1.前言
近期做个网络安全合规项目,预算有限,故尝试找一款相对好用的免费或者开源的日志审计系统,经过查找,暂未返现好用的开源日志审计(至少得有GUI界面以及具备良好的条件搜索),经过查找目前kiwi-syslog-server能满足我基本的需求, kiwi-syslog-server 不是开源产品,但是有破解版,应对网络等保合规的日志审计要求是可以满足了。故此文章分享如何搭建 kiwi-syslog-server 的日志审计平台。需要做网络等保合规的朋友们,来溜溜!
2.工具简介
Kiwi Syslog 是市场上最值得信赖的基于 Windows 的 syslog 服务器解决方案之一。该产品的安装与配置非常简单,提供功能丰富的解决方案来接收、记录、显示并转发各种网络设备(例如路由器、交换机、Unix 主机以及其它启用 syslog 的设备)的 syslog 消息。
- 接收并管理您网络设备中的 syslog 消息
- 同时显示多个窗口中的 syslog 消息
- 按主机名称、主机 IP 地址、优先级、消息文本关键字或时间来过滤消息
- 提供基于消息内容、消息量或元数据的高级警报
- 自动执行基于警报的操作,包括发送邮件、转发消息、触发声音警报、发送 SNMP 陷阱消息与寻呼 IT 人员
- 生成趋势分析图表与电子邮件 syslog 流量统计
亮点:
·很容易的基于文本字符串来搜索来找到一个特定的日志信息,从而通过强大的功能网络从任何地方查看日志。
·快速筛选结果,建立动态过滤筛选的信息。
·在现有产品得到更新时,可以立即看到通知。
·过滤信息和创建先进的具有高级脚本处理警报。
·登录到任何与 ODBC 数据库日志。
·附表归档和日志维修使用自动日志归档。
·可同时在多个窗口查看 syslog 消息。
·自动警报基础上执行,包括发送电子邮件,转发邮件的行动,触发声响报警器,发送 SNMP Trap 消息,并传呼IT人员。
·作为许多高级选项之一,在转发信息上保留原有的 IP 源。
·用集成的日志转发器,从 Windows 服务器转发 Windows 事件日志到 kiwi Syslog 服务器。
·生产趋势分析图表和电子邮件系统日志流量统计。
3.工具安装
工具下载连接:
3.1 日志平台搭建
在安装KIWI日志平台前,请先安装NET Framework3.0 以及NET Framework 2.0
解压文件:kiwi_syslog_server(这个安装到服务器).zip,并打开Kiwi_Syslog_Server_9.5.0.setup.exe进行下一步安装,安装过程默认下一步即可,
提示1:在安装到这一步时,可以考虑是否安装网页服务,网页服务主要是提供通过网页查看日志平台的日志
![图片[1]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126212943.jpg)
当你下一步全部安装完成,先结束syslod_service进程(接下来准备通过激活工具进行日志软件激活)
![图片[2]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126213253.jpg)
将“Keygen注册机”文件夹中SolarWinds.Licensing.Framework.dll和ufmod.dll复制到软件安装目录“C:\Program Files (x86)\Syslogd”覆盖
打开桌面上的Kiwi Syslog Server Console程序
![图片[3]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwl.jpg)
![图片[4]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126213536.jpg)
![图片[5]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126213627.jpg)
然后打开刚才的“Keygen注册机”文件夹的“keygen.exe”
将ID复制进去,username随便填,时间默认就行
![图片[6]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126213730.jpg)
然后再回到刚才的软件点导入,选择刚才导出的文件
然后点完成后就会出现一个序列号的弹框,点Close关闭就行
这样安装和注册就已经完成了
![图片[7]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwl_20211126213844.png)
1、点击左上角的File>>Setup
2、选择左侧Log to file
![图片[8]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126214056.jpg)
kiwi syslog软件收集的SNMP数据默认的保存方式是:以日期时间为序,在一个文件中保存所有设备的日志,每小时生成一个文件。这样的保存方式是很不利于查询各设备的log信息的,所以在比较新的版本中增加了以设备IP地址分开保存的方式,但软件上的设置选项并未明确提示,所以一般很容易忽略掉。应在log to files的选项卡中的保存路径和文件名选项中手工键入:\sys%IPAdd4.txt 如下图
![图片[9]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126214139.jpg)
再点击左侧Shedules,然后点击左上角的“新建”进行配置计划任务
Schedule字段添加日志计划频率(按小时算、每6个小时记录一次,一天记录4次)
Source字段(设置临时存储日志的路径)
Destination字段(设置最终日志存储目录)
![图片[10]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126214247.jpg)
![图片[11]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126214325.jpg)
![图片[12]-【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署-学玩技术网](https://www.5ixwboke.top/wp-content/uploads/2021/11/kiwi_20211126214358.jpg)
3.2 windows日志投送配置
登录需要投递日志的windows终端
解压:Evtsys_4.5.1_32-Bit-LP(这个是windows系统使用).zip,里面包含32位,以及64位安装程序
开始>运行>输入CMD回车进入Windows命令提示符,切换到对应安装程序位置
输入:evtsys.exe -i -h 192.168.100.1;
注释:
-i 表示安装成系统服务
-h 指定log服务器的IP地址
这里的ip地址改成刚配置好Kiwi_syslog的服务器地址
然后再启动该服务
net start evtsys
启动后会有中文提示:服务已经启动成功
卸载该服务的命令是
net stop evtsys
evtsys -u
到此,windows日志接入完成,可以登录kiwi服务器查看
3.3 常见网络设备投递日志配置
1、 Cisco客户端设备配置
进入到conf模式配置
R1#configure t
R1(config)#logging on #开启日志服务
R1(config)#logging host 192.168.100.100 #定义日志服务器IP地址
R1(config)#logging facility local7 #定义facility级别,默认为7
R1(config)#logging trap 7 #定义severity级别(0-7;日志记录级别 7表示全部启用)
R1(config)#logging source-interface e0 #日志发出使用的端口
R1(config)#exit
R1#show logging
2、 Huawei设备举例
system-view
[Sysname] info-center enable #开启信息中心
[Sysname] info-center loghost 192.168.100.100 channel loghost #指定向日志主机输出日志信息的通道为 loghost 通道
[Sysname] info-center source default channel loghost debug state off log state off trap state off #关闭所有模块日志主机的 log、trap、debug 的状态(注意:由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为loghost )上log、trap、debug 状态设为关闭,再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态)。
[Sysname] info-center source default channel loghost log level informational #允许输出信息的模块为所有模块 source:default
display channel loghost #查看通道状态
- 最新
- 最热
只看作者