環境紹介
CPU:8コア、メモリ:16GB、ハードディスク:100GB
オペレーティング システムのバージョン: CentOS-7-x86_64-DVD-2003
プラットフォームバージョン:Honghu 2.7.0
コンポーネントのインストール
設置環境サポート確認
Honhu Computing Engine はベクトル計算を高速化するために AVX2 高度な命令セットを使用するため、Honghu は AVX2 命令セットをサポートする CPU 上で実行する必要があります。インストールする環境のCPUがAVX2命令セットをサポートしているかどうかは、以下のコマンドで確認できます。
ファイアウォールをオフにする
コンソールに 2 つのコマンド [systemctl disable firewalld.service] と [systemctl stop firewalld.service] を入力してファイアウォールを閉じ、[firewall-cmd --state] を使用してファイアウォールの実行ステータスを表示します。
ドッカーをインストールする
Honhu プラットフォームをインストールする
ダウンロードしたhonghu-2.7.0*.tgzファイルとライセンスファイルをcentosサーバーにアップロードし、/optディレクトリに解凍します。
FTPサイトまたはhttpサイトを構築してアップロードできます
紅湖プラットフォームにログイン
https://IP:18080 (デフォルトのポート 18080、デフォルトのアカウント: admin、パスワード:changeme)
ログ収集
データインポート方法
Honhu データ プラットフォームは、Web ページを介した一般的に使用されるファイルのアップロードから、さまざまなデータ収集エージェントのサポートまで、すぐに使用できるさまざまなデータ インポート方法を提供します。ユーザーは、さまざまなシーンの状況に応じて、適切なデータインポート方法とモジュールを柔軟に選択できます。
データのインポートは通常、プッシュ (Push) とプル (Pull) の 2 つのタイプに分けられます。
· プッシュ方式とは、外部システムがHonghu Data PlatformのAPIインターフェースを呼び出して、データをプラットフォームにアクティブに送信することを意味します。
· プルの方法は、特定のデータ収集プログラムを使用し、プログラム内で収集タスクを設定し、収集するデータを Yanhuang データ プラットフォームにインポートして保存します。
1. プッシュ データ アクセス方式の場合、Honghu Data Platform はサポートできます。
●ファイルのアップロード
●API経由でデータをインポート
●API経由でデータをインポート
●検索文によるデータのインポート
●外部データソースからデータをインポート
2. プルデータインポート方式では、ユーザーは使い慣れたデータ収集エージェントを柔軟に選択でき、エージェントの収集タスクを設定することで、ターゲットマシン上のデータ収集と前処理がHonghu Data Platformに送信されます。
●Vector経由でデータをインポート
データセットを作成する
データセットの作成: 名前: syslog
ベクターを設定し、データセットスコープ「syslog」を選択します
ベクター設定ファイルを変更する
FortiGate ファイアウォールのログ収集
ファイアウォール ログ設定: サードパーティのログ ストレージを選択し、syslog を通じてリモートの Honhu プラットフォームにログを送信します。
ログ収集ステータスを表示します。
一定期間のログ収集が完了すると、ログが収集されたことがわかります。
FortiGate ファイアウォール ログ監査レポート
ファイアウォール概要図表示
ファイアウォールの数を数えて定義する
クエリコマンド
ファイアウォール ユーザーのログイン時間をカウントして定義する
主にファイアウォールのログイン状態、どのユーザーがログインしたか、何回ログインしたかを問い合わせます。
クエリコマンド
ファイアウォール構成の変更の数を数えて定義する
主に、ファイアウォール構成の変更ステータス、どのユーザーが変更を加えたか、および変更の数を照会します。
統計を収集し、ファイアウォール アラーム タイプを定義する
主にファイアウォール アラームのステータス、アラームの種類、統計の数を照会します。
ファイアウォールのログの傾向と詳細
統計的なファイアウォール ログオン傾向
主にファイアウォールへのログイン状況や傾向を問い合わせます
ファイアウォールのログイン詳細
主に、ファイアウォールのログイン ステータス、ログインするユーザー、およびログイン時間、送信元アドレスなどのログイン方法を照会します。
ファイアウォール構成変更の傾向と詳細
主に、どのユーザーが設定変更を行ったか、変更内容など、ファイアウォールの設定変更の傾向や詳細を問い合わせます。
ファイアウォール構成変更の傾向
ファイアウォール構成変更の詳細
ファイアウォールセキュリティアクセスイベント
主に、送信元アドレス、宛先アドレス、アクセス プロトコル、ポート番号、その他の情報を含むファイアウォール セキュリティ アクセス イベントをクエリします。
フレーズを確認します。
ファイアウォール障害の傾向と詳細
主に、タイプ統計、アラーム レベル、タイプ、モジュールなどを含む、ファイアウォール障害の傾向と詳細をクエリします。
ファイアウォール障害の傾向
ファイアウォール障害の詳細
ファイアウォール IPS イベント
主に、レベル、送信元アドレスと宛先アドレス、ポリシーアクション、サービスタイプ、アクセスドメイン名、その他の情報を含む、ファイアウォール IPS イベントの詳細を照会します。
クエリコマンド
ファイアウォール Web 保護イベント
主に、レベル、送信元アドレスと宛先アドレス、アクション、ポリシー ID、ポリシー名、サービス タイプ、アクセス ドメイン名、その他の情報を含む、ファイアウォール Web 保護イベントの詳細をクエリします。
クエリコマンド
