搭建syslog日志服务器
小记
◇ 测评要点
a) 重点核查交换机、路由器等网络设备是否开启了logging或者info-center。如果网络内部有日志分析产品,还需检查网络设备是否已经正确配置了syslog远程传送;
b) 重点核查交换机、路由器等网络设备的审计功能是否覆盖到了所有登录网络设备的用户,包含采用vty、console、web等线路登录的用户;(一般情况下思科、华为、华三等网络设备本身的安全审计功能开启后,审计策略会覆盖到所有用户)
c) 重点核查交换机、路由器等网络设备的登录、登出、配置变更等重要用户行为和用户事件是否能够被审计记录。(一般情况下思科、华为、华三等设备本身的日志审计策略可以基本符合要求)
◇ 测评访谈内容
a) 访谈网络管理员是否开启了交换机、路由器的日志审计功能;
b) 访谈网络管理员是否采用第三方的日志分析产品进行日志收集;
c) 访谈网络管理员是否采用安全运维管理系统进行网络设备的远程管理。
◇ 测评检查内容
a) 登录交换机、路由器等网络设备,输入“用户名+口令”,进入特权模式(思科设备需要进入特权模式,华为、华三不需要)。采用“日志配置查看命令”检查交换机是否开启安全审计功能(默认开启)、是否配置了日志远程传送。
-
这里使用2008R2 作为syslog服务器端
-
客户端配置centos7为例发送syslog
-
日志服务器查看日志
-
使用GNS3将交换机日志发送到日志服务器中
参考文章
https://www.xiazaiba.com/html/77988.html
https://blog.csdn.net/sgabdfgdf/article/details/127781994
https://cloud.tencent.com/developer/article/2130218
https://www.emulatedlab.com/thread-1561-1-1.html
原文始发于微信公众号(echoabced):搭建syslog日志服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论