1. 적용 가능한 시나리오
1. 대기업, 중견 기업에서 접속 사용자의 접속을 기록해야 하는 경우, 과거 3CDaemon을 사용했을 때는 소규모 네트워크에서만 사용할 수 있었는데, 기록되는 데이터의 양이 너무 많을 경우 본 예시에서는 크랙을 사용합니다. kiwi_syslog 버전.
2. 네트워크 감시 및 경찰이 불법 접속을 감지한 경우, 5배수를 기준으로 외부 네트워크 접속 로그 기록을 제공할 수 있습니다.
3. 인트라넷 사용자 수가 많아 외부망 접속이 복잡할 경우 일정기간 동안의 접속에 대한 전자기록을 보관합니다.
2. 토폴로지 다이어그램 및 아이디어
(1) 전제
1. 장치 간 지역 보안 정책이 허용되고 경로가 열려 있습니다
2. 내부 네트워크에서 DMZ로, DMZ에서 내부 네트워크로, 내부 네트워크에서 외부 네트워크로, 외부 네트워크에서 다시 내부로 3. 가상화 배포가 완료되었습니다.vm 서버는 인트라넷과 정상적으로 통신
이 가능합니다.가상화 배포에 대해 잘 모르시는 분들은 앞서 작성한 글을 통해 배우실 수 있습니다.
4. vm 서버 2008에서 wiki_syslog 서비스를 구성할 때 로그 수신을 위한 IP 주소를 지정합니다. 이는 방화벽에서 LSW1의 G1/02 및 G1/0/3에 바인딩된 논리 링크 인터페이스 Eth-trunk에 구성된 IP 주소입니다. 즉, Eth-트렁크는 레이어 3 인터페이스입니다. ( 실제 작동 중에 방화벽의 인터페이스는 레이어 2 모드로 구성됩니다. Eth-트렁크 링크 통합에 참여한 후 Eth-트렁크 논리 인터페이스를 레이어 3으로 구성합니다. 모드를 선택한 다음 레이어 3 모드에서 Eth-트렁크 인터페이스의 IP 주소를 구성합니다 .
(2) 아이디어
1. 로그 서버 wiki_syslog에서 로그를 수신하기 위한 인터페이스 구성 시, 서버에 접속하는 내부 네트워크의 네트워크 트래픽 로그와 Eth-trunk에서 네트워크 트래픽 로그를 수신할 수 있는 위에서 언급한 Eth-trunk 인터페이스의 IP 주소를 지정합니다. 내부 네트워크는 외부 네트워크에 액세스합니다.
2. 하나의 물리적 서버를 사용하고 이를 여러 VM 서버로 가상화한 후, 하나의 가상화된 물리적 서버에서 다양한 서비스를 실행할 수 있으며 서비스는 독립적으로 실행되며 서비스 간 포트 충돌이 없습니다.
3. 방화벽과 인트라넷 영역 사이의 링크는 Eth-trunk 이중 링크 집합을 채택하여 두 링크에서 네트워크 트래픽 부하 분산을 실행할 수 있을 뿐만 아니라 중복 역할도 수행합니다. 다른 링크는 여전히 정상적으로 작동할 수 있으므로 중단 없는 비즈니스가 보장됩니다.
3. 구성 프로세스(이 예에서는 wiki_syslog에 중점을 둡니다)
(1) 화웨이 방화벽 구성
1. Huawei Firewall에 로그인 후 상단의 System을 클릭한 후 왼쪽의 Log Configuration, Log Configuration을 선택합니다.
2. Huawei Firewall 보안 정책 구성(생략)
3. 라우팅 구성(생략)
2, 3단계는 다음을 기준으로 합니다. 특정 실제 환경, 네트워크 개방 작업을 완료합니다.구체적인 명령에 대해서는 이전에 작성된 기사를 참조하십시오.
(2) VM 서버 2008에 wiki_syslog를 설치합니다.
다운로드 주소: 링크: http://pan.baidu.com/s/1mhVr84S 비밀번호: ptas
1. 압축을 푼 후 kiwi_syslog_server_9.5.0.setup.exe를 실행합니다.
2. 아래와 같이 계약에 동의합니다.
3. 설치는 다음과 같습니다. 서비스로 수행 응용프로그램 형태로도 수행할 수 있으며 본 예에서 서비스를 선택하는 방법은 다음과 같습니다.
4. 통계 관리자를 수동으로 지정할 수도 있고, 로컬 시스템 통계를 사용할 수도 있습니다. , 아래 그림과 같이 기본 로컬이 선택됩니다.
5. kiwi_syslog 설치를 위한 WEB 액세스 방법을 선택하고 확인합니다. 아래와 같이
6. 설치할 구성 요소를 선택할 때 일반 기본 옵션인 NORMAL을 선택합니다. 7.
설치 경로를 지정합니다. 여기서는 기본적으로 C를 설치합니다. 디스크 경로 아래에서 설치 경로를 수정하려면 아래와 같이 찾아보기 버튼을 클릭합니다. (단, 로그를 저장하기 위한 경로 설정은 나중에 다른 디스크에 넣도록 하겠습니다. 로그 파일이 저장되는 경로는 다음 단계에서 안내하겠습니다.)
8. 설치 과정에서 .net을 설치하라는 메시지가 표시됩니다. Framework 3.5. Do you want to download and install it? (이 예에서는 .net Framework4.5.2를 수동으로 다운로드했으므로 설치만 하면 됩니다.) 9.
dotnetfx35.exe가 나올 때까지 기다립니다. 10. 아래와 같이
구성 요소 설치가 완료될 때까지 기다립니다.
11. 아래와 같이 WEB 접속 서비스 설치에 진입하고 다음을 클릭하여 다음 단계로 진행합니다.
12. 다음 구성 요소를 설치해야 합니다. 아래와 같이 첫 번째 항목을 건너뛰고 다른 버전이 발견되었습니다.
13. 이후 필수 구성 요소 완료 후 아래와 같이 기본 애플리케이션 설치가 자동으로 시작됩니다.
14. 아래와 같이 필수 구성 요소가 설치될 때까지 기다립니다.
15. 아래와 같이 kiwi_syslog의 웹 액세스 설치 마법사를 시작합니다.
16 17. 설치가
완료되면 아래와 같이 바탕화면, 시작 메뉴, 빠른 실행 표시줄에 kiwi_syslog 프로그램 아이콘이 표시되도록 합니다.
18. 설치 경로를 그림과 같이 지정합니다. 19. 아래와
같이 사이트의 루트 경로와 액세스 포트 번호를 지정합니다.
20. 아래와 같이 kiwi_syslog에 대한 웹 액세스를 위한 사용자 이름과 비밀번호를 지정합니다.
21. 수정으로 돌아가거나 아래와 같이 install을 클릭하여 설치를 시작합니다.
22. 아래와 같이 설치가 완료될 때까지 기다립니다.
23. 아래와 같이 마침을 클릭하여 설치를 완료합니다.
24. 열어보면 아래와 같이 평가판 기간이 14일인 것을 알 수 있으므로 다음 크래킹 과정을 완료해야 합니다
25. 작업 관리자를 열고, 그 과정에서 syslog로 시작하는 3개의 프로세스를 찾아, 26. 아래와 같이
등록 머신 폴더의 두 파일을 설치 디렉터리로 교체합니다.
27. 두 파일을 교체한 후 kiwi_syslog를 열고 다음에서 Enter License Details를 실행합니다. 도움말 메뉴에서 라이센스 계약을 입력합니다.
28. 인터넷 등록의 경우 오프라인 등록을 사용하지 않음을 선택하고 아래와 같이 다음을 클릭합니다.
29. 아래와 같이 고유 컴퓨터 ID 복사 버튼을 클릭하고 기계 코드를 복사합니다.
30. 기계어 코드가 클립보드에 복사되었다는 메시지가 표시되면 아래와 같이 확인을 클릭합니다.
31. 계산기를 실행하면 .net Framework 4.0 이상의 버전을 설치해야 한다는 메시지가 표시되므로 다음을 다운로드했습니다. .net Framework 4.5.2
32. 아래와 같이 .net Framework4.5.2를 설치하고 압축 해제를 시작합니다.
33. 아래와 같이 설치 프로그램을 입력합니다.
34. 아래와 같이 계약에 동의하고 설치합니다.
35.
36. .net Framework4.5.2 완료 설치 후 계산기를 실행하여 엽니 다 .
37. 위의 30단계에서 복사한 기계 코드를 Enter your Unique Machine ID:에 붙여넣고, 사용자 이름을 입력한 다음 이후 만료 날짜(즉, 만료될 때까지 kiwi_syslog가 실행되는 시점)를 지정하고, 생성 !을 클릭하고, 생성 라이센스 계약 파일
38. 생성된 라이센스 계약 파일 REPT.lic.lic를 아래와 같이 데스크탑에 저장합니다.
39. kiwi_syslog 소프트웨어로 돌아가서 찾아보기 버튼을 클릭하고 방금 데스크탑에 저장한 REPT.lic를 저장합니다. lic 라이센스 계약을 지정하고 아래와 같이 다음을 클릭합니다.
40. 라이센스 계약 파일을 가져온 후 아래와 같이 kiwisyslog 프로토콜이 활성화됩니다.
41. Finish를 클릭하면 kiwi_syslog 활성화가 완료된다.
42. kiwi_syslog를 연 후 도움말 메뉴에서 kiwi syslog 서버에 대해 실행하면 우리가 설정한 만료 날짜가 2088년 8월 1일인 것을 확인할 수 있어 활성화에 성공했음을 알 수 있다. .
(3) wiki_syslog 구성
1. wiki_syslog 로그 파일에 저장되는 단일 저장 로그 파일의 파일명, 경로, 크기를 설정합니다.
참고: 위 그림에서 12는 로그 서버에 저장되는 파일 수를 설정하는 것을 의미하며, 설정 가능한 최대 개수는 1,000개입니다. 이는 실제 네트워크에 따라 구성될 수 있습니다. 트래픽 구성은 일반적으로 반년에서 1년 동안 저장되며, 피크 기간 동안의 트래픽을 관찰하고 계산합니다. 이번 실제 전투에서는 20분 동안 300MB의 로그 파일 용량이 필요했는데, 이는 반년이면 약 4TB가 되는 셈이다.
2. 새 예약 작업을 생성합니다.
(1) 일정을 마우스 오른쪽 버튼으로 클릭하고 새 일정을 추가한 후 아래와 같이 새 예약 작업을 생성합니다.
(2) 일 단위로 7일마다 기록합니다.
Source 필드(로그를 임시 저장할 경로 설정)
Destination 필드(최종 로그 저장 디렉터리 설정)
설정이 완료되면 적용을 클릭한 후 확인을 클릭하여 종료하고 kiwi_syslog를 다시 시작하면 설정이 적용됩니다.
(3) 로그 파일을 영구 저장할 경로를 설정합니다.이 예에서는 C가 시스템 드라이브이므로 D 드라이브를 저장 대상으로 선택했습니다.로그 파일을 장기간 저장하면 가득 차서 오류가 발생할 수 있습니다. 다음과 같이 운영 체제 및 로그 서비스 시스템이 정상적으로 작동하지 않습니다. 그림:
3. 로그를 수신할 kiwi_syslog에 대한 프로토콜 및 포트 번호를 아래와 같이 구성합니다.
이 실제 전투에서는 Huawei 방화벽, UDP 프로토콜, 포트 514를 사용했습니다. 방화벽
데이터 인코딩의 내부 IP 주소를 입력했습니다. UTF-8을 선택하면 일부 중국어 출력이 왜곡되는 것을 방지할 수 있습니다.
4. 결과 확인
(1) 생성된 파일
文件名称与大小,每个文件以300MB的大小分开,若生成的文件太大,打开时所需占用的内存较多,打开的时间长,所以我们本次实战配置300MB的日志文件大小,就分隔到下一个文件,如下图:
(2) 메모장을 사용하여 로그 파일을 열면 내용은 아래와 같습니다.
(3) WEB을 통해 kiwi_syslog 서버에 접속하고, 서버의 IP + 포트 번호를 사용하여 아래와 같이 실시간 데이터를 봅니다.
이 예에서 접속 주소는
http://192.168.0.21:8088 입니다.
이번 글은 여기서 마치겠습니다. kiwi_syslog의 특정 매개변수 설정에 대해 더 많은 교류가 있기를 바랍니다.