Syslog设备事件采集部署.doc

事件源Agent部署要求1 部署范围安全产品数目部署采集机（名称/IP）Agent 部署描述Windows主机通过Windows Event日志来采集，在采集服务器上部署Windows 主机的专用Agent，把关心的Windows主机日志采集到SOC系统中。UNIX主机通过Logging Server收到各个设备使用syslog转发的相关日志，SOC系统分别通过部署在pc服务器的相应得Agent获得这些设备日志，并对日志进行格式化，保存到Soc系统中。Cisco路由器Nortel FoundryRadwareCisco交换机RSA ACE ServerPix防火墙Linktrust 防火墙通过ODBC接口方式采集。先在PC服务器上安装防火墙的日志管理工具，该工具通过Syslog的方式获得部署在中国电信中的LTCW防火墙日志，SOC系统通过一个部署在同一台pc服务器的Agent获得该日志，并对日志进行格式化，保存到Soc系统中。LinkTurst IDS通过odbc数据库接口方式采集。由于本项目的ids Sensor采取集中管理的方式，分布在全网的sensor由部署在中心点的ec统一管理，所有在SOC中心pc服务器上NIDS的Agent，负责接收来在IDS Sensor上的安全事项并转发到soc服务端。趋势防病毒系统通过odbc数据库接口方式采集。ISS RealSecure IDS通过odbc数据库接口方式采集。CA IDS，CA Access Control 待定2 部署要求2.1 Windows主机1将evtsys.zip中的两个文件（evtsys.exe和evtsys.dll）展开到Windows系统system32目录下2然后运行下面的命令安装服务： evtsys -i -h IP -p 514 -h为syslog 服务器地址 -p为syslog服务器端口3在系统服务面板中，将eventlog to syslog服务的启动类型设定改为自动 并启动该服务。注：根据实际情况IP取2（内网地址）或37（外网地址）2.2 LINUX主机LINU系统接入方法：通过Syslog转发到KiWi服务器1在Unix系统的/etc/hosts文件中增加一行IPloghost注：根据实际情况IP取1（内网地址）或37（外网地址）2在Unix系统/etc/syslog.conf文件最后追加以下7行*.alertifdef(LOGHOST, /var/log/syslog, loghost)*.emergifdef(LOGHOST, /var/log/syslog, loghost)*.critifdef(LOGHOST, /var/log/syslog, loghost)auth.notice ifdef(LOGHOST, /var/log/syslog, loghost)auth.err ifdef(LOGHOST, /var/log/syslog, loghost) ifdef(LOGHOST, /var/log/syslog, loghost)auth.warning ifdef(LOGHOST, /var/log/syslog, loghost)3用下面的命令停止syslog服务/etc/init.d/syslog stop4用下面的命令启动syslog服务/etc/init.d/syslog start2.3 Unix主机2.3.1 AIXAIX系统接入方法：1 提供Unix系统的IP地址2 提供Unix系统的主机名称3 在Unix系统/etc/syslog.conf文件最后追加以下2行*.err 4 (中间以Tab健分割) 4 (中间以Tab健分割)5 用下面的命令停止syslog服务 stopsrc -s syslogd6 用下面的命令启动syslog服务startsrc -s syslogd2.3.2 Solaris通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下：方法：通过Syslog转发到KiWi服务器1 提供Unix系统的IP地址2 提供Unix系统的主机名称3 在Unix系统的/etc/hosts文件中增加一行IPloghost注：根据实际情况IP取1（内网地址）或37（外网地址）4 在Unix系统/etc/syslog.conf文件最后追加以下7行*.alertifdef(LOGHOST, /var/log/syslog, loghost)*.emergifdef(LOGHOST, /var/log/syslog, loghost)*.critifdef(LOGHOST, /var/log/syslog, loghost)auth.notice;auth.err;;auth.warning ifdef(LOGHOST, /var/log/syslog, loghost)5 用下面的命令停止syslog服务/etc/init.d/syslog stop6 用下面的命令启动syslog服务/etc/init.d/syslog start2.3.3 HP-UX通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下：方法：通过Syslog转发到KiWi服务器1提供Unix系统的IP地址2提供Unix系统的主机名称3在Unix系统的/etc/hosts文件中增加一行IPloghost注：根据实际情况IP取1（内网地址）或37（外网地址）4在Unix系统/etc/syslog.conf文件最后追加以下7行*.alert loghost*.emergloghost*.critloghostauth.notice;auth.err;;auth.warning loghost5 下面的命令停止syslog服务 ps ef|grep syslogdkill PID 6 下面的命令启动syslog服务/usr/sbin/syslogd -D2.4 Cisco路由器通过Cisco路由器的Syslog服务和采集机Agent接口，具体的步骤如下：device#conf tdevice(config)#logging ondevice(config)#logging IP /日志服务器的IP地址device(config)#logging trap critical /日志记录级别，可用?查看详细内容device(config)#logging source-interface e0 /日志发出用的源IP地址（e0为发出日志的端口，使用哪个端口由实际情况决定）device(config)#service timestamps log datetime localtime /日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure注：根据实际情况IP取3（内网地址）或38（外网地址）2.5 FoundryBigIron 8000路由器通过Foundry路由器的Syslog服务和采集机Agent接口，具体的步骤如下： bigiron(config)#logging on bigiron(config)#logging IP /日志服务器的IP地址 (Software Release earlier than 07.7.00) bigiron(config)#logging host IP /日志服务器的IP地址 (Software Release 07.7.00 and later) bigiron(config)#logging buffered alerts bigiron(config)#logging buffered critical bigiron(config)#logging buffered emergencies bigiron(config)#logging facility auth 查看状态 bigironshow logging 注：根据实际情况IP取3（内网地址）或38（外网地址）2.6 Radware路由器通过Radware路由器的Syslog服务和采集机Agent接口，具体的步骤如下：1. Access the Device Access tab in the Management Preferenceswindow.2. In the SysLog Reporting area, enter the IP address of the devicerunning the syslog service (syslog) in the Syslog Station Addressfield.3. Select the Syslog Operation checkbox to enable syslog reporting.4. Click Apply to implement your changes and OK to close thewindow.注：根据实际情况IP取6（内网地址）或41（外网地址）2.7 Cisco交换机通过Cisco交换机的Syslog服务和采集机Agent接口，具体的步骤如下：device#conf tdevice(config)#logging ondevice(config)#logging IP /日志服务器的IP地址device(config)#logging trap critical /日志记录级别，可用?查看详细内容device(config)#logging source-interface f0/1/日志发出用的源IP地址(f0/1为发出日志的端口，使用哪个端口由实际情况决定)device(config)#service timestamps log datetime localtime /日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure注：根据实际情况IP取3（内网地址）或38（外网地址）2.8 RSA ACE Server方式：通过RSA ACE的日志转发功能将RSA ACE日志信息转发到系统Syslog，再由UNIX主机发送到SYSLOG服务器：条件：需要有远程管理客户端（DB REMOTE MGMT）如果没有远程管理客户端，可以执行sdadmin程序步骤1在远程管理客户端上Click Start Programs ACE/Server Database Administration Remote Mode.The Select Server to Administer dialog box opens.输入相关认证信息，启动Database Administration管理界面。2在管理界面上 click Log Log to System Log.（确保Log to System Log.选项前面打上勾“”）。注：根据实际情况IP取6（内网地址）或41（外网地址）2.9 Cisco Pix防火墙通过Cisco Pix防火墙的Syslog服务和采集机Agent接口，具体的步骤如下：device#conf tdevice(config)#logging ondevice(config)#logging IP /日志服务器的IP地址device(config)#logging trap critical /日志记录级别，可用?查看详细内容device(config)#logging source-interface e0 /日志发出用的源IP地址device(config)#service timestamps log datetime localtime /日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure注：根据实际情况IP取4（内网地址）或39（外网地址）2.10 LinkTrust CyberWall版本：3.6接口方式：Syslog配置步骤： 1loghost add IP/日志服务器的IP地址2apply3Save注：根据实际情况IP取4（内网地址）或39（外网地址）2.11 LinkTurst IDS版本：7.0接口方式：ODBC数据库：MSDE配置步骤：1 提供用户名/密码2 采集表名为AlertEvent注：根据实际情况IP取4（内网地址）或39（外网地址）2.12 趋势防病毒系统版本：6.5接口方式：ODBC数据库类型：SQL Server 2000配置步骤：1提供用户名/密码2采集表名tb_AVVirusLog注：IP取7注：需要TMCM支持2.13 ISS RealSecure NIDS 版本：6.6接口方式：ODBC数据库类型：SQL Server配置步骤：1 提供用户名/密码2 采集表名Events,Products注：根据实际情况IP取5（内网地址）或40（外网地址）2.14 ISS RealSecure HIDS版本：6.6接口方式：ODBC数据库类型：SQL Server配置步骤：1 提供用户名/密码2 采集表名Events,Products注：根据实际情况IP取5（内网地址）或40（外网地址）2.15 CA eTrustIDS通过CA eTrustIDS管理工具，对需相应策略的响应方式进行设置。CA eTrustIDS的EVENT事件响应支持：EVENT LOG、SNPM以及SYSLOG，本次试点暂时先采用SYSLOG。版本：1.5接口方式：Syslog配置步骤：操作方法：1 打开CA eTrustIDS管理工具，选择Setting|definition2 在随后出现的界面中选择 ACTIONS3 点选ACTIONS下拉列表中的一条记录，再选择properties4 在properties中选择 assign to syslog5 填写发送的目的SYSLOG服务器地址，并设定Priority，确定即可。6 以此类推（注：每条策略都须作相应设置）。注：根据实际情况IP取5（内网地址）或40（外网地址）不能把Message信息带过来，需要用户自己输入。2.16 CA eTrustAccess Control假设eTrust Access Control的安装目录为/usr/seos。SNMP Trap将通过eTrust Access Control的selogrd进程来发送。步骤一：修改/usr/seos.ini中的daemonsselogrd = yes步骤二：创建文件/usr/seos/etc/selogrd.ext步骤三：在步骤二的文件中加入一行snmp /usr/seos/lib/snmp.so（在HP-UX上为snmp.sl）步骤四：修改/usr/seos/log/selogrd.cfg，如需要Audit所有FILE类，PROCESS类及SURROGATE类可以为：snmpRulesnmp AuditPCinclude Class(FILE).include Class(PROCESS).include Class(SURROGATE).其中snmpRule为规则名，AuditPC为SNMP Trap需要发送到的目标机器名（需要将该机器加到/etc/hosts中）。更为详细的关于selogrd.cfg的格式可参见eTrust Access Control Utilities Guide第106页。步骤五：启动selogrd，并通过ps -ef |grep selogrd确认进程的存在注：根据实际情况AuditPC取6（内网地址）或41（外网地址）2.17 Alcatel 7750 路由器接口方式：Syslog配置步骤：SZX-7750-1configlog# info-#-echo Log Configuration#- syslog 1 description To syslog-server address 38 facility auth exit log-id 1 from main to syslog 1 exit -SZX-7750-1configlog#注：根据实际情况IP取3（内网地址）或38（外网地址）2.18 ISS Internet Scanner由SOC软件自行管理注：根据实际情况IP取4（内网地址）或39（外网地址）2.19 F5（bigip1000）交换机通过Unix系统的Syslog服务和采集机Agent接口，具体的步骤如下：方法：通过Syslog转发到KiWi服务器1提供Unix系统的IP地址2提供Unix系统的主机名称3在Unix系统的/etc/hosts文件中增加一行IPloghost注：根据实际情况IP取1（内网地址）或37（外网地址）4在Unix系统/etc/syslog.conf文件最后追加以下7行*.alert loghost*.emergloghost*.critloghostauth.notice;auth.err;;auth.warning loghost7 下面的命令停止syslog服务 ps ef|grep syslogdkill -HUP PID 8 下面的命令启动syslog服务/usr/sbin/syslogd -D注：根据实际情况IP取1（内网地址）或37（外网地址）2.20 Ironport接口方式：文件配置步骤：在 logconfigCurrently configured logs:1. antivirus Type: AntiVirus Logs Retrieval: FTP Push - Host 2. avarchive Type: AntiVirus Archive Retrieval: FTP Poll3. bounces Type: Bounce Logs Retrieval: FTP Push - Host 364. brightmail Type: Retrieval: FTP Poll5. cli_logs Type: CLI Audit Logs Retrieval: FTP Poll6. delivery_log Type: Delivery Logs Retrieval: FTP Poll7. error_logs Type: IronPort Text Mail Logs Retrieval: FTP Poll8. ftpd_logs Type: FTP Server Logs Retrieval: FTP Poll9. gui_logs Type: HTTP Logs Retrieval: FTP Poll10. maildebug Type: IronPort Text Mail Logs Retrieval: FTP Push - Host 3611. qmail_log Type: qmail Format Mail Logs Retrieval: FTP Poll12. rptd_logs Type: Mailflow Report Logs Retrieval: FTP Poll13. sntpd_logs Type: NTP logs Retrieval: FTP Poll14. status Type: Status Logs Retrieval: FTP Poll15. system_logs Type: System Logs Retrieval: FTP PollChoose the operation you want to perform:- NEW - Create a new log.- EDIT - Modify a log subscription.- DELETE - Remove a log subscription.- SETUP - General settings.- LOGHEADERS - Configuration headers to log. editEnter the number of the log you wish to edit. 15Log level:1. Error2. Warning3. Information4. Debug5. Trace3 3Please enter the name for the log:system_logs Choose the method to retrieve the logs.1. FTP Poll2. FTP Push3. SCP Push1 2Hostname to deliver the logs:Username on the remote host:Password for dingning (DELETE for empty pas