- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04 应用审计典型配置举例
本章节下载: 04 应用审计典型配置举例 (729.33 KB)
H3C SecCenter CSAP-NTA应用审计配置举例
本文档主要介应用审计日志产生的配置过程,通过配置应用审计日志接收服务器,实现日志服务器对应用审计日志的接收。应用审计日志包含:DNS日志、FTP日志、Telnet日志、网站访问日志、社区论坛日志、数据库日志、娱乐股票日志、IM日志、搜索引擎日志、邮件上报日志。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解旁路审计特性。
· 接口已经作为镜像规则接口时不可再配置为其它管理接口。
· 仅支持旁路部署审计。
· 安全日志包括入侵检测日志、病毒检测日志、威胁情报日志仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
· IPv6仅支持应用审计策略模块。
· IPv6日志包括应用审计日志、流量会话日志,仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
如图1-1所示,验证使用交换机镜像互联网流量,验证流量探针对网络流量应用识别能力。
按照组网图组网。
(2) 登录NTA
(3) 新建应用审计规则
(4) 配置日志服务器
(5) 配置流量镜像(参考配置)
如图1-2所示,使用https的方式登录NTA,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图1-2 登录H3C NTA
如图1-3所示,进入 “业务设置 > 应用配置 > 审计策略”,新建审计配置,源地址为0.0.0.0/0,目的地址为0.0.0.0/0,审计内容级别配置为信息,点击<提交>按钮。
如图1-4所示,进入“业务设置 > 数据接口”,启用日志服务器,配置syslog服务器IP地址192.168.199.116。如图1-5所示,进入日志过滤界面,server日志发送选择,除告警日志、arp会话日志、报文统计日志不发送外,其它类型日志全部发送,点击<提交>按钮。
下面以H3C交换机S5152S-EI为例,进行流量镜像的配置,本配置只做参考,不同品牌不同型号的交换机可能存在配置差异。
<Sysname> system-view
[Sysname] mirroring-group 1 local
[Sysname] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both
[Sysname] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2
[Sysname] quit
<Sysname> save
以上配置中,1/0/1口为镜像口,1/0/2为监听口,需要将1/0/2接口连接到流量探针的采集接口。
查看接收syslog日志接收结果,如下图所示:
图1-6 DNS日志
图1-7 网站日志
图1-8 论坛日志
图1-9 ftp日志
图1-10 telnet日志
图1-11 文件日志
图1-12 数据库日志
图1-13 娱乐/股票
图1-14 IM日志
图1-15 搜索引擎日志
图1-16 邮件上报日志
NTA的应用场景主要是配合安全威胁发现与运营管理平台使用,NTA上只需要在“业务配置>数据接口>日志设置>日志服务器”中配置安全威胁发现与运营管理平台的地址即可,具体安全威胁发现与运营管理平台的配置请联系技术支持。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
