- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecCenter CSAP-SA综合日志审计平台
典型配置
资料版本:5W104-20230711
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
5.3.2 NTA-V[X00]系列网络全流量威胁分析探针日志配置
5.3.6 A2000-AK/G/V系列运维审计设备日志接入配置举例
5.3.8 WAF W2000-AK4X5/G2/vX00(G2)系列
5.3.10 WAF W2000系列设备日志接入配置举例··
综合日志审计平台系列产品包括综合日志审计平台一体机(产品型号为CSAP-SA)和虚拟综合日志审计平台(产品型号为CSAP-SA-V)。综合日志审计平台一体机是平台与主机一体化发货,出厂已预装软件,用户只需简单配置网络后即可使用;虚拟综合日志审计平台发货仅软件版本,用户需要联系H3C技术人员进行安装部署后才能使用,虚拟综合日志审计平台支持部署在VMware、H3C CAS平台等虚拟机或裸金属服务器上,详细安装过程请参见《H3C SecCenter CSAP-SA综合日志审计平台 软件安装指导》。
本文档介绍综合日志审计平台系列产品的典型组网方案及常用配置说明,包括各类日志源接入配置、关联规则配置、邮件短信对接配置、告警规则配置等。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。
本文档假设您已了解综合日志审计平台的相关特性。
如图1所示,综合日志审计平台通常旁挂部署在核心交换区,收集网络中各厂商各类网络设备(路由器、交换机、负载均衡等)、安全设备(防火墙、IPS、IDS、ACG、WAF等)、服务器(Windows、Linux、Unix等)、各类应用(MySQL、SQL Server、Oracle、WebLogic、Tomcat等)的日志进行存储、审计、分析和展示。
综合日志审计平台支持对200多种类型的设备、系统、应用进行日志审计,用户可根据实际情况在Web界面选择配置不同的日志源设备。如需接入的设备在Web界面上没有适配的选项,可将其配置为其他类型,系统将会收集、存储但不解析该设备上报的日志数据。
不同软件版本支持的适配设备类型不同,具体详见各版本说明书。
综合日志审计平台一体机和虚拟综合日志审计平台配置方法相同,本手册仅以综合日志审计平台一体机为例进行介绍。
本手册是在综合日志审计平台一体机E1710P01版本上进行配置和验证的,各举例中配套使用的设备及版本请参见相应举例章节内容。
进入综合日志审计平台一体机后台执行lvdisplay命令查看home分区是否为逻辑卷。
显示信息如下图所示则支持扩展,否则不支持扩展。若支持扩展,建议使用RAID 5阵列进行逻辑卷扩展,一次扩展至少需要准备三块容量相同的硬盘。
(1) 在CSAP-SA主机上新插入三块磁盘,然后登录操作系统后台,通过lsblk命令查看到新插入磁盘被自动命名为sdd、sde、sdf。
· 实际操作时,磁盘命名可能不同,请以实际为准。
· 磁盘个数可根据需求确定,一次扩容最少需要三块硬盘。
· 为保证最大使用瓷片空间,插入的磁盘容量大小应相同。
· 若磁盘插入后系统出现异常,建议拔出磁盘,在其他平台上格式化后再插入。
图3 新插入磁盘被自动命名为sdd、sde、sdf
(2) 格式化磁盘:依次执行如下三条命令格式化新插入的三块磁盘,磁盘名称以实际情况为准。
mkfs.xfs -f /dev/sdd
mkfs.xfs -f /dev/sde
mkfs.xfs -f /dev/sdf
如果格式化失败,建议在其他服务器环境上尝试格式化操作,确认硬盘是否正常。
图4 格式化磁盘
(3) 创建Raid阵列:执行命令mdadm -C /dev/md0 -l5 -n3 --consistency-policy=ppl /dev/sdd /dev/sde /dev/sdf创建阵列,磁盘名称请以实际情况为准。创建完成后通过cat /proc/mdstat命令查看新创建的阵列状态。
¡ RAID 5阵列名称为md0,实际部署时,可根据需要自定义阵列名。
¡ 参数--consistency-policy=ppl表示阵列使用ppl模式,该模式可解决write hole问题,提高稳定性,但是阵列读写性能会稍降低,扩容时建议使用该模式。
¡ 磁盘刚创建完成会处于同步状态,不影响使用,此时不能插拔磁盘,避免磁盘损坏。待磁盘同步至100%后,Raid 5特性生效,一块磁盘损坏不会停止阵列使用,替换新磁盘后会重新同步。
图5 创建Raid阵列
(4) 执行lvm pvcreate –ff /dev/md0命令创建PV,其中md0为步骤(3)创建的阵列名,实际部署时,以实际命名为准。
图6 创建PV
(5) 将步骤(4)创建的PV加入到系统的VG中。先使用vgdisplay命令可以查看当前系统中VG名称,如下图所示,VG名称为h3linux_cyber。再使用vgextend命令将PV加入到VG中,如下图所示。
图7 将PV加入到系统的VG中
(6) 再次使用vgdisplay命令查看到该VG下空闲PE增加了,此时使用lvextend命令将空闲PE加入到home分区中。如:lvextend –l +100%FREE /dev/mapper/h3linux_cyber-home,其中分区名称可通过fdisk –l查询,具体以实际显示为准。
图8 查看到VG
(7) 使用xfs_growfs /dev/mapper/h3linux_cyber-home命令将home分区扩展,分区扩展完成后,使用df –h命令查看home可用空间由7.34TB扩展至15TB。
图9 查看home可用空间
本节以部署在H3C CAS平台的虚拟综合日志审计平台为例介绍平台磁盘扩容,其他虚拟平台或服务器扩容可参考本例实施。
· 虚拟综合日志审计平台可在“配置 > 系统管理 > 全局设置 > 磁盘管理”页面进行扩容,详细介绍请参见页面联机帮助。
· 扩容服务器,需提供未使用过的新磁盘;扩容虚拟主机,需新建虚拟磁盘。避免用来扩容的磁盘中存在文件系统与平台操作系统中的文件系统冲突导致数据损坏。
· 挂载失败的磁盘可再次挂载,已成功挂载的磁盘不能取消挂载,强制拔出或删除磁盘会导致系统异常,请谨慎操作。
· H3C CAS平台:版本为V5.0 (E0535)
· 虚拟综合日志审计平台:版本为E1708P01
(1) 登录H3C CAS平台,选中要操作的虚拟机,右键编辑虚拟机。
(2) 单击<Add Hardware>新建虚拟磁盘。
图10 新建虚拟磁盘
(3) Hardware Type选择Storage,单击<Next>。
图11 选择Storage
(4) 单击File Path后的输入框配置虚拟磁盘信息。
图12 配置虚拟磁盘信息1
图13 配置虚拟磁盘信息2
图14 配置虚拟磁盘信息3
(5) 登录综合日志审计平台,在“配置 > 系统管理 > 全局设置 > 磁盘管理”页面,查看新增加的磁盘为“未使用”状态。
图15 磁盘管理
图16 新增磁盘状态为未使用
(6) 单击<挂载>按钮进行磁盘扩展,挂载完成后磁盘状态自动更新为“已使用”。
图17 单击挂载按钮挂载新磁盘
图18 磁盘挂载中
图19 磁盘挂载成功
(7) 进入首页,查看平台磁盘总容量已增加。
图20 查看磁盘总量
为实现网络和安全设备日志接入综合日志审计平台,需完成如下配置:
· 在网络设备、安全设备等设备上配置系统日志的日志主机为综合日志审计平台。
· 综合日志审计平台将网络设备、安全设备配置为被动日志源。
· 接收的日志为二进制格式时,在综合日志审计平台添加日志源,字符集选择“bin”。如H3C IMC-EIA终端接入控制设备发送的AAA日志,H3C系列防火墙、IPS设备及防火墙插卡发送的会话日志等均为二进制格式日志,。
· 在综合日志审计平台将某个设备添加为日志源,但没有对应的设备型号选项时,可将其设备类型、生产厂商、设备型号配置为“其他”,那么,该设备日志会被系统收集存储,并在页面展示为系统类日志。
登录设备Web页面,进入“系统 > 日志设置 > 基本配置”界面,在“快速日志”页签下进行如下配置:
(1) 新建日志主机。
¡ 日志主机:综合日志审计平台日志采集IP地址。
¡ 端口号:缺省情况下,端口号为514。建议使用缺省配置。
¡ VRF:缺省情况下为公网,使用缺省配置。
¡ 日志类型:勾选入侵防御日志、防病毒日志、会话日志、URL过滤日志。
图21 新建日志主机
(2) 日志时间戳:
¡ 格林威治时间:设备默认选择格林威治时间,此时设备时区也为格林威治时区,此时不用更改。
¡ 设备本地时间:如果设备修改时区,不为格林威治时区,此时选用设备本地时间。
进入“系统 > 日志设置 > 威胁日志”界面,配置入侵防御日志和防病毒日志。按照如下要配置设备。
图22 配置威胁日志
配置记录IPS日志使用的语言为中文后,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。
(1) 进入“系统 > 日志设置 > 会话日志”界面,配置会话日志。按照如下参考配置设备。
¡ 输出快速日志。
¡ 记录日志:必须勾选记录删除会话日志,可选择勾选记录新建会话日志。
¡ 添加流量经过的接口,选择记录入方向、出方向。
图23 配置会话日志
(2) (可选)进入“系统 > 会话设置 > 高级日志”界面,开启会话统计。
图24 开启会话统计。
· 会话日志不支持流日志(二进制格式)配置接收,配置接收会影响系统稳定性。
· 不开启会话统计,会话日志不记录上下行字节数据,影响综合日志审计部分功能使用,开启会话统计会影响设备处理性能,需根据实际场景评估。
(1) 进入“系统 > 日志设置 > NAT日志”界面,配置NAT日志。按照如下参考配置设备。
¡ 开启NAT日志
¡ 不要勾选输出快速日志
¡ 记录日志:可勾选记录新建NAT会话的日志、记录删除NAT会话的日志、记录NAT活跃流日志
图25 配置NAT日志
(2) 进入“系统 > 日志设置 > 会话日志”界面,配置会话日志类型为快速日志。
图26 输出快速日志
(3) 进入“系统>日志设置>基本配置”界面,配置快速日志服务器。按照如下参考配置设备。
¡ 日志主机:综合日志审计平台日志采集IP地址。
¡ 端口号:缺省情况下,端口号为514。建议使用缺省配置。
¡ VRF:缺省情况下为公网,使用缺省配置。
¡ 日志类型:勾选会话日志。
图27 新建日志主机
(1) 进入“系统 > 日志设置 > URL过滤日志”界面,配置URL过滤日志。按照如下要配置设备。
¡ 输出快速日志。
¡ 开启URL过滤日志。
图28 配置URL过滤日志
· 不开启URL过滤策略,影响综合日志审计部分功能使用,开启URL过滤策略会影响设备处理性能,需根据实际场景评估。
· IPS/防火墙设备默认输出gbk编码方式,因此默认情况下,综合日志审计平台对应日志字符集配置均为gbk。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“入侵防御”或者“防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:现场根据型号选择对应设备型号系列:如“T1000系列(V7)”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:默认情况下,不论是否输出中文日志,均选择“gbk”;命令行设置编码格式为utf8时,不论是否输出中文日志,均选择“utf8”
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图29 新增被动采集日志源
网络全流量威胁分析探针设备Syslog日志发送配置说明是基于vNTA200 E1260P1211版本编写。其他型号网络全流量威胁分析设备可以参考vNTA200型号配置日志发送。
因部分配置操作不支持web页面配置,配置方法全部采用命令行配置。
(1) 配置发送日志信息到综合日志审计平台日志采集器。如日志采集器IP = 1.1.1.1,设备通过514端口上报日志,配置如下:
[H3C] customlog host 1.1.1.1 export session dpi url-filter ips anti-virus reputation dns
(2) 配置应用层检测引擎的ips模块日志动作参数profile,开启记录IPS日志使用快速日志,语言为中文,缺省情况下,记录IPS日志使用的语言为英文。
[H3C] inspect logging parameter-profile ips_logging_default_parameter
[H3C] undo log syslog
[H3C] log language chinese
(3) 配置应用层检测引擎的av模块日志动作参数profile,开启记录AV日志使用快速日志。
[H3C] inspect logging parameter-profile av_logging_default_parameter
[H3C] undo log syslog
(4) 配置入侵防御、防病毒日志、会话日志、URL过滤日志、信誉日志、DNS审计日志发送快速日志。
[H3C] customlog format dpi ips
[H3C] customlog format dpi anti-virus
[H3C] customlog format session
[H3C] customlog format dpi url-filter
[H3C] customlog format dpi reputation
[H3C] customlog format dns
(5) 配置接口视图下开启会话日志功能,新建、删除会话的日志功能。此接口为探针接入镜像流量接口。
[H3C] int G1/0/20
[H3C-GigabitEthernet1/0/20] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/20] session log enable ipv4 outbound
[H3C] session statistics enable
[H3C] session log flow-end
[H3C] session log flow-begin
(6) 开启DNS审计日志记录服务。
[H3C] dns snooping log enable
(7) (可选)配置字符编码:IPS/防火墙默认编码格式为gbk,可根据需要设置格式为utf8,该项需版本支持。
[H3C] customlog character-encoding utf-8
(8) (可选)配置快速日志使用本地时间。
[H3C] customlog timestamp localtime
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:威胁检测探针。
· 厂商名称:选择“H3C”。
· 设备型号:根据型号选择对应设备型号系列:CSAP-NTA系列。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:选择“gbk”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图30 新增被动采集日志源
高级威胁检测引擎支持配置以标准日志通道(比如syslog)外发事件日志到指定接收服务器(比如综合日志审计平台),日志格式支持JSON、WEIF、竖线分隔(“|”),支持基于TCP或UDP的日志外发,综合日志审计系列产品采用竖线分隔(“|”)日志格式和UDP日志接收。
· 高级威胁检测引擎WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题;
· 日志外发功能当前仅支持网络攻击事件、恶意代码事件、威胁情报事件、自定义事件的外发;
(1) 登录设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123,并点击<登录>按钮。
图32
(2) 配置将告警事件以基于UDP的syslog日志格式外发到指定服务器。通过页面上方菜单栏进入“策略 > 数据外发 > 日志外发配置”菜单页面,默认日志外发功能为关闭状态,需要用户手动开启日志外发功能并完善相应配置。
¡ 外发协议类型:可选TCP、UDP,综合日志审计支持UDP
¡ 日志传输格式:可选|、WELF、JSON,综合日志审计支持WELF
¡ 外发日志类型:恶意代码事件
¡ 日志编码格式:默认为utf8
(3) 点击<保存>按钮完成配置;
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义沙箱设备名称,便于识别日志源。
· IP:沙箱管理IP地址。
· 设备类型:选择“沙箱”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场沙箱型号配置选择“高级版ATD-A系列(WELF版)”、“专业版ATD-E系列(WELF版)”、“专业版ATD-P系列(WELF版)”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与沙箱的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图34 新增被动采集日志源
CSAP-NTA流量探针Syslog日志发送配置说明是基于ESS 6801P04版本SecCenter-CSAP-NTA-A型号流量探针编写。其他型号探针可以参考SecCenter-CSAP-NTA-A型号配置日志发送。
(1) 使用admin帐号登录系统。
(2) 进入“业务设置 > 数据接口 > 日志设置”界面,日志服务器标签页中配置日志服务器。
¡ 启用日志服务器设置功能。
¡ 配置日志服务器IP地址,日志不加密。
¡ 日志服务器IP地址配置综合日志审计日志采集器IP地址。
¡ 日志服务器端口号默认为514。
¡ 会话日志发送周期设置。TCP会话和UDP会话发送周期配置成45分钟。
¡ 日志编码格式:默认为utf8。
图35 配置日志服务器
(3) 在日志过滤标签页中配置日志过滤配置。
¡ 告警日志:流量告警日志 、审计告警日志不发送。
¡ 流日志:仅发送TCP/UDP会话。其余日志全部不发送。
¡ 审计日志:仅发送DNS日志、网站日志 。其余日志全部不发送。
¡ 检测日志:扫描攻击检测日志配置不发送。
¡ 安全日志:IPS日志、AV日志、威胁情报日志不发送
图36 日志过滤配置
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义流量探针设备名称,便于识别日志源。
· IP:流量探针管理IP地址。
· 设备类型:选择的“流量探针”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“H3C-NTA”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图37 新增被动采集日志源
· 综合日志审计平台:E1708P01
· H3C SecPath ACG1000系列应用控制网关:F6608
(1) 通过Web界面登录ACG设备。
(2) 在“系统管理 > 日志设定 > 日志服务器”页面,配置日志服务器为综合日志审计平台的日志采集器,如下图所示。
图38 配置日志采集器
(3) 在综合日志审计平台上配置ACG设备为被动日志源。配置步骤参考防火墙、IPS设备日志接入举例,字符集选择“gbk”。
· 综合日志审计平台:E1708P01
· A2000-AK/G/V系列运维审计设备:E6111
(1) 使用admin帐号登录运维审计系统。
(2) 在“系统设置 > 基本设置 > 告警事件”页面,配置接收日志服务器。
图39 配置接收日志服务器
日志编码格式:默认为utf8
(3) 勾选“身份验证”,并配置发送级别。
图40 配置身份认证
(4) 配置资产访问的事件级别,在相应的权限规则模板中设置的事件级别。
图41 配置资产访问日志
(5) 勾选“资产访问”,并配置发送级别。
图42 配置资产访问
(6) 配置高危命令事件日志级别,在相应的高危命令规则中设置的事件级别。
图43 配置命令防火墙日志
(7) 勾选“命令防火墙”,并配置发送级别。
图44 配置命令防火墙
(8) 配置会话复核日志级别,在相应的会话复核规则中设置的事件级别。
图45 配置会话复核日志
(9) 勾选“会话复核”,并配置发送级别。
图46 配置会话复核
(10) 勾选“字符审计日志”,并配置发送级别。
图47 配置字符审计日志
(11) 在综合日志审计平台上将堡垒机配置为日志源。配置步骤参考防火墙、IPS设备日志接入举例,字符集选择“utf8”。
· 综合日志审计平台:E1708P01
· A2000系列运维审计设备:E6714
(1) 使用admin帐号登录运维审计系统。
(2) 进入“系统 > 系统配置 > 告警配置”页面,配置syslog服务器。
图48 配置syslog服务器
(3) 在综合日志审计平台上将运维审计系统配置为日志源。配置步骤参考防火墙、IPS设备日志接入举例,字符集选择“utf8”。
W2000-AK4X5/G2/vX00(G2)系列WAF设备Syslog日志发送配置相同,本例说明基于6201P01版本W2000-AK425型号WAF编写。
(1) 登录WAF的Web界面。
¡ 启用:勾选
¡ 本地存储:默认勾选
¡ 数据格式类型:选择字符串格式。
¡ 日志类型:根据需要勾选
¡ Syslog服务器IP、端口:支持3个服务器配置。
¡ 日志编码格式:默认为utf8
(2) 进入“日志系统 > Syslog”,进入配置页面。
图49 配置日志
(3) 单击<保存>按钮。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义WAF设备名称,便于识别日志源。
· IP:WAF管理IP地址。
· 设备类型:选择“Web应用防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场WAF型号配置选择“W2000-AK4X5系列”、“W2000- G2系列”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图50 新增被动采集日志源
(1) 使用admin帐号登录系统
(2) 进入“系统配置 >日志 > Syslog设置”。
图51 Syslog设置
(3) 选择向Syslog日志服务器发送的日志类型,并勾选“启用Syslog日志”,则系统将根据配置向Syslog服务器发送日志。设备的日志分为七类:
· 攻击事件日志:记录监测到的针对Web服务器的攻击事件的日志。
· 病毒事件日志:记录监测到的向Web服务器上传的文件中查杀到病毒的行为日志。
· 访问事件日志:记录监测到的针对Web服务器的访问日志。
· 爬虫事件:记录网络爬虫识别和处理的日志。
· 管理事件日志:记录管理员行为,包括系统登录、登出以及所做的系统变更。
· 系统事件日志:记录所有非管理员系统行为,如:HA、更新和接口状态。
· 入侵防护事件日志:记录所有IPS攻击类型事件日志。
管理员可以通过勾选相应类型日志,设置具体发送哪些日志到Syslog服务器。
(4) 设置日志服务器参数。可保存日志文件到最多三台Syslog服务器上。
表1 Syslog参数说明
|
参数 |
说明 |
|
IP地址 |
设置Syslog服务器的IP地址。 |
|
端口 |
设置Syslog服务器接收日志的端口号。 |
|
级别 |
限制向Syslog服务器发送日志的最低级别。例如选择“错误”,则只向Syslog服务器发送级别为“错误”、“严重”、“警报”和“紧急”的日志信息。 |
(5) 单击“应用”按钮使设置生效。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义WAF设备名称,便于识别日志源。
· IP:WAF管理IP地址。
· 设备类型:选择“Web应用防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场WAF型号配置选择“W2000-AK4X0系列”、“W2000- G系列”、
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
图52 新增被动采集日志源
· 综合日志审计平台:E1708P01
· W2000设备:E6202
(1) 使用admin帐号登录WAF系统。
(2) 进入“配置 > 事件通知”页面,配置syslog服务器。
图53 配置syslog服务器
(3) 在综合日志审计平台上将WAF设备配置为日志源。配置步骤参考防火墙、IPS设备日志接入举例,字符集选择“gbk”。
服务器安全监测Syslog日志发送配置说明是基于E6402版本SSMS编写。
(1) 登录系统SSMS日志服务器Web页面。
(2) 进入“首页 > 服务设置 > Syslog”界面,配置日志服务器。配置参数要求如下。
¡ 目标ip:配置日志服务器IP地址为综合日志审计平台日志采集IP地址。
¡ 访问端口:配置日志服务器上报日志端口号(缺省端口号是514)。
图54 配置日志服务
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义服务器安全监测-SSMS设备名称,便于识别日志源。
· IP:服务器安全监测管理IP地址。
· 设备类型:选择的“终端安全”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecPath SSMS”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图55 新增被动采集日志源
AFC Syslog日志发送配置说明是基于E6503版本AFC 2020型号AFC编写,其他型号AFC Syslog外发配置相同,可以参考AFC 2020型号配置日志发送。
(1) 使用admin用户登录系统。
(2) 进入“系统管理 > 日志管理”页面,单击<远程>按钮。
(3) 针对不同的日志类型可以设置发送到不同的syslog服务器。如下图所示。
图56 配置日志远程主机
E6502之前的版本不同类型的日志没做区分,都发送到一个syslog服务器。
图57 配置日志远程主机2
如果日志服务器是非标准端口,设置格式形如:101.1.4.12:5541。同一种类型的日志只能配置一个syslog服务器,不支持配置多个。
登录综合日志审计平台,“配置-系统管理-日志源管理-被动采集”选择“新增”,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义AFC设备名称,便于识别日志源。
· IP:AFC管理IP地址。
· 设备类型:选择“抗拒绝服务系统”。
· 厂商名称:选择“H3C”。
· 设备型号:AFC型号配置选择“AFC2000系列”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与AFC的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图58 新增被动采集日志源
防篡改Syslog日志发送配置说明是基于E6201版本防篡改编写,纯软件产品不涉及型号。当前只发布了一个软件版本,后续版本日志配置如果有修改会及时更新此文档。
(1) 使用admin用户登录系统。
(2) 点击“日志系统 > 日志配置”,编辑“远程日志配置”。
¡ 是否启用选择“是”。
¡ 设置日志服务器,若日志服务器是非标准端口,设置格式形如:101.1.4.12:5541。
图59 配置远程日志
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义页面防篡改系统设备名称,便于识别日志源。
· IP:页面防篡改系统管理IP地址。
· 设备类型:选择“页面防篡改系统”。
· 厂商名称:选择“H3C”。
· 设备型号:防篡改系统型号配置选择“H3C-页面防篡改系统”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与页面防篡改系统的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
H3C交换机、路由器等网络设备日志接入综合日志审计平台的方法类似,本节仅以H3C S10500交换机产品为例进行介绍。
· 综合日志审计平台:E1708P01
· S10500交换机:R7581
(1) 在交换机、路由器等网络设备上配置日志主机为综合日志审计平台日志采集器,配置命令如下:
<Sysname> system-view
[Sysname] info-center loghost source Vlan-interface1560
[Sysname] info-center loghost 10.10.0.41 facility local5
[Sysname] info-center enable
[Sysname] ntp-service enable
[Sysname] ntp-service unicast-server 10.203.1.16
(2) 在综合日志审计平台将交换机、路由器等网络设备配置为日志源。配置步骤参考防火墙、IPS设备日志接入举例,字符集选择“gbk”。
· 综合日志审计平台:E1708P01
· ACG探针:R6612
(1) 使用admin帐号登录系统。
(2) 进入“系统管理 > 系统设定 > 日志设定 > 日志服务器”界面,日志服务器标签页中配置日志服务器。
图60 配置日志服务器
(3) 启用日志服务器设置功能。
(4) 配置日志服务器IP地址,不勾选蝶式交换算法。日志服务器IP地址配置态势感知日志采集器IP地址。日志服务器端口号默认为514。
(5) 进入“系统管理 > 系统设定 > 日志设定 > 日志过滤”页面,配置发送的日志类型。
图61 配置日志过滤
(6) 探针模式:配置开启探针日志。
(7) 统一配置项中本地日志、Server日志均配置“全选”。
(8) 各类型日志发送配置:
· 系统日志:日志均不发送。
· 安全日志:仅发送IPS日志、AV日志、扫描攻击防御日志、Flood攻击防御日志、弱密码防护日志、防暴力破解日志、非法外联防护日志、行为模型日志。其余日志全部不发送。
· 流日志:仅发送会话日志,其余日志均不发生发送。
· IPsecVPN:日志均不发生。
· 上网行为日志:仅发送网站访问日志、恶意URL日志、IM内容审计日志、微博、社区SNS日志、搜索引擎日志、邮件上报日志、文件传输日志、娱乐/股票日志、协议审计日志、其它应用日志,其余日志全部不发送。
(9) 在综合日志审计平台上配置ACG设备为被动日志源。配置步骤参考防火墙、IPS设备日志接入举例,设备类型:选择“流量探针”,设备型号:选择“ACG1000(探针)”,字符集选择“utf8”。
终端安全由防病毒、EDR、桌面管理三个终端类型组成,需要在三个地方分别做syslog配置。
(1) 防病毒
使用admin帐号登录系统,进入【系统管理>高级配置>Syslog服务器配置】界面。配置如下参数:
参数说明:
· 启用syslog服务器上报。
· 配置服务器IP地址、服务器端口、上报频率和上报内容。
· 点击右下角<应用>按钮。
· 编码格式:默认为utf8。
(2) EDR
使用admin帐号登录系统,进入【系统管理>高级配置>Syslog服务器】界面,配置Syslog服务器IP和端口。
a. 【EDR管理>EDR配置>任务上报设置>syslog上报设置】选择上报内容。
b. 编码格式:默认为utf8
(3) 桌面管理
使用admin帐号登录系统,进入【系统管理>高级配置>syslog服务器】界面。
a. 启用syslog服务器上报。
b. 配置服务器IP地址,服务器端口,syslog类别。
c. 点击下方<应用>按钮。
d. 编码格式:默认为utf8。
(1) EDR
其中文件行为信息、注册表行为信息、网络行为信息、DNS行为信息需要同时进行【客户端数据上报设置】才可以上报到syslog服务器。
(2) 桌面管理
a. 对需要上报到syslog服务器的类别需要在终端管理中开启日志采集策略。
b. 进入【策略配置-日志采集策略】界面,开启系统类和用户权限类日志采集。
选择上报的终端下发日志采集策略,如果有多个终端策略,需要都进行日志采集策略配置。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“终端安全”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecCenter CSAP-ESM”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:综合日志审计平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图62 新增被动采集日志源
(1) 使用系统管理员账户进行登录页面。
(2) 终端安全管理平台,在【系统管理-联动配置-syslog上报设置】页面,打开全部开关。在【系统管理-联动配置-syslog服务配置】页面,将Syslog服务器IP配置为综合日志审计采集器IP地址,端口配置为为514。
(3) 终端安全管理平台,进入策略中心,创建安全策略,开启策略中的信息采集。
(4) 进入终端管理,选择待监测的终端主机,点击策略分发,选择上步配置的安全策略。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“终端”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecCenter CSAP-ESM”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:综合日志审计平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图63 新增被动采集日志源
登录系统管理员admin账号,在【策略中心-事件响应-响应策略配置】页面,勾选启用Syslog告警配置并配置服务器IP地址和端口。
登录系统管理员admin账号,在【策略中心-事件响应-风险响应策略】页面,配置高、中、低三种可疑事件的告警为syslog告警。
日志编码格式:默认为gbk。
登录系统管理员admin账号,在【系统管理-日志响应】页面,配置所有级别日志的响应策略为syslog日志。
日志编码格式:默认为utf8。
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“数据库安全审计”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“D2000系列”或“D2000-G系列”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:数据库审计系统配置事件响应时(10.2.1章节),选择gbk;数据库审计系统配置日志响应时(10.2.2章节),选择utf8。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图64 新增被动采集日志源
网闸Syslog日志发送配置说明是基于E6006版本GAP2000-SE型号网闸编写,其他型号网闸可以参考GAP2000-SE型号配置日志发送。
使用admin账号登录【设备管理>syslog配置】界面,配置日志服务器。配置参数要求如下:
¡ 启用:勾选
¡ IP:配置日志服务器IP地址和上报日志端口号(缺省端口号是514)。日志服务器IP为综合日志审计平台日志采集IP地址。
¡ 日志编码格式:默认为utf8
登录综合日志审计平台,在“配置 > 系统管理 > 日志源管理 > 被动采集”页面单击<新增>按钮,综合日志审计平台侧日志源配置如下所示。
· 名称:自定义网闸设备名称,便于识别日志源。
· IP:网闸管理IP地址。
· 设备类型:选择“网闸”。
· 厂商名称:选择“H3C”。
· 设备型号:网闸型号配置选择“GAP2000系列”。
· 采集器名称:选择综合日志审计平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与网闸的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1709P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1709P05版本之后存在该配置)
图65 新增被动采集日志源
日志源配置完成且正常发送日志后可在采集器监控汇总、首页、日志概览等页面查看日志信息,如防火墙上报的日志的展示结果如下。
图66 查看上报日志的统计信息
图67 首页日志统计情况展示
图68 设备日志实时监控结果
配置顺序如下:
(1) 综合日志审计平台下载Agent终端软件
(2) 用户终端资产安装Agent软件。
(3) 综合日志审计平台验证终端上线,日志正常采集。
(4) 根据实际业务需要,配置Agent采集数据库日志/文件操作日志/注册表事件日志/自定义文件日志。
若要对组网中服务器(Windows、Linux、Unix等)、各类应用(MySQL、SQLServer、Oracle、WebLogic、Tomcat等)日志进行审计,需先在对应服务器上安装日志采集代理软件Agent。安装前请检查网络,确保主机与综合日志审计平台之前网络互通。
日志采集代理软件Agent支持的操作系统、数据库及中间件版本如表2,其他版本当前暂不支持。
表2 Agent版本适配关系
|
类别 |
名称 |
支持版本 |
|
操作系统 |
Windows |
· Windows 2000 · Windows XP · Windows 7 · Windows 8 · Windows 10 · Windows Server 2003 · Windows Server 2008 · Windows Server 2008 R2 · Windows Server 2012 R2 · Windows Sever 2016 |
|
Linux |
· CentOS6 · CentOS7 · RedHat6 · RedHat7 · Solaris11(Unix SUNOS5.11) · Ubuntu14.04 · Ubuntu15.10 · Ubuntu16.04 · Ubuntu17.10 |
|
|
数据库 |
MySQL |
· MySQL5.5 · MySQL5.6 · MySQL5.7 |
|
SQL Server |
· SQL Server2005 · SQL Server2008 · SQL Server2012 · SQL Server2014 · SQL Server2016 · SQL Server2017 |
|
|
Oracle |
· Oracle9i · Oracle10g · Oracle10.2 · Oracle11g · Oracle12c |
|
|
DB2 |
· DB2 9.7 · DB2 10.5 · DB2 11.1 |
|
|
MongoDB |
MongoDB 4.0 |
|
|
中间件 |
Tomcat |
· Tomcat5 · Tomcat6 · Tomcat7 · Tomcat8(Tomcat 8.5.33) |
|
IIS |
· IIS6 · IIS7 · IIS8 |
|
|
WebLogic |
· Weblogic11g(10.3.6) · Weblogic12.1.3 |
|
|
Domino |
· Domino8 |
|
|
JBoss |
· JBoss6 · JBoss7 · WildFly8.0 |
|
|
WebSphere |
· WebSphere7 · WebSphere8.5 |
Agent软件可在综合日志审计平台“配置 > 数据来源 > Agent 管理 > Agent下载”页面下载获取,如下图所示。
图69 获取Agent软件
Agent软件的详细安装方法请参见“配置 > 数据来源 > Agent管理 > Agent下载”页面的《文档帮助》。
图70 Agent文档帮助
Agent 1.0.15及后续版本Agent可通过平台在线推送的升级包,自动升级。1.0.15以前版本不支持在线推送升级,需手动卸载老版本后重新安装新版本。
主机Agent安装成功后,在综合日志审计平台“配置 > 数据来源 > Agent管理”页面可以看到注册的Agent信息,如下图所示。
图71 Agent管理页面
Agent注册成功后默认会采集主机日志及中间件日志,如需要采集数据库日志或文件日志,需要进行相应的配置,配置步骤如下:
(1) 在Agent管理页面,单击配置图标按钮,进入配置Agent管理页面。
图72 Agent管理页面
图73 配置Agent管理
(2) 在数据库页签,单击<新增>按钮,进入新增数据库配置页面,如图74所示。填写配置项参数后,单击<保存>,即可采集该数据库相关日志。
· 首页展示Agent上报的日志统计信息,设备类型为“终端安全”,日志类型为“主机日志”,如下图所示。
· 在“日志 > 设备类型”页面,可选择展示Agent采集日志的实时监控结果,如下图所示。
图75 日志-设备类型
关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全事件,并在事件明细页面进行展示。系统支持预定义关联规则及自定义关联规则。
· 一个关联规则下可添加多个子规则,子规则之间的匹配顺序用户可自定义。
· 建议不要配置过长的时间窗。否则会影响匹配性能。
· 关联规则停用后,不会影响停用前匹配的数据展示。
登录综合日志审计平台,选择“事件 > 关联规则”进入关联规则页面,系统提供了10条预定义的关联规则,如下图所示。
图76 关联规则
在关联规则页面,单击<新增>按钮可根据需求新增自定义关联规则。如下图所示,新增一条用户认证关联规则,则相关用户认证失败就会生成一条关联事件。配置如下:
图77 新增自定义关联规则
图78 新增自定义关联规则的匹配子规则
关联规则配置完成后,当用户认证失败后就会生成一条关联事件,在事件明细页面可查看匹配结果。
· 在“事件 > 事件明细”页面查看是否有对应安全事件产生:
· 在“事件 > 关联规则”页面查看对应关联规则命中次数是否发生变化:
· 邮件或短信方式通知责任人必须在“配置 > 全局设置”页面完成邮件服务器和短信业务中心的相关配置,否则无法正常发送告警通知。
· 指定的邮件方式告警收件人必须配置了邮箱地址;指定的短信方式告警收件人必须配置了手机号。
系统支持嘉讯短信平台、亿美短信平台两种短信平台,请用户根据使用情况进行选择。本例以嘉讯短信平台为例进行介绍。
(1) 选择“配置 > 系统管理 > 全局设置 > 短信业务中心”进入短信业务中心页面配置短信平台。
(2) 在“当前选择网关”处选择“嘉讯短信平台”,并配置连接参数,单击<提交修改>按钮。
图79 配置嘉讯短信平台
(3) 单击<新增号码>添加手机用户,如下图所示。单击<测试>按钮进行连接测试,判断短信接收是否可用。若短信接收正常,单击<确认>保存配置。
图80 添加手机用户
仅支持SMTP协议的邮件服务器,并且服务器上不能开启SSL功能。
(1) 选择“配置 > 系统管理 > 全局设置 > 邮件服务器”进入在邮件服务器页面。
(1) 配置邮件服务器的连接参数,单击<提交修改>按钮。。
图81 邮件服务器配置
(2) 单击<新增邮箱>配置收件邮箱。配置完成后,单击<测试>按钮进行连接测试,判断邮箱是否可用。若邮箱可用,单击<确认>保存配置。
图82 添加接收邮箱
本节以配置关联规则告警为例验证邮箱及短信平台的使用方法。
(1) 选择“配置 > 告警管理 > 告警策略”进入告警策略页面,单击<新增>按钮添加告警策略,配置参数如下图所示。
图83 新增告警策略
(2) 告警方式根据实际需求选择邮件或短信。本例以邮件为例,配置参数如下图所示。当安全事件触发告警时,系统将通过邮件提醒用户处理。
图84 配置告警方式
告警策略配置完成后,在探测间隔内,日志源“FW”上报的日志匹配任意关联规则后,将会触发告警,并通过邮件通知用户Alice。用户可在“配置 > 告警管理 > 告警记录”页面查看告警记录信息。
图85 告警记录
图86 收件人邮箱收到的邮件提醒
图87 收件人短信收到的邮件提醒
支持
售前咨询
售后咨询
人工在线咨询
