日志审计的部署非常简单,没有什么技术含量,就是有一些步骤,今天公司来了一批网络设备,正好有日志审计,于是鼓捣了一上午,在此记录一下操作,万一哪天用上了。
管理口默认是左上角网口,默认地址为:https://192.168.1.40,默认是禁ping的
用户名:super
密码:super123456
部署须知(用谷歌浏览器)
日志审计通常是旁路部署,只要是目标主机能够连接日志审计即可。日志审计并不是旁路部署,而是指向部署,并不用配置端口镜像。
为什么数据库审计就要使用端口镜像而不使用指向部署呢?
如果数据库使用指向部署,将其产生的日志放送到数据库审计的话,这个发送的工作实际上是由数据库进程完成的,我们在生产环境当中要求数据库的响应速度是快、快、快、而一旦让它产生日志并由数据库进程发送到审计设备的话,无疑会加重数据库进程的负担,所以我们通常使用端口镜像的方式来部署数据库审计。
部署思路
- 登录之后,更改接口的IP地址,让他能够于与业务网络通信即可。
- 添加资产
- 在主机上进行指向,如果是linux的话就更改syslog指向就可以了;如果是windows的就要使用WMI或agent进行收集。
linux日志收集
//在此文件里面做一个指向即可,把所有设施里面日志都输出到日志审计服务器
vim /etc/rsyslog.conf
部署步骤
第一步:修改IP和路由
第二步:添加linux资源
第三步:linux-syslog指向
vim /etc/rsyslog.conf #添加一行指向 *.* @172.16.100.160:514 /etc/init.d/rsyslog restart
NOTE:可以通过重启某一个服务或者重启登录一次来测试,测试截图如下: