. 注：根据实际情况IP取192.168.18.16（内网地址）或202.102.15.241（外网地址） 2.7 Cisco交换机 通过Cisco交换机的Syslog服务和采集机Agent接口，具体的步骤如下： device#conf t device(config)#logging on device(config)#logging IP //日志服务器的IP地址 device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容 device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的端口，使用哪个端口由实际情况决定) device(config)#service timestamps log datetime localtime //日志记录的时间戳设置 检验 device#sh logging 保存配置 device#copy runningconfigure startingconfigure 注：根据实际情况IP取192.168.18.13（内网地址）或202.102.15.238（外网地址） 2.8 RSA ACE Server 方式：通过RSA ACE的日志转发功能将RSA ACE日志信息转发到系统Syslog，再由UNIX主机发送到SYSLOG服务器： 条件：需要有远程管理客户端（DB REMOTE MGMT） 如果没有远程管理客户端，可以执行sdadmin程序 步骤 1．在远程管理客户端上 Click Start > Programs > ACE/Server > Database Administration – Remote Mode. The Select Server to Administer dialog box opens. 输入相关认证信息，启动Database Administration管理界面。 2．在管理界面上 click Log > Log to System Log.（确保Log to System Log.选项前面打上勾“√”）。 注：根据实际情况IP取192.168.18.16（内网地址）或202.102.15.241（外网地址） 2.9 Cisco Pix防火墙 通过Cisco Pix防火墙的Syslog服务和采集机Agent接口，具体的步骤如下： device#conf t device(config)#logging on device(config)#logging IP //日志服务器的IP地址 device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容 device(config)#logging source-interface e0 //日志发出用的源IP地址 device(config)#service timestamps log datetime localtime //日志记录的时间戳设置 检验 device#sh logging 保存配置 device#copy runningconfigure startingconfigure 注：根据实际情况IP取192.168.18.14（内网地址）或202.102.15.239（外网地址） 2.10 LinkTrust CyberWall 版本： 3.6 接口方式： Syslog 配置步骤： 1．loghost add IP //日志服务器的IP地址 2．apply 3．Save 注：根据实际情况IP取192.168.18.14（内网地址）或202.102.15.239（外网地址） 2.11 LinkTurst IDS 版本： 7.0 接口方式： ODBC 数据库： MSDE 配置步骤： 1． 提供用户名/密码 2． 采集表名为AlertEvent 注：根据实际情况IP取192.168.18.14（内网地址）或202.102.15.239（外网地址） 2.12 趋势防病毒系统 版本： 6.5 接口方式： ODBC 数据库类型：SQL Server 2000 配置步骤： 1．提供用户名/密码 2．采集表名tb_AVVirusLog 注：IP取192.168.18.17 注：需要TMCM支持 2.13 ISS RealSecure NIDS 版本： 6.6 接口方式： ODBC 数据库类型：SQL Server 配置步骤： 1． 提供用户名/密码 2． 采集表名Events,Products 注：根据实际情况IP取192.168.18.15（内网地址）或202.102.15.240（外网地址） 2.14 ISS RealSecure HIDS 版本： 6.6 接口方式： ODBC 数据库类型：SQL Server 配置步骤： 1． 提供用户名/密码 2． 采集表名Events,Products 注：根据实际情况IP取192.168.18.15（内网地址）或202.102.15.240（外网地址） 2.15 CA eTrustIDS 通过CA eTrustIDS管理工具，对需相应策略的响应方式进行设置。CA eTrustIDS的EVENT事件响应支持：EVENT LOG、SNPM以及SYSLOG，本次试点暂时先采用SYSLOG。 版本： 1.5 接口方式： Syslog 配置步骤： 操作方法： 1． 打开CA eTrustIDS管理工具，选择Setting|definition 2． 在随后出现的界面中选择 ACTIONS 3． 点选ACTIONS下拉列表中的一条记录，再选择properties 4． 在properties中选择 assign to syslog 5． 填写发送的目的SYSLOG服务器地址，并设定Priority，确定即可。 6． 以此类推（注：每条策略都须作相应设置）。 注：根据实际情况IP取192.168.18.15（内网地址）或202.102.15.240（外网地址） 不能把Message信息带过来，需要用户自己输入。 2.16 CA eTrustAccess Control 假设eTrust Access Control的安装目录为/usr/seos。SNMP Trap将通过eTrust Access Control的selogrd进程来发送。 步骤一： 修改/usr/seos.ini中的 ［daemons］ selogrd = yes 步骤二： 创建文件/usr/seos/etc/selogrd.ext 步骤三： 在步骤二的文件中加入一行 snmp /usr/seos/lib/snmp.so（在HP-UX上为snmp.sl） 步骤四： 修改/usr/seos/log/selogrd.cfg，如需要Audit所有 FILE类，PROCESS类及SURROGATE类可以为： snmpRule snmp AuditPC include Class(FILE). include Class(PROCESS). include Class(SURROGATE). . 其中snmpRule为规则名，AuditPC为SNMP Trap需要发送到的目标机器名（需要将该机器加到/etc/hosts中）。更为详细的关于selogrd.cfg的格式可参见eTrust Access Control Utilities Guide第106页。 步骤五： 启动selogrd，并通过ps -ef |grep selogrd确认进程的存在 注：根据实际情况AuditPC取192.168.18.16（内网地址）或202.102.15.241（外网地址） 2.17 Alcatel 7750 路由器 接口方式：Syslog 配置步骤： SZX-7750-1>config>log# info ---------------------------------------------- #------------------------------------------ echo "Log Configuration" #------------------------------------------ syslog 1 description "To syslog-server" address 202.102.15.238 facility auth exit log-id 1 from main to syslog 1 exit ---------------------------------------------- SZX-7750-1>config>log# 注：根据实际情况IP取192.168.18.13（内网地址）或202.102.15.238（外网地址） 2.18 ISS Internet Scanner 由SOC软件自行管理 注：根据实际情况IP取192.168.18.14（内网地址）或202.102.15.239（外网地址） 2.19 F5（bigip1000）交换机 通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下： 方法：通过Syslog转发到KiWi服务器 1．提供Unix系统的IP地址 2．提供Unix系统的主机名称 3．在Unix系统的/etc/hosts文件中增加一行 IP loghost 注：根据实际情况IP取192.168.18.11（内网地址）或202.102.15.237（外网地址） 4．在Unix系统/etc/syslog.conf文件最后追加以下7行 *.alert @loghost *.emerg @loghost *.crit @loghost auth.notice;auth.err;auth.info;auth.warning @loghost 7． 下面的命令停止syslog服务 ps –ef|grep syslogd kill -HUP PID 8． 下面的命令启动syslog服务 /usr/sbin/syslogd -D 注：根据实际情况IP取192.168.18.11（内网地址）或202.102.15.237（外网地址） 2.20 Ironport 接口方式：文件 配置步骤： 在> logconfig Currently configured logs: 1. "antivirus" Type: "AntiVirus Logs" Retrieval: FTP Push - Host 2. "avarchive" Type: "AntiVirus Archive" Retrieval: FTP Poll 3. "bounces" Type: "Bounce Logs" Retrieval: FTP Push - Host 202.102.13.136 4. "brightmail" Type: "" Retrieval: FTP Poll 5. "cli_logs" Type: "CLI Audit Logs" Retrieval: FTP Poll 6. "delivery_log" Type: "Delivery Logs" Retrieval: FTP Poll 7. "error_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll 8. "ftpd_logs" Type: "FTP Server Logs" Retrieval: FTP Poll 9. "gui_logs" Type: "HTTP Logs" Retrieval: FTP Poll 10. "maildebug" Type: "IronPort Text Mail Logs" Retrieval: FTP Push - Host 202.102.13.136 11. "qmail_log" Type: "qmail Format Mail Logs" Retrieval: FTP Poll 12. "rptd_logs" Type: "Mailflow Report Logs" Retrieval: FTP Poll 13. "sntpd_logs" Type: "NTP logs" Retrieval: FTP Poll 14. "status" Type: "Status Logs" Retrieval: FTP Poll 15. "system_logs" Type: "System Logs" Retrieval: FTP Poll Choose the operation you want to perform: - NEW - Create a new log. - EDIT - Modify a log subscription. - DELETE - Remove a log subscription. - SETUP - General settings. - LOGHEADERS - Configuration headers to log. []> edit Enter the number of the log you wish to edit. []> 15 Log level: 1. Error 2. Warning 3. Information 4. Debug 5. Trace [3]> 3 Please enter the name for the log: [system_logs]> Choose the method to retrieve the logs. 1. FTP Poll 2. FTP Push 3. SCP Push [1]> 2 Hostname to deliver the logs: []> Username on the remote host: []> Password for dingning ("DELETE" for empty password): []> Directory on remote host to place logs: []> . Filename to use for log files: [system]> Maximum time to wait before transferring: [3600]> Maximum filesize before transferring: [10000000]> > commit Please enter some comments describing your changes: []> log 2.21 NetScreen 防火墙 接口方式：Syslog 配置步骤： set syslog config IP local4 local4 set syslog traffic set syslog enable set log module system level critical destination syslog save 注：根据实际情况IP取192.168.18.14（内网地址）或202.102.15.239（外网地址） 2.22 Syslog-ng 按以下模板修改/etc/syslog-ng/syslog-ng.conf文件 source syslog-ng { sun-streams(“/dev/log” door(“/etc/.syslog_door”)); }; //solaris2.6-2.8 source syslog-ng {sun-streams(“/dev/log” door(“/var/run/syslog_door”)); } //solaris2.9 source syslog-ng {unix-dgram(“dev/log”); }; //AIX source syslog-ng { pipe(“/dev/log” pad_size(2048)); }; //HP-UX filter filtersoc { level(“info”) or level(“notice”) or level(“warning”) or level(“err”) or level(“crit”) or level(“alert”) or level(“emerg”); }; destination soc {udp(ip(192.168.18.11) port(514));}; log {source(syslog-ng);filter(filtersoc);destination(soc);};