赛克综合审计软件分发与操作

正概 系统概 产品组 产品结构 应用环 升 版本识 安装配 安装前检 服务器端安装与配 Linux下安装与配 端口介 日志源配 Linuxsyslog客户端配置 Linuxsyslog客户端配置 Linux用户操作行为配 Window日志发送配 Mysql数据库日志审 的配置 Vsftp日 Sftp日 IIS日志发送配 httpsniffer............................................................................................Tomcat日志.........................................................................................数据库日志格式配 inotify日志配 Collectd配 Linux端口...........................................................................................Linux进程信息...................................................................................客户端登 常见问 Linux下启动程序失 收集不到日 elasticSearchToomanyopenfiles问题的解 概系统概赛克综合审计能够通过主结合段，实时不间断地用户网络中各种不同厂商的、网络设备、主机、操作系统、以及各种应用系统产生的产品组产品结系统由模块、WEB模块、DB模块、ES模块组成应用环架/S4100G（客户端配Windows7/8/10、Linux、Macbookhtml5ChromeWindows2008/201264LinuxRedHat6.0CentOS6.0Java8update20or或者Java7update55or日条数1000万以下，建议处理器最低配置4核8G日条数1000-3000万条，建议处理器最低配置8核16G日条数3000-6000万条，建议处理器最低配置8核24G日条数6000万以上，建议做集群升版本识Seci-log综合审计目前是1.0版本安装配在客户端浏览器输入直接打开即可。客户端时间与服务器时间同步安装前检cpuIP、掩码、网关、DNS端口21、514、7017， 00、162是否被占用；要打开21、514、8080、8443、162端口。服务器端安装与配Linux下安装与第安目前产品基本支持零配置运行。产品唯一必须依赖的第程序为java。所Java：Java8update20orlater,orJava7update55orlater。可rootJava（java[root@localhost~]#java-versionjavaversion"1.7.0_75"OpenJDKRuntimeEnvironment(rhel-.el7_0-x86_64u75-b13)OpenJDK64-BitServerVM(build24.75-b04,mixedmode)[root@localhost~]#rpm-e--nodepsjdk-6u21-linux-JavaJava地址 2133151.html，主机是64位，要64位版本jre。[root@localhost~]# od777jdk-7u75-linux-x64.rpm[root@localhost~]#rpm-ivh java[root@localhost~]#rpm-pqljdk-7u75-linux- /usr/java/jre1.7.0_45/THIRDPARTYLICENSEREADME- profile[root@localhost~]#vimexport javaexport javabinexport exportsource/etc/profile安装配置服务器secilog-en.tar.gz，rootdf-h。[root@localhost~]#tarxvfsecilog-en.tar.gzsecilog-enES_MIN_MEMES_MAX_MEM配置成相同的值if"%ES_MIN_MEM%"==""set)if"%ES_MAX_MEM%"==""set)手工启动：在安装路径下执行执行od+x/etc/rc.d/rc.local，主机重启的时候，seci-log的三个进程会在安装路径下执行TomcatJava端口介安装完后系共会产生以下几个端口，前三个是必须对外提供的端口，后几个21ftpserver的端口，ftp默认用户名为：admin514(udp)syslog8080、8009、8443系统web端口，8080、8009不需要对外开放，可以通162snmp7017，7018是和web通信的接口，不需要对外开放9300seci-log：killkill-9日志源配操作系统日志：windowslinuxsyslog来收集的，但windows原生不支持syslog，所以需要安装nxlog才能对windows日志进行收集；大多数linux系统支持syslog发送日志，只需要对syslog进行配Web日志分析：webapache，nginx，tomcatweb日志和本系统放在一台服务器上的时候，需要配置本地，这个时候需要指定本地的路径和文件名；二、当web日志放在远端机器上的时候，可以在远端开放ftp/sftp权限，在本系统中配置路径；三、当web日志放在远端机器，但不方便开服务的时候，可以通过定时ftpweb日志放在远端，也不方便提供定时上传，可以采用远端日志，通过日志导本系统主动的日志，包括本地，ftp/sftp，系统会记录上次的位置，不会文件命名要求：由于web日志中是不包括服务器ip,的，所以可以通过修改文件名来确定这些信息，命名方式文件名的第一个是ip，第二个是机器名，如果是是，第二个可以是，比如 Linuxsyslog客户端配置sysloglinuxrsyslogsyslog的配置。linux下查看进程确认是否安装：ps-ef|greprsyslogd|grep-vgrep，如下Rsyslog默认配置路径为：/etc/rsyslog.conf在authpriv.*下面增加另一个输出地址，如果所以的syslog服务写法为 @ip地 /*的IP地址这个地址和中的配址要一样，才能保证可以正常接收到日志，完成配置后需要重启服务才能生效。命令如下：servicersyslogrestartLinuxsyslog客户端配置suse9，suse101）编辑/etc/syslog.conf @ip地址 /*的IP地址*//etc/init.d/syslogsuse11destinationd_syslog{udp("25"port(514));};logsource(src);filter(DEFAULT);destination(d_syslog);/etc/init.d/syslog-ngLinux用户操作行为配linux1linux文件中的/etc/profile增加一行 MAND='{msg=$(history1|{readxy;$y;});logger"secislanduser=$(whoami)"client=$SSH_CLIENTpath=`pwd`/etc/profile。2、在/etc/rsyslog.confsyslog发送设置： @ip地 /*的IP地址3syslog服务：servicersyslogrestartWindow日志发送配Windows默认是不支持syslog配置的，所以要想支持syslog，需要安装第nxlog本系统只对nxlog转换后的日志进行了分析处理，其他工具转换的只能支持commonsyslog的接受，不能产生告警。1、工具，地址为2windows下安装；nxlog-ce-3、修改配置文件，默认配置文件位置为：C:\ProgramFiles\nxlog\conf\nxlog.conf，修syslog发送地址要和实际的一致；4nxlog服务(控制面板--管理工具--nxlog)2003defineROOTC:\ProgramFiles\nxlogModuledir%ROOT%\modulesCacheDir%ROOT%\dataPidfile%ROOT%\data\nxlog.pidSpoolDir%ROOT%\dataLogFile<Extensionsyslog> <Input ReadFromLastTRUEExecto_syslog_ietf();$raw_event=replace($raw_event,'NXLOG@14506','seci-win-2003gb2312',1);<Outputout> <Route in=>2008defineROOTC:\ProgramFiles\nxlog(Moduledir%ROOT%\modulesCacheDir%ROOT%\dataPidfile%ROOT%\data\nxlog.pidSpoolDir%ROOT%\dataLogFile<Extensionsyslog>Modulexm_syslog<Input ReadFromLastTRUEExec$Message=Execto_syslog_ietf();$raw_event=replace($raw_event,'NXLOG@14506','seci-win-2008',<Output <Route in=>Mysql数据库日志审Mysql日志审计是通过sniffer抓包进行的。只支持linux，在安装mysql采agentlibpcaplibpcap-devel两个基础类库。Centos安装方法为：yuminstalllibpcaplibpcap-devel。其他操作系统请查阅相关资料。运行mysql探针：nohup./mysqlsniffereth0–port3306--no-mysql-hdrs&配置syslog日志，以rsyslog为例：配置文件/etc/rsyslog.conf增加一行 message /var/log/messages改为下面的 mysql的配置系统提供了v2c和v3两种snmptrap协议的支持。首先要有端口，系已经默认设置了的接收端口10163。v2c，只需要配置接收的ip和端口就可以正常，但对v3 ，口令加密算法为MD5，报文加密密钥为 把这些内容配置好，程序就可以收集到报文了。Vsftp日Vsftpd的配置文件为：/etc/vsftpd/vsftpd.conf1、Vsftpd/var/log/vsftpd.log记录登录认证日志，另一个是/var/log/xferlog，记录了上传日志，系统目前主要精确分析vsftpd.log日Sftp日Sftpsshdsftp协议日志。配置：#vi/etc/ssh/sshd_configSubsystemsftp/usr/libexec/openssh/sftp-serverSubsystemsftpinternal-sftp-lINFO-flocal0去掉下面一行的注释#LogLevelINFOsyslogvietc/rsyslog.conf#增加一行 message /var/log/messages改为下面的 /etc/init.d/rsyslog/etc/init.d/sshd配置完成重启后会生成sftp.log日志当然如果配置机器就直接把日志发给IIS日志发送配windows日志发送配置部分。以下windowsserver2003示例defineROOTC:\ProgramFiles\nxlog#defineROOTC:\ProgramFiles(x86)\nxlogdefineCERTDIR%ROOT%\certModuledir%ROOT%\modulesCacheDir%ROOT%\dataPidfile%ROOT%\data\nxlog.pidSpoolDir%ROOT%\dataLogFile#CreatetheparseruleforIISlogs.YoucancopythesefromtheheaderoftheIISlog<Extensionw3c>Modulexm_csvFields$date,$time,$s-ip,$cs-method,$cs-uri-stem,$cs-uri-query,$s-port,$cs-username,$c-ip,$csUser-Agent,$sc-statusFieldTypesstring,string,string,string,string,string,integer,string,string,string,integerDelimiter'<Extension <Extensionsyslog>Module#ConverttheIISlogstoJSONandusetheoriginalevent<InputIIS_Logs> SavePosTRUEExecif$raw_event=~/^#/drop(); $EventTime=parsedate($date+""+ $SourceName= $Message= }<Outputout>Moduleom_udpExec$raw_event=$raw_event;Host10.x.x.xPort<RoutePathIIS_Logs=>IIS格式支持，支持IIS6默认的w3c格式，由于默认的配置中没有流量和来源信息，而这两个信息比较重要，所以需要对这两个参数进行添加，在IIS管理器左边菜单的属性中添加。在属性框中的网站->启用日志记录->属性->高级中把发送的字节数和站点打上勾。然后重启IIS。注意：在高版本中默认的服务名称没有选中，在设置的时候需要选上以下windowsserver2008示例（windowsIIS日志均发送defineROOTC:\ProgramFiles\nxlog#defineROOTC:\ProgramFiles(x86)\nxlogModuledir%ROOT%\modulesCacheDir%ROOT%\dataPidfile%ROOT%\data\nxlog.pidSpoolDir%ROOT%\dataLogFile<Extensionsyslog>Modulexm_syslog#CreatetheparseruleforIISlogs.YoucancopythesefromtheheaderoftheIISlog<Extensionw3c>Modulexm_csvFields$date,$time,$s-ip,$cs-method,$cs-uri-stem,$cs-uri-query,$s-port,$cs-username,$c-ip,$csUser-Agent,$sc-statusFieldTypesstring,string,string,string,string,string,integer,string,string,string,integerDelimiter'#json<Extension #setsyslog<Input ReadFromLastTRUEExecto_syslog_ietf();$raw_event=replace($raw_event,'NXLOG@14506','seci-win-2008',#ConverttheIISlogstoJSONandusetheoriginalevent#setwebsite(25)<InputIIS_25_Logs> SavePosTRUEExecif$raw_event=~/^#/drop(); $EventTime=parsedate($date+""+ $SourceName= $Message= }#setwebsite(32)<InputIIS_32_Logs> SavePosTRUEExecif$raw_event=~/^#/drop(); $EventTime=parsedate($date+""+ $SourceName= $Message= }<Output Exec$raw_event=$raw_event; 10.x.x.x(IP) <Route slog,IIS_32_Logs,IIS_25_Logs=>w3c格式，默认的为%SystemDrive%\inetpub\logs\LogFiles，UTF-8，httpsniffer前需要先安装libpcaplibpcap-devel两个基础类库。Centos安装方法为：yuminstalllibpcaplibpcap-devel。其他操作系统请查阅相关资料。httpsniffer探针：nohupsecihttpieth2gsyslogrsyslog为例：配置文件/etc/rsyslog.conf message /var/log/messages改为下面的 http当Tomcat日志和本系统部署在一台服务器上的时候，需要配置本地进【安全配置-配置点击日志右边【增加选择日志类型weblog，local，需要指定本地的路径和文件名。。进入【安全配置-配置，点击日志右边的【增加，选择日志类型weblog，协议选择sftp或ftp，在本系统中配置路径。数据库日志格式配库日志配置进【安全配置-日志配置点【增加可以增加数据库配置息用于数据库参数包括产品名称sql语句主键列(主键排序对象支持idid=date=有=号默认是数字型自增主键，)。jdbcutf8sqlselect*fromOracle审计记录可通过视图dba_audit_trail进行查看。日志配置中的sql语句select*fromsys.dba_audit_trailOracle数据库本身需要做一些首先：需要检查数据库服务器是否开启了审计，采用 rameteraud命令SQL>shorameter TYPE string audit_trail=FALSENONE，则表明没有开启审计功能，需要开启审计功audit_trail=db_extended，这样可以在审计视图（dba_audit_trail）看到详细库结构修改（SQL语句SQL>Altersystemsetaudit_trail=db_extendedscope=spfile;SystemSQLshutdownimmediate因为audit_trail是静态参数，所以需要重启oracle实例SQL>startupopenSQLauditallbytestwheneversuccessful；//testSQL>auditaltertablebytestbyaccesswheneverSQL>auditinsert,update,deleteontest.test_tablebyaccesssuccessfulinotify日志配Inotify是一个Linux特性，它文件系统操作，比如、写入和创建。Inotify反应灵敏，用法非常简单，并且比cron任务的繁忙轮询高效得多。多用在主SeciInofifysyslognohup./inotifywait-c-rmecreate,modify,delete,move,attrib,delete_self/home/etc这样就对指定 /home/etc进行这两 中文件的任何变化都Collectd配RHEL/CentOS6.x/5.x先需要启用系统下的epel库，然后你才能从epel库安装collectd程序包#yuminstallRHEL/CentOS7.x#yuminstallepel-release#yuminstallcollectdCollectd的配置文件在/etc/collectd.conf#下面这个是的频率单位是 LoadPlugin<Pluginsyslog>LogLevelinfoLoadPlugincpuLoadPlugindfLoadPlugininterfaceLoadPluginmemoryLoadPluginswapLoadPluginwrite_log<Plugincpu>ReportByCpufalseReportByStatefalse<Plugin#这个地方要改成时间磁盘的名称，只能一个磁盘，可以用df-h查看Device"/dev/sda1"IgnoreSelectedfalseReportByDevicefalseReportfalseReportInodesfalseValuesAbsolutetrue<PluginInterface"eth0"IgnoreSelected<Pluginmemory>ValuesAbsolutefalse<Pluginswap>ReportByDevicefalseReportBytestrueValuesAbsolutetrueInclude完成修改后要从起服务，collectd配置完成后需要在syslog的配置中增加一条信息，把给 /var/log/messages 修改完成后，重启syslog服务。正常情况下就会把数据发送到中Linux端将下列添加到port.sh[root@localhost vi - - 1);tp[count]=substr($6,index($6,":")+1,length($6));count++;};END{for(i=0;i<NR;i++)if(si[i]!=ti[i])print"seci-host-networkpro="pr[i]"sendFlow="fl[i]"添加定时任务，可以设置每小时执行一[root@localhost~]#crontab-e0****/etc/cron.hourly/port.sh重启crond服务，正常情况下就会每小时发送一次，把数据发送到中[root@localhost~]#systemctlrestartLinux进程信将下列添加到pid.sh[root@localhost vi - ]=$11;count++;};END{for(i=1;i<NR;i++)print"seci-host-processuser="suser[i]"pid="pid[i]"cpu="cpu[i]"mem="mem[i]"process="p[i]}'|sort|uniq|egrep-v添加定时任务，可以设置每小时执行一[root@localhost~]#crontab-0****重启crond服务，正常情况下就会每小时发送一次，把数据发送到中[root@localho