利用kiwi syslog搭建syslog服务器配置方法

kiwi自由版可以免费使用,但功能有限,不过基本的需求已经可以解决了。如果需要用完全功能的需要注册,下载:http://www.kiwisyslog.com
支持的设备有:
ciscoRouter
ciscoPIX
cisco交换机
UNIX主机
3COM dlink的网络设备
netscreen防火墙 Symantec防火墙和VPN
FREESCO的路由器和防火墙
Intertex ADSL路由
HP JetDriect printer
下面给两个设备配置实例:
一 netscreen防火墙日志配置实例(我在ns500上亲自操作过):
netscreen的flash memory只保存4096条日志,但在网络访问量大的时候根本没用,最多一两天就被后面
的日志给冲掉,而且当防火墙重新启动不能保存日志。
web操作步骤:
1 用admin用户登陆web界面
2 选择Configuration->;Report Settings->;Syslog
3 点击’Enable Syslog’
4 假如你要把所有的传输日志全部记录,最好还要选择’Include Traffic Log’
5 输入日志服务器的地址和端口(udp端口514)
这个是一个叫Kevin Branch的友好提示:
所有的Netscreen policies (permit/deny/tunnel)最好全部有log的默认选项,这样可以全部如实录并传
送到日志服务(假如netscreen设置允许会话没有被指定拒绝)
“Log Packets Terminated to Self” 选项与访问netscreen的会话无关,但最好还是记录所有的会话给
netscreen自己保存,否则哪怕仅仅是管理防火墙,也会显示来自Internet的消息。
命令行操作步骤:
1 set syslog config ip_address security_facility
2 local_facility
3 set syslog enable
4 set syslog traffic
5 set log module system level level destination syslog
提示:当用set syslog config命令需要你定义一个安全facility(不知道怎么翻译,我理解为安全级别),你
可以用set syslog命令提示选项来看 security_facility 和 local_facility。
必须输入被设置的每个消息的安全层,选项如下:级别是从高到低
emergency (紧急事件)
alert (警报)
critical (危机)
error (错误)
warning (预告警)
notification (通知)
information (信息)
二 cisco router日志配置实例:
首先telnet或者用console连接到目标路由器并进入enable模式。在命令行下输入下面的命令:
Config term
Logging on
Logging Facility Local7 ‘注释:这个facility可以自己定义的
Logging IP Address ‘注释:填写安装了Kiwi Syslog Daemon的ip地址或者主机名
End
日志服务器集中负责日期的收集、分析、报告和日志安全管理,能够有效的协助系统管理人员和网络管理人员进行系统管理维护、故障定位,发现安全风险。通过日志收集代理程序收集各种平台和产品的操作系统日志、数据库日志、网络设备日志,转换成统一的格式后进行集中存储和风险,并利用预先设置的警告规则向管理员发出警告。用户可以方便的查询并生成报表、报告。安全管理员定期审阅日志,可以全面的了解网络安全形势,针对有问题的特定系统和机器采取相应措施,并将处理情况反馈领导和用户,形成一个良性循环的机制。
为了便于配置各类产品的SYSLOG服务,现就网络、安全等提出参考配置。
UNIX系统仅支持接受SYSLOG,下边的UNIX配置是配置SYSLOG服务将其他设备日志记录到UNIX主机的配置。
2. 网络设备
2.1. CISCO路由器
device(config)#logging on
device(config)#logging a.b.c.d //日志服务器的IP地址
device(config)#logging facility local1 //facility标识, RFC3164 规定的本地设备标识为 local0 – local7
device(config)#logging trap errors //日志记录级别,可用”?”查看详细内容
device(config)#logging source-interface e0 //日志发出用的源IP地址
device(config)#service timestamps log datetime localtime show-timezone //日志记录的时间戳设置,将时间标记以MMM DD HH:MM:SS的格式添加,可根据需要具体配置
device#sh logging //检验
2.2. CISCO交换机
IOS命令行交换机的配置:(同Cisco路由器配置一样)
device(config)#logging on
device(config)#logging a.b.c.d //日志服务器的IP地址
device(config)#logging facility local1 //facility标识, RFC3164 规定的本地设备标识为 local0 – local7
device(config)#logging trap errors //日志记录级别,可用”?”查看详细内容
device(config)#logging source-interface e0 //日志发出用的源IP地址
device(config)#service timestamps log datetime localtime show-timezone //日志记录的时间戳设置,将时间标记以MMM DD HH:MM:SS的格式添加,可根据需要具体配置
device#sh logging //检验
SET命令行交换机的配置:
Console> (enable) set logging server enable
Console> (enable) set logging server a.b.c.d
Console> (enable) set logging server facility local5
Console> (enable) set logging server severity 5
2.3. 华为交换机
Quidway(config)# logging on //开启日志系统
Quidway(config)# set logging host 202.38.1.10 language English //将IP地址为202.38.1.10的主机用作日志主机,设置严重等级阈值为informational,输出语言为英文
Quidway(config)# set source rstp channel 5 log level informational
Quidway(config)# set source ip channel 4 log level informational
2.4. 华为路由器
Quidway(config)# logging on //开启日志系统
Quidway(config)# logging host a.b.c.d English //将IP地址为a.b.c.d的主机用作日志主机设置严重等级阈值为informational 输出语言为英文模式
Quidway(config)#logging host { local | ip-address }{ emergencies | alerts | critical | errors | warningsnotifications | informational | debugging }//允许向日志主机输出带优先级的日志信息
3. UNIX操作系统
3.1. HP-UX
Before you can send system log messages to a UNIX syslog server, you must configure the syslog daemon on the UNIX server.
Make sure that your syslogd is started with -r argument. -r, this option will enable the facility to receive message from the network using an Internet domain socket with the syslog services. The default setting is not enabled.
Step 1 Add a line such as the following to the file /etc/syslog.conf:
user.debug /var/log/myfile.log
——————————————————————————–
Note There must be five tab characters between user.debug and /var/log/myfile.log. Refer to entries in the /etc/syslog.conf file for further examples.
——————————————————————————–
Step 2 Create the log file by entering these commands at the UNIX shell prompt:
$ touch /var/log/myfile.log
$ chmod 666 /var/log/myfile.log
Step 3 Make sure the syslog daemon reads the new changes by entering this command:
$ kill -HUP Qcat /etc/syslog.pid
3.2. IBM AIX
跟HP和SUN的类似。
3.3. SUN Solaris
配置示例是在SunOS 4.0 上完成的在其它厂商的Unix 操作系统上的配置
操作基本与之相同部分命令细节上的差异请参考各自的命令手册。
(1) 以root 超级用户的身份执行以下命令
# mkdir /var/log/Quidway
# touch /var/log/Quidway/config
# touch /var/log/Quidway/security
(2) 以root 的身份编辑文件/etc/syslog.conf 加入以下选择/动作组合
selector/action pairs
# Quidway configuration messages
Local4.crit /var/log/Quidway/config
说明:
在编辑/etc/syslog.conf 时应注意以下问题:注释只允许独立成行并以字符# 开头,选择/动作组合之间必须以一个制表符分隔而不能输入空格,在文件名之后不得有多余的空格。
(3) 当建立了日志文件config 和security 且/etc/syslog.conf 文件被修改了之后应通过执行以下命令给系统守护进程Syslogd 一个HUP 信号来使Syslogd 重新读取它的配置文件/etc/syslog.conf
# ps -ae | grep syslogd
147
# kill -HUP 147
进行以上操作之后路由器就可以在相应的日志文件中记录信息了。
说明:
综合配置Facility 设备名称Severity 严重等级阈值Filter 过滤器,及syslog.conf 文件可以进行相当细致的分类从而达到信息筛选的目的。
4. Linux操作系统
用vi命令编辑 /etc/sysconfig/syslog,把 SYSLOGD_OPTIONS=”-m 0″ 修改为 SYSLOGD_OPTIONS=”-r -m 0″ 然后重新启动syslog 进程 /etc/rc.d/init.d/syslog restart
vi 编辑/etc/rc.conf中添加
syslogd_enable=”yes”
5. 安全设备
5.1. CISCO PIX防火墙
pix(config)#logging on
pix(config)#logging host in_if_name a.b.c.d
pix(config)#logging message level levelid
5.2. Netscreen防火墙
set syslog config a.b.c.d auth/sec local0
set syslog vpn
set syslog enable
5.3. 天融信防火墙
天融信“网络卫士”系列防火墙都配有专门的日志服务器和审计软件,这里所描述的防火墙日志是指通过防火墙查看日志,日志的内容是暂存在防火墙上的。日志所包含的内容没有专门的日志服务器所提供的内容详细,但也能供用户对通过防火墙的信息及对防火墙的操作做一个大致的了解,同时能为用户查找攻击者提供重要的信息。

发表评论

电子邮件地址不会被公开。 必填项已用*标注