奇安信_日志收集与分析系统(日志审计)_快速上线部署配置
2023-12-13 16:38:26
一、预备知识
日志收集与分析系统是一种用于收集、处理、存储、备份、查询统计、合规报表以及关联分析网络中安全设备、网络设备、服务器资源和应用系统日志的系统。它可以实现海量日志的全生命周期管理,并且可以对多种数据源进行高性能、多场景采集分析并生成告警事件,完成处置闭环。
二、项目场景
由于上级部门的安全要求,现网中需要新增一台日志审计设备。
本单位采用旁路部署的方式,将日志审计部署在核心交换机上,收集各设备的日志。
三、拓扑图
四、部署配置
1. 登录设备
GE1(管理口)https://10.70.25.88
| 默认用户名 | 默认密码 |
|---|---|
| 安全审计管理员(auditor) | !1fw@2soc#3vpn |
| 安全保密管理员(secadmin) | !1fw@2soc#3vpn |
| 系统管理员(sysadmin) | !1fw@2soc#3vpn |
| 安全审计管理员(auditadmin) | !1fw@2soc#3vpn |
不同型号设备有所区别,具体请电话咨询95015
2.网络配置
-
登录 sysadmin 用户
-
系统>网络配置,修改管理口IP地址为用户管理端的IP地址,并配置默认路由和DNS,配置完成后保存。
(1.该IP和网关需客户提供 2.由于管理IP改动,需重新登录WEB页)
-
系统>常用配置,管理IP配置完成后,设备自动生成服务器IP,如果配置多了IP,可以选择一个为本设备IP。
-
根据客户需求配置NTP。
2.审计策略配置
-
登录 secadmin 用户,配置>节点管理>本地事件采集器>配置>采集任务,根据用户的需求添加任务(这里要求收集日志信息,所以启用UDP514的端口)
-
资产>资产组>选中相应的组,添加保护对象,添加需要收集日志的设备。
(需要收集日志的设备需要客户提供)
-
要使日志审计能收到其他设备发来的日志,还需要在其他设备上配置syslog外发,指定端口(514)和IP(日志审计的IP)
五、结语
至此,配置完成,查看secadmin用户>概览,有日志流量即可
文章来源:https://blog.csdn.net/weixin_51057026/article/details/134962908
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!