首页 > 其他分享 >网络设备安全审核策略配置

网络设备安全审核策略配置

时间:2023-04-15 14:56:07浏览次数:52  
标签:8090 FW 配置 rsyslog splunk Splunk 审核 网络设备 日志

配置日志服务器和ASA,将ASA的日志发送到日志服务器,并使用Splunk分析、管理ASA日志

 

网络拓扑图

  

 

网络角色功能与版本

  LOG:日志服务器,ubuntu 20.04 server

  FW:防火墙,Cisco asav 9.17

  Other:控制Splunk web端,win 10

  

步骤

1、LOG开启远程日志服务,在8090/UDP端口接收其他主机发送的日志,并存储在指定目录。

2、FW发送日志给LOG的8090/UDP端口。

3、LOG安装Splunk,使用Other控制Splunk监听防火墙日志所在的目录。

 

开启远程日志服务

Rsyslog 服务是对 syslog 的现代改进后的守护进程,syslog只允许在本地管理日志。使用 rsyslog 守护进程,可以发送本地日志给远程Linux服务器,也可以接收远程设备的日志。

Rsyslog默认情况下预装在大多数现代 Linux 发行版上,例如 Ubuntu 和其他基于 Debian 的系统。

编辑/etc/rsyslog.conf

取消这两行注释,把端口号改成8090:
module(load="imudp")
input(type="imudp" port="8090")

$template remote_logs, "/var/log/remote/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%-%$HOUR%.log"    ##定义模板,指定日志文件存放的位置
*.*  ?remote_logs      ##定义一条规则,说明接收什么类型的日志
[设备].[消息等级] ?[模板]
    
##说明在8090端口监听到的所有设备的所有消息等级的日志根据主机名存放在/var/log/remote目录  
放行端口:ufw allow 8090/udp
重启rsyslog:systemctl restart rsyslog

 

推送防火墙日志

a) 推送防火墙的日志到 LOG 服务器的 8090/UDP 端口上。   FW(config)# logging enable   FW(config)# logging host dmz 172.16.20.3 udp/8090   b) 设置日志记录缓存区为:32000   FW(config)# logging buffer-size 32000   c) 设置日志记录级别为:debugging   FW(config)# logging buffered debugging   FW(config)# logging trap debugging   ping一下FW,LOG服务器成功接收到asa的日志   

 

Splunk管理防火墙日志

Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。

splunk有上传、监视本地、来自转发三种添加数据的方式。

安装Splunk

安装
dpkg -i splunk_package_name.deb 启动 /opt/splunk/bin/splunk start 设置开机自启动 /opt/splunk/bin/splunk enable boot-start

Splunk监听的端口

  8000:Splunk web端

  8089:管理Splunk forwarder(本次实验用不到)

放行8000端口

ufw allow 8000/tcp

Other登录splunk web端

 

监视防火墙日志

splunk监视存储着FW(asa)日志的目录    成功索引   

 

参考链接

第14篇:Linux 日志管理--rsyslog规则详解 - 知乎 (zhihu.com)

https://www.packetswitch.co.uk/cisco-asa-syslog-with-splunk/

(65条消息) Linux rsyslog记录指定的设备IP存放到指定的目录位置_arelinzhi的博客-CSDN博客

 

标签:8090,FW,配置,rsyslog,splunk,Splunk,审核,网络设备,日志
From: https://www.cnblogs.com/jimmy-hwang/p/17319787.html

相关文章

  • 群晖DSM920配置邮件服务
    1163邮箱设置  2生成授权码  3群晖设置邮件服务 ......
  • mac rime输入法配置
    https://zhuanlan.zhihu.com/p/616944025https://zhuanlan.zhihu.com/p/265794084顏色設置:https://www.w3schools.cn/html/html_colors_hex.asp#:~:text=%E5%8D%81%E5%85%AD%E8%BF%9B%E5%88%B6%E9%A2%9C%E8%89%B2%E7%94%B1%23,%E6%8C%87%E5%AE%9A%E9%A2%9C%E8%89%B2%E7%9A%84%......
  • SpringBoot配置了数据库依赖 报错: Failed to configure a DataSource: 'url' attrib
    错误2023-04-1511:56:16.025INFO12028---[restartedMain]ConditionEvaluationReportLoggingListener:ErrorstartingApplicationContext.Todisplaytheconditionsreportre-runyourapplicationwith'debug'enabled.2023-04-1511:56:16.060E......
  • git及ssh配置
    gitconfig--globaluser.namegerrit用户名gitconfig--globaluser.email邮箱地址gitconfig--globalcore.editorvimgitconfig--globaldiff.toolvimdiffssh-keygen-trsa-b4096-C"注释字符"cat.ssh/id_rsa.pub然后把生成的Key添加到gerrit设置的SSH......
  • Hololens2 开发(仿真器)配置
    Hololens2开发(仿真器)配置参考链接1、hololens开发(仿真器)环境配置2、visualstudio2019安装后添加工作负载3、HoloLens仿真器手把手教程4、HoloLens开发指南---模拟器介绍5、Unity开发Hololens2—环境配置-zylyehuo-博客园(cnblogs.com)教程配置win11专业版......
  • 如何配置.h头文件include“”相对路径
    编译工程时,找的是当前main.c文件下的.h文件,如果当前路径下没有就会报错,当前路径用.\表示,上一级目录用..\表示。如果你的main.h文件在main.c的上一级目录中Include文件夹内,这样来表示:#include“..\Include\main.h”总结:编译工程时找的是当前程序文件目录下的.h文件。—————......
  • w11配置子系统
    笔记软件在2023/4/159:53:19推送该笔记安装docker参考1dockerrun--rm-it--gpusallyyelder/mypython-env:v2/bin/bash下载安装子系统(CUDA)参考2开启适用于Linux的Windows子系统开启Hyper-Vwsl_update_x64下载记得更新#cudaexportLD_LIBRARY_PATH=/usr/local/cu......
  • Nacos笔记(三):Nacos配置持久化
    官方文档:https://nacos.io/zh-cn/docs/deployment.html。1、创建数据库并初始化Nacos默认使用derby数据库,每次创建一个Nacos实例就会有一个derby。Nacos集群部署,有多个Nacos节点,会出现数据一致性问题,Nacos提供了外部数据库统一数据管理MySql。在nacos的conf文件夹......
  • Maven配置阿里云的镜像以及配置私服(Nexus)中中央仓库的远程地址(阿里云)
    一、Maven配置阿里云的镜像只需将maven安装目录\conf\settings.xml中加入以下代码即可<mirror><id>alimaven</id><name>aliyunmaven</name><url>http://maven.aliyun.com/nexus/content/groups/public/</url><mirrorOf>central</m......
  • nginx、PHP安装配置
    1、安装nginxsudoapt-getinstallnginx2、配置nginxsudovim/etc/nginx/sites-available/defaultserver{ listen80; #443是https的端口,如果你用的是http就用‘80’代替‘443ssl’ #server_namewebofhu.......