配置日志服务器和ASA,将ASA的日志发送到日志服务器,并使用Splunk分析、管理ASA日志
网络拓扑图
网络角色功能与版本
LOG:日志服务器,ubuntu 20.04 server
FW:防火墙,Cisco asav 9.17
Other:控制Splunk web端,win 10
步骤
1、LOG开启远程日志服务,在8090/UDP端口接收其他主机发送的日志,并存储在指定目录。
2、FW发送日志给LOG的8090/UDP端口。
3、LOG安装Splunk,使用Other控制Splunk监听防火墙日志所在的目录。
开启远程日志服务
Rsyslog 服务是对 syslog 的现代改进后的守护进程,syslog只允许在本地管理日志。使用 rsyslog 守护进程,可以发送本地日志给远程Linux服务器,也可以接收远程设备的日志。
Rsyslog默认情况下预装在大多数现代 Linux 发行版上,例如 Ubuntu 和其他基于 Debian 的系统。
编辑/etc/rsyslog.conf
取消这两行注释,把端口号改成8090: module(load="imudp") input(type="imudp" port="8090") $template remote_logs, "/var/log/remote/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%-%$HOUR%.log" ##定义模板,指定日志文件存放的位置 *.* ?remote_logs ##定义一条规则,说明接收什么类型的日志 [设备].[消息等级] ?[模板] ##说明在8090端口监听到的所有设备的所有消息等级的日志根据主机名存放在/var/log/remote目录
放行端口:ufw allow 8090/udp
重启rsyslog:systemctl restart rsyslog
推送防火墙日志
a) 推送防火墙的日志到 LOG 服务器的 8090/UDP 端口上。 FW(config)# logging enable FW(config)# logging host dmz 172.16.20.3 udp/8090 b) 设置日志记录缓存区为:32000 FW(config)# logging buffer-size 32000 c) 设置日志记录级别为:debugging FW(config)# logging buffered debugging FW(config)# logging trap debugging ping一下FW,LOG服务器成功接收到asa的日志
Splunk管理防火墙日志
Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
splunk有上传、监视本地、来自转发三种添加数据的方式。
安装Splunk
安装
dpkg -i splunk_package_name.deb 启动 /opt/splunk/bin/splunk start 设置开机自启动 /opt/splunk/bin/splunk enable boot-start
Splunk监听的端口
8000:Splunk web端
8089:管理Splunk forwarder(本次实验用不到)
放行8000端口
ufw allow 8000/tcp
Other登录splunk web端
监视防火墙日志
splunk监视存储着FW(asa)日志的目录 成功索引
参考链接
第14篇:Linux 日志管理--rsyslog规则详解 - 知乎 (zhihu.com)
https://www.packetswitch.co.uk/cisco-asa-syslog-with-splunk/
(65条消息) Linux rsyslog记录指定的设备IP存放到指定的目录位置_arelinzhi的博客-CSDN博客
标签:8090,FW,配置,rsyslog,splunk,Splunk,审核,网络设备,日志 From: https://www.cnblogs.com/jimmy-hwang/p/17319787.html