- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-被动日志源典型配置
本章节下载: 01-被动日志源典型配置 (5.22 MB)
H3C安全威胁发现与运营管理平台
被动采集CSAP侧日志源典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍态势感知平台的被动日志源日志采集功能的配置案例。态势感知平台主要采集网络中各类日志数据,系统对采集到的数据进行归一化处理。并将采集到的数据通过默认规则进行分析。分析结果通过WEB可视化呈现给用户。通常将提供数据的设备称为日志源。
被动采集指一些网络设备自身可以通过配置日志服务器,及时向日志主机发送日志的功能 ,该类设备被称为被动日志源,态势感知平台作为日志服务器,配置对应日志源,对接收到的日志源发送来的数据进行分析。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。若客户网络中存在其它第三方厂商日志不适配的情况,需要进行定制化开发时,请与当地销售人员联系。
本文档假设您已了解态势感知平台的相关特性。
用户期望采集网络中各类设备日志到态势感知平台上展现出来。该类设备统称为日志源设备。
配置思路:
· 在日志源设备上配置日志主机为态势感知
· 态势感知平台将添加日志源设备为被动日志源
测试拓扑图展示:
· 接收的日志为二进制格式时,在态势感知平台上添加日志源,字符集选择“bin”。如H3C IMC-EIA终端接入控制设备发送的AAA日志,H3C系列防火墙、IPS设备及防火墙插卡发送的会话日志等支持二进制格式及Syslog两种格式,建议使用Syslog格式日志。
· 在态势感知平台上将某个设备添加为日志源,但没有对应的设备型号选项时,可将其设备类型、生产厂商、设备型号配置为“其他”,那么,该设备日志会被系统收集存储,并在页面展示为系统类日志。
IPS & 防火墙设备Syslog日志发送配置说明是基于T1080 R8524P37版本编写。其他型号IPS或防火墙设备可以参考T1080型号配置日志发送。
【系统>日志设置>基本配置】界面,仅需要在【快速日志】标签页进行如下配置:
(1) 新建日志主机。
a. 日志主机:态势感知平台日志采集IP地址。
b. 端口号:缺省情况下,端口号为514。建议使用缺省配置。
c. VRF:缺省情况下为公网,使用缺省配置。
d. 日志类型:勾选入侵防御日志、防病毒日志、会话日志、URL过滤日志。
(2) 日志时间戳:
a. 格林威治时间:设备默认选择格林威治时间,此时设备时区也为格林威治时区,此时不用更改。
b. 设备本地时间:如果设备修改时区,不为格林威治时区,此时选用设备本地时间。
【系统>日志设置>威胁日志】界面,配置入侵防御日志和防病毒日志。按照如下要配置设备。
· 入侵防御日志。
¡ 输出快速日志。
¡ 日志编码格式:IPS/防火墙设备默认输出gbk编码方式,因此默认情况下,不论是否勾选输出中文日志,态势感知平台对应日志字符集配置均为gbk。
· 防病毒日志。
¡ 输出快速日志。
配置记录IPS日志使用的语言为中文后,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。
【系统>日志设置>会话日志】界面,配置会话日志。按照如下参考配置设备。
· 会话日志。
a. 输出快速日志。
b. 记录日志:必须勾选记录删除会话日志,可选择勾选记录新建会话日志。
c. 添加流量经过的接口,选择记录入方向、出方向。
(可选) 【系统>会话设置>高级设置】界面,配置会话日志。按照如下参考配置设备。
· 会话统计
d. 勾选会话统计。
1.会话日志不支持流日志(二进制格式)配置接收,配置接收会影响系统稳定性。
2.不开启会话统计,会话日志不记录上下行字节数据,影响态势感知部分功能使用,开启会话统计会影响设备处理性能,需根据实际场景评估。
【系统>日志设置>会话日志】界面,配置会话日志。按照如下参考配置设备。
(1) 会话日志。
a. 输出快速日志
【系统>日志设置>基本配置】界面,配置快速日志服务器。按照如下参考配置设备。
(2) 新建日志主机。
a. 日志主机:态势感知平台日志采集IP地址。
b. 端口号:缺省情况下,端口号为514。建议使用缺省配置。
c. VRF:缺省情况下为公网,使用缺省配置。
d. 日志类型:勾选会话日志。
【系统>日志设置>URL过滤日志】界面,配置URL过滤日志。按照如下要配置设备。
· URL过滤日志。
a. 输出快速日志。
b. 开启URL过滤日志。
c. 日志编码格式:IPS/防火墙设备默认输出gbk编码方式,因此默认情况下,态势感知平台对应日志字符集配置均为gbk。
不开启URL过滤策略,影响态势感知部分功能使用,开启URL过滤策略会影响设备处理性能,需根据实际场景评估。
(1) 配置发送日志信息到态势感知平台日志采集器。如日志采集器IP = 1.1.1.1,设备通过514端口上报日志,配置如下:
customlog host 1.1.1.1 export session dpi url-filter ips anti-virus
(2) 配置应用层检测引擎的ips模块日志动作参数profile,开启记录IPS日志使用快速日志,语言为中文,缺省情况下,记录IPS日志使用的语言为英文。
#
inspect logging parameter-profile ips_logging_default_parameter
undo log syslog
log language chinese
#
(3) 配置应用层检测引擎的av模块日志动作参数profile,开启记录AV日志使用快速日志。
#
inspect logging parameter-profile av_logging_default_parameter
undo log syslog
#
(4) 配置入侵防御、防病毒日志、会话日志、URL过滤日志、信誉日志、DNS审计日志发送快速日志。
customlog format dpi ips
customlog format dpi anti-virus
customlog format session
customlog format dpi url-filter
(5) 配置接口视图下开启会话日志功能,新建、删除会话的日志功能。此接口为探针接入镜像流量接口。
#
[H3C] int G1/0/20
[H3C-GigabitEthernet1/0/20] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/20] session log enable ipv4 outbound
#
session statistics enable(可选)
session log flow-end
session log flow-begin(可选)
(6) (可选)配置字符编码:IPS/防火墙默认编码格式为gbk,可根据需要设置格式为utf8,该项需版本支持。
customlog character-encoding utf-8
(7) (可选)配置快速日志使用本地时间。
customlog timestamp localtime
配置记录IPS日志使用的语言为中文后,仅IPS日志的威胁名称字段使用中文描述,其它日志信息仍然为英文。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上安全设备CSAP侧日志源配置如下所示。
· 名称:自定义安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“入侵防御”或者“防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:现场根据型号选择对应设备型号系列:如“F5000系列(V7)”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:默认情况下,不论是否输出中文日志,均选择“gbk”;命令行设置编码格式为utf8时,不论是否输出中文日志,均选择“utf8”
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
网络全流量威胁分析探针设备Syslog日志发送配置说明是基于vNTA200 E1260P1211版本编写。其他型号网络全流量威胁分析设备可以参考vNTA200型号配置日志发送。
因部分配置操作不支持web页面配置,配置方法全部采用命令行配置。
(1) 配置发送日志信息到态势感知平台日志采集器。如日志采集器IP = 1.1.1.1,设备通过514端口上报日志,配置如下:
customlog host 1.1.1.1 export session dpi url-filter ips anti-virus reputation dns
(2) 配置应用层检测引擎的ips模块日志动作参数profile,开启记录IPS日志使用快速日志,语言为中文,缺省情况下,记录IPS日志使用的语言为英文。
#
inspect logging parameter-profile ips_logging_default_parameter
undo log syslog
log language chinese
#
(3) 配置应用层检测引擎的av模块日志动作参数profile,开启记录AV日志使用快速日志。
#
inspect logging parameter-profile av_logging_default_parameter
undo log syslog
#
(4) 配置入侵防御、防病毒日志、会话日志、URL过滤日志、信誉日志、DNS审计日志发送快速日志。
customlog format dpi ips
customlog format dpi anti-virus
customlog format session
customlog format dpi url-filter
customlog format dpi reputation
customlog format dns
(5) 配置接口视图下开启会话日志功能,新建、删除会话的日志功能。此接口为探针接入镜像流量接口。
#
[H3C] int G1/0/20
[H3C-GigabitEthernet1/0/20] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/20] session log enable ipv4 outbound
#
session statistics enable
session log flow-end
session log flow-begin(可选)
(6) 开启DNS审计日志记录服务。
dns snooping log enable
(7) (可选)配置字符编码:IPS/防火墙默认编码格式为gbk,可根据需要设置格式为utf8,该项需版本支持。
customlog character-encoding utf-8
(8) (可选)配置快速日志使用本地时间。
customlog timestamp localtime
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”, 态势感知平台上安全设备CSAP侧日志源配置如下所示
· 名称:自定义安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:威胁检测探针。
· 厂商名称:选择“H3C”。
· 设备型号:现场根据型号选择对应设备型号系列:CSAP-NTA系列。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
高级威胁检测引擎支持配置以标准日志通道(比如syslog)外发事件日志到指定接收服务器(比如态势感知平台),日志格式支持JSON、WEIF、竖线分隔(“|”),支持基于TCP或UDP的日志外发,态势感知系列产品采用竖线分隔(“|”)日志格式和UDP日志接收。
· 高级威胁检测引擎WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题;
· 日志外发功能当前仅支持网络攻击事件、恶意代码事件、威胁情报事件、自定义事件的外发;
如图1所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。
配置将告警事件以基于UDP的syslog日志格式外发到指定服务器
通过页面上方菜单栏进入“策略 – 数据外发 – 日志外发配置”菜单页面,默认日志外发功能为关闭状态,需要用户手动开启日志外发功能并完善相应配置;
点击日志外发功能的开关,打开日志外发功能配置,如图2。
点击<保存>按钮完成配置;
· 外发协议类型:可选TCP、UDP,态势感知支持UDP
· 日志传输格式:可选|、WELF、JSON,态势感知支持WELF
· 外发日志类型:恶意代码事件
· 日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上沙箱CSAP侧日志源配置如下所示。
· 名称:自定义沙箱设备名称,便于识别日志源。
· IP:沙箱管理IP地址。
· 设备类型:选择“沙箱”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场沙箱型号配置选择“高级版ATD-A系列(WELF版)”、” 高级版ATD-A系列”、“专业版ATD-E系列(WELF版)”、“专业版ATD-E系列”“专业版ATD-P系列(WELF版)”、“专业版ATD-P系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与沙箱的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
CSAP-NTA流量探针Syslog日志发送配置说明是基于ESS 6801P04版本SecCenter-CSAP-NTA-A型号流量探针编写。其他型号探针可以参考SecCenter-CSAP-NTA-A型号配置日志发送。
使用admin帐号登录系统
【业务设置>数据接口>日志设置】界面,日志服务器标签页中配置日志服务器。
(1) 启用日志服务器设置功能。
(2) 配置日志服务器IP地址,日志不加密。
(3) 日志服务器IP地址配置态势感知日志采集器IP地址。
(4) 日志服务器端口号默认为514。
(5) 会话日志发送周期设置。TCP会话和UDP会话发送周期配置成45分钟。
(6) 日志编码格式:默认为utf8。
· 【业务设置>数据接口>日志设置】界面,日志过滤标签页中配置日志服务器配置。
(1) 基础配置
a. 告警日志:流量告警日志 、审计告警日志不发送。
(2) 高级配置
a. 流日志:仅发送TCP/UDP会话。其余日志全部不发送。
b. 审计日志:仅发送DNS日志、网站日志 。其余日志全部不发送。
c. 检测日志:扫描攻击检测日志配置不发送。
d. 安全日志:IPS日志、AV日志、威胁情报日志不发送。
日志设置必须按开局指导书中要求配置,否则,将上报大量日志影响态势感知平台日志采集性能。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上流量探针CSAP侧日志源配置如下所示。
· 名称:自定义流量探针设备名称,便于识别日志源。
· IP:流量探针管理IP地址。
· 设备类型:选择的“流量探针”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“NTA流量探针”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
· 日志类型:使用缺省值,不需要配置。
ACG探针Syslog日志发送配置说明是基于R6612版本ACG1000-AK210型号流量探针编写。
使用admin帐号登录系统
【系统管理>系统设定>日志设定>日志服务器】界面,日志服务器标签页中配置日志服务器。
(1) 启用日志服务器设置功能。
(2) 配置日志服务器IP地址,不勾选蝶式交换算法。日志服务器IP地址配置态势感知日志采集器IP地址。日志服务器端口号默认为514。
(3) 日志编码格式:默认为utf8。
(1) 【系统管理>系统设定>日志设定>日志过滤】界面,日志过滤标签页中配置发送的日志类型。
(2) 探针模式:配置开启探针日志。
(3) 统一配置项中本地日志、Server日志均配置“全选”
(4) 各类型日志发送配置
¡ 系统日志:日志均不发送。
¡ 安全日志:仅发送IPS日志、AV日志、扫描攻击防御日志、Flood攻击防御日志、弱密码防护日志、防暴力破解日志、非法外联防护日志、行为模型日志。其余日志全部不发送。
¡ 流日志:仅发送会话日志,其余日志均不发生发送。
¡ IPsecVPN:日志均不发生。
¡ 上网行为日志:仅发送网站访问日志、恶意URL日志、IM内容审计日志、微博、社区SNS日志、搜索引擎日志、邮件上报日志、文件传输日志、娱乐/股票日志、协议审计日志、其它应用日志,其余日志全部不发送。
日志设置必须按开局指导书中要求配置,否则,将上报大量日志影响态势感知平台日志采集性能。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上流量探针CSAP侧日志源配置如下所示。
· 名称:自定义流量探针设备名称,便于识别日志源。
· IP:流量探针管理IP地址。
· 设备类型:选择的“流量探针”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“ACG1000(探针)”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
W2000-AK4X5/G2/vX00(G2)系列WAF设备Syslog日志发送配置相同,本例说明基于6201P01版本W2000-AK425型号WAF编写。
配置说明:
(1) 登录WAF的WEB界面。默认用户名admin/admin。
(2) 点击左侧菜单栏“日志系统--Syslog”,进入配置页面。
(3) 进入配置界面,配置需要信息后,点击保存即可。
¡ 启用:勾选
¡ 本地存储:默认勾选
¡ 数据格式类型:选择字符串格式。
¡ 日志类型:根据需要勾选
¡ Syslog服务器IP、端口:支持3个服务器配置。
¡ 日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上WAF设备CSAP侧日志源配置如下所示。
· 名称:自定义WAF设备名称,便于识别日志源。
· IP:WAF管理IP地址。
· 设备类型:选择“Web应用防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场WAF型号配置选择“W2000-AK4X5系列”、“W2000-AK4X0系列”、“W2000- G2系列”、“W2000- G系列”、“W2000-V- G2系列”、“W2000-V- G系列”、 “W2000- V系列”、“W2000- D系列”、“W2000系列”、“W1000-D系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
使用admin帐号登录系统。
(1) 选择 系统配置 >日志 > Syslog设置。
图3 Syslog设置
(2) 选择向Syslog日志服务器发送的日志类型,并勾选“启用Syslog日志”,则系统将根据配置向Syslog服务器发送日志。设备的日志分为七类:
· 攻击事件日志:记录监测到的针对Web服务器的攻击事件的日志。
· 病毒事件日志:记录监测到的向Web服务器上传的文件中查杀到病毒的行为日志。
· 访问事件日志:记录监测到的针对Web服务器的访问日志。
· 爬虫事件:记录网络爬虫识别和处理的日志。
· 管理事件日志:记录管理员行为,包括系统登录、登出以及所做的系统变更。
· 系统事件日志:记录所有非管理员系统行为,如:HA、更新和接口状态。
· 入侵防护事件日志:记录所有IPS攻击类型事件日志。
管理员可以通过勾选相应类型日志,设置具体发送哪些日志到Syslog服务器。
(3) 设置日志服务器参数。可保存日志文件到最多三台Syslog服务器上。
表1 Syslog参数说明
|
参数 |
说明 |
|
IP地址 |
设置Syslog服务器的IP地址。 |
|
端口 |
设置Syslog服务器接收日志的端口号。 |
|
级别 |
限制向Syslog服务器发送日志的最低级别。例如选择“错误”,则只向Syslog服务器发送级别为“错误”、“严重”、“警报”和“紧急”的日志信息。 |
(4) 单击“应用”按钮使设置生效。
(5) 日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上WAF设备CSAP侧日志源配置如下所示。
配置编写。
· 名称:自定义WAF设备名称,便于识别日志源。
· IP:WAF管理IP地址。
· 设备类型:选择“Web应用防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场WAF型号配置选择“W2000-AK4X5系列”、“W2000-AK4X0系列”、“W2000- G2系列”、“W2000- G系列”、“W2000-V- G2系列”、“W2000-V- G系列”、 “W2000- V系列”、“W2000- D系列”、“W2000系列”、“W1000-D系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
W2000系列/W1000-D系列WAF Syslog日志发送配置说明是基于ESS6702P06版本W2040型号编写,其他型号WAF可以参考W2040型号配置日志发送。
使用admin帐号登录系统
【首页>配置>事件通知】界面,配置syslog通知。配置参数要求如下:
· 告警事件:发送告警日志,此处设置发送的服务器地址和端口号,缺省端口号514。
· 系统事件:发送系统日志,此处设置发送的服务器地址和端口号,缺省端口号514。
Syslog服务器地址可为IP地址或域名并支持自定义端口如192.168.1.1:1234,多个服务器请用逗号隔开。
【首页>配置>事件通知】界面,配置syslog发送。配置参数要求如下:
· 告警配置-syslog通知,设置syslog通知是否启用,以及语言和编码类型
· 系统事件-syslog通知,设置syslog通知是否启用,通知的等级和编码类型
· 日志编码格式:可选gbk和utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上WAF设备CSAP侧日志源配置如下所示。
· 名称:自定义WAF设备名称,便于识别日志源。
· IP:WAF管理IP地址。
· 设备类型:选择“Web应用防火墙”。
· 厂商名称:选择“H3C”。
· 设备型号:根据现场WAF型号配置选择“W2000-AK4X5系列”、“W2000-AK4X0系列”、“W2000- G2系列”、“W2000- G系列”、“W2000-V- G2系列”、“W2000-V- G系列”、 “W2000- V系列”、“W2000- D系列”、“W2000系列”、“W1000-D系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:与syslog发送的配置一致(3.3.2章节)
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
此配置方法适用通用ACG版本和型号(ACG探针型号请参考ACG探针配置)。
使用admin帐号登录系统
【系统管理>系统设定>日志设定>日志服务器】界面,日志服务器标签页中配置日志服务器。
1 启用日志服务器设置功能。
2 配置日志服务器IP地址,加密为发送给日志服务器的内容是加密的。日志服务器IP地址配置日志采集器IP地址。日志服务器端口号默认为514。
3 源IP地址。日志的源IP地址。
4 日志编码格式:默认为utf8
· 日志加密是为了防止在传输过程中泄露信息,和外置数据中心配合使用,发送给标准的日志服务器时不要启用日志加密。
· 如果没有特殊需求,不要配置日志的源IP,让系统自动选择,在配置有VPN的情况的下,如果想让日志通过VPN隧道发送出去,可以指定源接口IP为tunnel接口的IP地址。
· 【系统管理>系统设定>日志设定>日志过滤】界面,日志过滤标签页中配置日志过滤。
· 日志过滤配置
a. 本地日志:配置是否记录本地日志。
b. Server日志:配置日志是否发送到日志服务器。不发送表示不发送到日志服务器;发送,发送指定级别的日志到日志服务器;全部级别发送所有的日志到日志服务器。缺省情况下,本地不记录会话日志和NAT,其它类型的日志本地会记录,对发送到远端的日志不做过滤。
默认流量不审计也不记录,通过配置审计策略,产生相应的审计日志。
· 【策略配置>IPv4审计策略】界面,点击<新建>按钮,新增ipv4审计策略。
· 新增配置对话框中,配置ipv4审计策略,对用户内网流量进行审计。配置完成后,点击<提交>按钮,完成ipv4审计策略新增。
IPV4审计策略详细配置:
|
标题项 |
说明 |
|
启用 |
新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。 |
|
描述 |
IPV4审计策略描述。 |
|
用户 |
匹配IPV4审计策略的用户对象。 |
|
接口 |
匹配IPV4审计策略的源目的接口/域。 |
|
源地址 |
匹配IPV4审计策略的源地址。 |
|
目的地址 |
匹配IPV4审计策略的目的地址。 |
|
HTTP |
HTTP类审计对象,可以对HTTP类行为进行审计,主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、web网盘文件上传下载审计。 |
|
邮件 |
邮件类审计对象,可以对邮件类行为进行审计,主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。 |
|
即时通讯 |
即时通讯类审计对象,主要包括常用通讯软件QQ、微信、飞信等登录账号审计,以及收发消息行为审计,还有其他类通讯软件登录行为审计。 |
|
基础协议 |
基础协议类审计对象,主要包括FTP登录上传下载文件审计。 |
|
娱乐股票 |
娱乐股票类审计对象,主要包括娱乐股票类应用登录账号以及评论类审计。 |
|
网络应用 |
网络应用类审计对象,主要包括出上面具体应用行为外的其他一些应用行为进行审计。 |
|
时间 |
匹配IPV4审计策略的时间对象。 |
|
日志级别 |
IPV4审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。 |
|
终端 |
匹配IPV4审计策略终端类型,默认是any所有终端类型,可以根据需求配置终端类型进行审计。 |
默认流量全部允许通过不控制也不记录,通过配置控制策略,产生相应的控制日志。
· 【策略配置>IPv4控制策略】界面,点击<新建>按钮,新增ipv4控制策略。
· 新增配置对话框中,配置ipv4控制策略,对用户内网流量进行控制。配置完成后,点击<提交>按钮,完成ipv4控制策略新增。
IPV4控制策略详细配置:
|
标题项 |
说明 |
|
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略。 |
|
行为 |
策略的行为包含: · 允许,对匹配条件的会话进行应用控制,如URL过滤和应用过滤。 · 拒绝,阻断命中匹配条件的会话。 |
|
策略分组 |
策略可以分组展示。 |
|
描述 |
IPV4控制策略描述信息。 |
|
匹配条件 |
IPV4控制策略的匹配条件,包含用户、接口、源地址、目的地址、应用、服务。 |
|
入侵防御 |
入侵防御配置,包括事件集等。 |
|
病毒防护 |
病毒防护配置,包括防护项目等。 |
|
URL过滤 |
URL过滤规则,包含URL控制和恶意URL控制。 |
|
应用过滤 |
应用过滤规则,包含应用控制、邮件控制、WEB关键字控制、虚拟账号控制。 |
|
终端公告提醒 |
给匹配条件的终端推送公告提醒页面。策略首次下发后会进行第一次推送,后续按间隔定期推送。 |
|
高级配置 |
包含时间对象配置、老化时间配置、终端类型配置。 |
默认识别范围是private,识别模式为强制模式,通过识别配置来识别内网用户,以便进行审计和控制。
· 【用户管理>认证管理>高级选项>全局配置】界面,修改识别配置。
|
项目 |
说明 |
|
识别范围 |
标示用户识别范围的地址对象或者地址对象组。 |
|
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。 “启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。 “启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。 “强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。 “强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。 |
输入完毕后,点击<提交>按钮,应用配置。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上ACGCSAP侧日志源配置如下所示。
· 名称:自定义ACG设备名称,便于识别日志源。
· IP:ACG管理IP地址。
· 设备类型:选择“应用控制网关”。
· 厂商名称:选择“H3C”。
· 设备型号: ACG型号配置选择“ACG1000系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与WAF的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
服务器安全监测Syslog日志发送配置说明是基于E6402版本SSMS编写。
登录系统配置后台,默认Web登录地址:https://管理平台IP:82/,默认账户:admin
密码:admin。
【首页>服务设置>Syslog】界面,配置日志服务器。配置参数要求如下:
· 目标ip:配置日志服务器IP地址为态势感知平台日志采集IP地址
· 访问端口:配置日志服务器上报日志端口号(缺省端口号是514)。
3. 日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上服务器安全监测-SMSCSAP侧日志源配置如下所示。
· 名称:自定义服务器安全监测-SSMS设备名称,便于识别日志源。
· IP:服务器安全监测管理IP地址。
· 设备类型:选择的“终端安全”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecPath SSMS”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
AFC Syslog日志发送配置说明是基于E6503版本AFC 2020型号AFC编写,其他型号AFC Syslog外发配置相同,可以参考AFC 2020型号配置日志发送。
使用admin用户登录系统,点击“系统管理”----“日志管理”----“远程”。
针对不同的日志类型可以设置发送到不同的syslog服务器。如下图所示。
E6502之前的版本不同类型的日志没做区分,都发送到一个syslog服务器。
注意:如果日志服务器是非标准端口,设置格式形如:101.1.4.12:5541。同一种类型的日志只能配置一个syslog服务器,不支持配置多个。
日志编码格式:默认为utf8
登录态势感知平台,“系统设置数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上AFC CSAP侧日志源配置如下所示。
· 名称:自定义AFC设备名称,便于识别日志源。
· IP:AFC管理IP地址。
· 设备类型:选择“抗拒绝服务系统”。
· 厂商名称:选择“H3C”。
· 设备型号:AFC型号配置选择“AFC2000系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与AFC的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
防篡改 Syslog日志发送配置说明是基于E6201版本防篡改编写,纯软件产品不涉及型号。当前只发布了一个软件版本,后续版本日志配置如果有修改会及时更新此文档。
使用admin用户登录系统,点击“日志系统-日志配置”,编辑“远程日志配置”。是否启用选择“是”。
可以设置两个日志服务器,若日志服务器是非标准端口,设置格式形如:101.1.4.12:5541。
日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上页面防篡改系统CSAP侧日志源配置如下所示。
· 名称:自定义页面防篡改系统设备名称,便于识别日志源。
· IP:页面防篡改系统管理IP地址。
· 设备类型:选择“网页防篡改系统”。
· 厂商名称:选择“H3C”。
· 设备型号:防篡改系统型号配置选择“WG系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与页面防篡改系统的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
终端安全由防病毒、EDR、桌面管理三个终端类型组成,需要在三个地方分别做syslog配置
(1) 防病毒
使用admin帐号登录系统,【系统管理>高级配置>Syslog服务器配置】界面
a. 启用syslog服务器上报
b. 配置服务器IP地址,服务器端口,上报频率,上报内容
c. 点击右下角应用
d. 编码格式:默认为utf8
(2) EDR
使用admin帐号登录系统,【系统管理>高级配置>Syslog服务器】界面,配置Syslog服务器IP和端口
【EDR管理>EDR配置>任务上报设置>syslog上报设置】选择上报内容
编码格式:默认为utf8
(3) 桌面管理
使用admin帐号登录系统,【系统管理>高级配置>syslog服务器】界面
a. 启用syslog服务器上报
b. 配置服务器IP地址,服务器端口,syslog类别
c. 点击下方应用
d. 编码格式:默认为utf8
(1) EDR
其中文件行为信息、注册表行为信息、网络行为信息、DNS行为信息需要同时进行【客户端数据上报设置】才可以上报到syslog服务器
(2) 桌面管理
对需要上报到syslog服务器的类别需要在终端管理中开启日志采集策略
[策略配置-日志采集策略】界面,开启系统类和用户权限类日志采集
选择上报的终端下发日志采集策略,如果有多个终端策略,需要都进行日志采集策略配置
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,配置如下:
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“终端安全”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecCenter CSAP-ESM”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:态势感知平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
(1) 使用系统管理员账户进行登录页面;
(2) 终端安全管理平台,在系统管理-联动配置-syslog上报设置,打开全部开关,在系统管理-联动配置-syslog服务配置,IP为态势感知采集器地址,端口为514。
(3) 终端安全管理平台,进入策略中心,创建安全策略:开启策略中的信息采集
(4) 进入终端管理,选择待待监测的终端主机,点击策略分发,选择上步配置的安全策略。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,配置如下:
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“终端”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“SecCenter CSAP-ESM”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:态势感知平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
登录系统管理员admin账号,在策略中心-事件响应-响应策略配置配置syslog服务器启动、地址和端口
(1) 配置风险告警响应动作
登录系统管理员admin账号,在策略中心-事件响应-风险响应策略页面配置高中低三种可疑事件的告警为syslog告警。
日志编码格式:默认为gbk。
(2) 配置系统日志响应动作
登录系统管理员admin账号,在系统管理-日志响应页面,配置所有级别日志的响应策略为syslog日志。
日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上数据库安全审计CSAP侧日志源配置如下所示。
· 名称:自定义终端安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“数据库安全审计”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“D2000系列”或“D2000-G系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:数据库审计系统配置事件响应时(10.2.1章节),选择gbk;数据库审计系统配置日志响应时(10.2.2章节),选择utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
网闸Syslog日志发送配置说明是基于E6006版本GAP2000-SE型号网闸编写,其他型号网闸可以参考GAP2000-SE型号配置日志发送。
admin登录【设备管理>syslog配置】界面,配置日志服务器。配置参数要求如下:
1 启用:勾选
2 IP:配置日志服务器IP地址和上报日志端口号(缺省端口号是514)。日志服务器IP为态势感知平台日志采集IP地址。
3 日志编码格式:默认为utf8
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上网闸CSAP侧日志源配置如下所示。
· 名称:自定义网闸设备名称,便于识别日志源。
· IP:网闸管理IP地址。
· 设备类型:选择“网闸”。
· 厂商名称:选择“H3C”。
· 设备型号:网闸型号配置选择“GAP2000系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与网闸的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
使用admin帐号登录系统
【系统设置>基本设置>告警事件】界面,配置接收日志服务器
日志编码格式:默认为utf8
身份验证登录成功级别为:INFORMATION,登录失败为WARNING
勾选”身份验证”,并配置发送级别
配置资产访问的事件级别,在相应的权限规则模板中设置的事件级别。
接收日志源处配置
配置高危命令事件日志级别,在相应的高危命令规则中设置的事件级别。
接收日志源处配置
配置会话复核日志级别,在相应的会话复核规则中设置的事件级别。
接收日志源处配置
字符审计日志默认级别为INFORMATION
勾选”字符审计日志”,并配置发送级别
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上运维审计CSAP侧日志源配置如下所示。
· 名称:自定义运维审计堡垒机设备名称,便于识别日志源。
· IP:运维审计堡垒机设备管理IP地址。
· 设备类型:选择“运维审计系统”。
· 厂商名称:选择“H3C”。
· 设备型号:选择相应对应型号的系列:“A2000-G[AK][V]系列”、“A2000-G系列”、“A2000系列”“A2000-G[AK][V]系列(FTP )”
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与运维审计堡垒机设备的日志服务器上报日志所用端口号配置一致。
· 字符集:态势感知平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
使用admin帐号登录系统
【系统-〉系统配置—〉syslog 配置】配置syslog服务器
发送测试数据,产生syslog测试日志。
日志编码格式:默认为utf8。
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上运维审计CSAP侧日志源配置如下所示。
· 名称:自定义运维审计堡垒机设备名称,便于识别日志源。
· IP:运维审计堡垒机设备管理IP地址。
· 设备类型:选择“运维审计系统”。
· 厂商名称:选择“H3C”。
· 设备型号:选择相应对应型号的系列:“A2000-G[AK][V]系列”、“A2000-G系列”、“A2000系列”“A2000-G[AK][V]系列(FTP )
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与运维审计堡垒机设备的日志服务器上报日志所用端口号配置一致。
· 字符集:态势感知平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
防毒墙Syslog日志发送配置说明是基于E6501、E6501P01版本AVG2000系列型号编写
使用admin帐号登录系统
【网络配置>SOC>SYSLOG】界面,配置日志服务器。
状态:启用、禁用
协议:TCP、UDP
远程主机:接收SYSLOG日志的远程服务器IP地址
端口:接收SYSLOG日志的远程服务器端口号
FaCILITY:默认local0
级别:默认alert(包含病毒过滤日志) info(包含病毒过滤日志、操作日志)
登录态势感知平台,“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,态势感知平台上防毒墙CSAP侧日志源配置如下所示。
· 名称:自定义防毒墙设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“防病毒网关”。
· 厂商名称:选择“H3C
· 设备型号:选择“AVG2000系列”
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:态势感知平台对应日志字符集配置为utf8。
· 例外:使用缺省值,不需要配置。(E1143P05版本之前存在该配置)
· 日志类型:使用缺省值,不需要配置。(E1143P05版本之后存在该配置)
在态势感知平台上完成日志源配置且正常发送日志后,可在采集器监控汇总、日志中心、日志概览等页面查看日志信息,展示结果详情如下:
在采集器监控汇总页面查看各类日志源采集日志的统计信息:
· 设备日志在日志中心情况展示:
· 设备上传日志类型展示结果:
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
