- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-高性能流日志源典型配置
本章节下载: 03-高性能流日志源典型配置 (881.49 KB)
H3C SecCenter CSAP-SA系列 综合日志审计平台
高性能流日志典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍综合日志审计平台高性能流日志源日志采集功能的配置案例。综合日志审计平台主要采集网络中各类日志数据,系统对采集到的数据进行归一化处理。并将采集到的数据通过默认规则进行分析。分析结果通过WEB可视化呈现给用户。通常将提供数据的设备称为日志源。
· 被动采集指一些网络设备自身可以通过配置日志服务器,及时向日志主机发送日志的功能 ,该类设备被称为被动日志源,综合日志审计平台作为日志服务器,配置对应日志源,对接收到的日志源发送来的数据进行分析。
· 高性能流日志采集属于被动采集的一种,但是与被动采集的方式不完全相同,该种日志源仅支持采集二进制流日志,通过高性能流日志采集的方法可以实现流日志的高效采集与解析的能力。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。若客户网络中存在其它第三方厂商日志不适配的情况,需要进行定制化开发时,请与当地销售人员联系。
本文档假设您已了解综合日志审计平台的相关特性。
用户期望将网络设备日志,如防火墙设备,接入到综合日志审计平台,其中管理网络与综合日志审计平台eth0在同一网络。
配置顺序如下:
(1) 查看防火墙设备时间与综合日志审计平台系统时间一致。
(2) 将设备日志主机配置为综合日志审计平台eth0地址。
(3) 在综合日志审计平台将设备配置为日志源。
(4) 配置完成后,可以查看日志采集统计信息和日志信息。
(5) 本举例主要是防火墙设备为例。
配套防火墙设备,防火墙设备版本请使用D032SP21及以上版本,本举例基于F5000-C Release 9360P42版本,综合日志审计平台以E1901版本举例。
· 在配置之前确保路由可达。
· 管理PC、防火墙、综合日志审计管理地址路由可达。
· 保证日志源设备与综合审计平台系统时间一致,否则可能造成分析不准确。当系统时间相差24h以上时,综合日志审计平台将丢弃该类日志。
(1) 确认日志源与综合日志审计平台系统时间一致。
a. 登录综合日志审计平台,【配置中心-系统管理-全局设置-时间管理】查看当前系统时间。
b. 登录防火墙设备,【系统-维护-系统设置-日期和时间】查看当前系统时间。
c. 若不一致,请以其中一方为基准,请在上步配置界面进行时间校正。
(2) 防火墙侧配置日志服务器
#【系统>日志设置>基本配置】界面,仅需要在【流日志】标签页进行如下配置:
a. 新建日志主机:
¡ 日志主机:综合日志审计平台日志采集eth0 IP地址。
¡ 端口号:缺省情况下,端口号为9002。建议使用缺省配置。
¡ VRF:缺省情况下为公网,使用缺省配置。
b. 日志版本:
¡ 流日志根据日志信息所包含字段多少分为1.0、3.0和5.0三个版本。 根据用户需求选择对应的版本即可。推荐使用3.0或5.0版本
(3) 会话日志配置
a. 进入【系统>日志设置>会话日志】界面,配置会话日志输出的格式。按照如下要配置设备。
¡ 日志类型:选择“流日志”。
¡ 记录日志:必须勾选记录删除会话日志,可选择勾选记录新建会话日志。
¡ 添加接口:选择记录入方向、出方向。
b. (可选)进入“系统 > 会话设置 > 高级设置”界面,开启会话统计。
注:不开启会话统计,会话日志不记录上下行字节数据,开启会话统计会影响设备处理性能,需根据实际场景评估。
(4) NAT日志配置
进入“系统 > 日志设置 > NAT日志”界面,配置NAT日志。按照如下参考配置设备。
¡ 开启NAT日志。
¡ 不要勾选输出快速日志。
¡ 高级配置:可勾选记录新建NAT会话的日志、记录删除NAT会话的日志、记录NAT活跃流日志
(5) 综合日志审计平台日志源配置
登录综合审计平台,“配置中心-数据来源-日志源管理-高性能流日志采集”:
a. 配置采集端口并启用
¡ 采集端口默认值为9002,可修改,配置采集端口后点击“启用”
¡ 所有高性能流日志源共用一个采集端口,不可设置为不同值
b. 选择“新增”,添加防火墙安全设备日志源配置如下所示。
¡ 名称:自定义安全设备名称,便于识别日志源。
¡ IP:设备管理IP地址。
¡ 资产类型:现场根据型号选择对应的“防火墙”
¡ 厂商:选择“H3C”。
¡ 型号:现场根据型号选择对应设备型号系列:如“F5000系列(V7)”
(1) 高性能流日志源添加成功
在高性能流日志采集页面,添加日志源成功,列表显示添加记录:
(2) 日志信息查询
进入【日志中心 >全文检索】界面,可以查询到对应日志源上报的网络流量日志。点击操作列详情按钮可以查看日志报文详情。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
