商业源码 综合日志审计设备不可以通过什么协议来接收日志
综合日志审计设备不可以通过udp协议来接收日志。设备侧配置日志要发送日志到日志服务器的时候需要配置源接口与CSAP-SA-M综合日志审计平台的日志源相同,设备侧日志发送的源接口是可选的,在这里必须要填写。
apt有日志审计功能。apt是一个客户/服务器系统,而这种客户/服务器系统都是会配备日志审计功能的,可以防止黑客攻击,所以apt有日志审计功能。日志审计功能是系统通过配置某些技术手段如端口镜像等将需要审计的日志信息发送到日志审计安全设备上,日志审计通过此手段进行日志的采集。
创建审计日志目录
代码如下:
mkdir -p /var/log/user_audit
创建用户审计日志文件;
代码如下:
touch /var/log/user_audit/user_auditlog
将文件赋予低权限用户
代码如下:
chown nobody:nobody /var/log/user_audit/user_auditlog
赋予所有人写权限
代码如下:
chmod 002 /var/log/user_audit/user_auditlog
赋予所有用户追加权限
代码如下:
chattr +a /var/log/user_auditlog
编辑/etc/profile 增加以下内容;
代码如下:
export HISTORY_FILE=/var/log/user_audit/user_auditlog
export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i |awk "{print /$1/" /"/$2/" /"/$5}")
实例
多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。
环境:centos55 X86_64 2台 #备注:把两台主机的防火墙和selinux关闭。在进行操作。
(一)日志服务器IP:1002164
(二)客户端服务器IP:1002165
1先在日志服务器1002164主机上操作:
代码如下:
[root@MySQL-B ~]# echo "info /var/log/client" /etc/syslogconf
#配置日志保存文件,把该文件第一行的info 提出来。单独放一行。
[root@MySQL-B ~]# service syslog restart #重启syslog日志服务。
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
[root@MySQL-B ~]# vim /etc/sysconfig/syslog #接收客户端写入。
把SYSLOGD_OPTIONS="-m 0" 更改为:SYSLOGD_OPTIONS="-m 1 -r"
2然后在客户端服务器1002165主机上操作:
代码如下:
[root@MySQL-A ~]# vim /etc/profile #添加如下行。
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
[root@MySQL-A ~]# source /etc/profile #重新手动source更新。
21客户机修改日志服务器1002165主机上操作:
代码如下:
[root@MySQL-A ~]# echo "1002164 logserver" /etc/hosts #日志服务器地址。
[root@MySQL-A ~]# echo "info @logserver" /etc/syslogconf
#将info日志推送到日志服务器,把该文件第一行的info 提出来。单独放一行。
[root@MySQL-A ~]# /etc/initd/syslog restart #重启syslog日志。
Shutting down kernel logger: [ OK ]
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
Starting kernel logger: [ OK ]
3测试,在客户端主机上1002165主机上测试并操作:
代码如下:
[root@MySQL-A ~]# test
[root@MySQL-A ~]# echo "this is a test 1"
this is a test 1
[root@MySQL-A ~]# echo "this is a test 2"
this is a test 2
[root@MySQL-A ~]# echo "this is a test 3"
this is a test 3
[root@MySQL-A ~]# echo "this is a test 4"
this is a test 4
[root@MySQL-A ~]# echo "this is a test 5"
this is a test 5
4返回日志服务器1002164主机上看结果,是否记录下来客户端主机执行的操作
代码如下:
[root@MySQL-B ~]# cat /var/log/client
Apr 6 10:37:55 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test1"
Apr 6 10:37:59 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test2"
Apr 6 10:38:01 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test3"
Apr 6 10:38:04 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test4"
Apr 6 10:38:06 1002165 root: [euid=root]:root pts/1 Apr 6 10:37 (1002188):[/root]echo "this is a test5"
返回参数分别为:#操作时间 #操作IP #有效用户 #实际登陆时间 #路径 #使用的命令
这篇演示如何通过syslog将Linux和Unix的日志发送到指定的日志审计服务器中。
假设日志服务器IP为:192168100100,需要发送入职的服务器与这台日志服务器之间,路由可达,并有访问权限,请看下面的实例:
服务重启后,就能够在日志服务器上查看到对应的日志输出了,不需要其他多余的配置。
假设日志服务器IP为:192168100100,需要发送入职的服务器与这台日志服务器之间,路由可达,并有访问权限,请看下面的实例:
我们自己用的是聚铭日志审计系统,日志解析采用脚本化定义,除内置主流设备/
系统日志
解析脚本外,用户可以自定义脚本。满足多种响应需求,如邮件、执行外部程序、Syslog等。
0条评论