1. 適用可能なシナリオ
1. 大企業や中堅企業がアクセスユーザーのアクセスを記録する必要がある場合、以前3CDaemonを使用した場合は小規模なネットワークでしか使用できませんでしたが、記録データ量が多すぎるため、この例ではクラックされた3CDaemonを使用しています。 kiwi_syslog のバージョン。
2. ネットワーク監視や警察が不正アクセスを検知した場合、5倍を基準に外部ネットワークへのアクセスログ記録を提供することができます。
3. イントラネット上には多数の利用者が存在し、外部ネットワークへのアクセスが複雑な場合には、一定期間内のアクセスの電子記録が保存されます。
2. トポロジー図と考え方
(1) 前提
1. デバイス間の地域セキュリティ ポリシーが許可され、ルートがオープンである
2. 内部ネットワークから DMZ へ、DMZ から内部ネットワークへ、内部ネットワークから外部ネットワークへ、そして外部ネットワークから内部ネットワークに戻る3. 仮想化の展開が完了
しました。vm サーバーはイントラネットと正常に通信できます。仮想化の展開に詳しくない場合は、以前に書いた記事から学ぶことができます。
4. VM サーバー 2008 で wiki_syslog サービスを構成する場合、ログを受信するための IP アドレスを指定します。これは、ファイアウォールから LSW1 の G1/02 および G1/0/3 にバインドされた論理リンク インターフェイス Eth-trunk に構成された IP アドレスです。 、つまり、Eth-trunk はレイヤー 3 インターフェイスです (実際の動作中、ファイアウォール上のインターフェイスはレイヤー 2 モードで構成されていることに注意してください。Eth-trunk リンク アグリゲーションに参加した後、Eth-trunk 論理インターフェイスをレイヤー 3 に構成します)モードを選択し、レイヤ 3 モードで Eth トランク インターフェイスの IP アドレスを設定します)。
(2) アイデア
1. ログ サーバー wiki_syslog でログを受信するためのインターフェイスを設定する場合、サーバーにアクセスする内部ネットワークからのネットワーク トラフィック ログと、サーバーからのネットワーク トラフィック ログを受信できる、上記の Eth-trunk インターフェイスの IP アドレスを指定します。内部ネットワークから外部ネットワークにアクセスします。
2. 1 台の物理サーバーを使用し、それを複数の VM サーバーに仮想化した後、1 台の仮想化された物理サーバー上でさまざまなサービスを実行できます。サービスは独立して実行され、サービス間でポートの競合は発生しません。
3. ファイアウォールとイントラネット エリア間のリンクには、Eth-trunk デュアルリンク アグリゲーションが採用されており、ネットワーク トラフィックの負荷分散を 2 つのリンクで実行できるだけでなく、冗長な役割も果たします。他のリンクは引き続き正常に動作し、ビジネスが中断されないようにします。
3. 設定プロセス (この例は wiki_syslog に焦点を当てています)
(1) Huawei ファイアウォールの設定
1. Huawei Firewall にログインした後、上部の [システム] をクリックし、左側の [ログ構成]、[ログ構成] を選択します。
2. Huawei ファイアウォール セキュリティ ポリシーの構成 (省略)
3. ルーティングの構成 (省略)
手順 2 と 3 は、以下に基づいています。具体的な実環境に合わせて、ネットワークの開通操作を完了します 具体的なコマンドについては以前書いた記事を参照してください。
(2) VM サーバー 2008 に wiki_syslog をインストールします
ダウンロード アドレス: リンク: http://pan.baidu.com/s/1mhVr84S パスワード: ptas
1. 解凍後、kiwi_syslog_server_9.5.0.setup.exe を実行します。
2. 以下に示す契約に同意します。
3. インストールは次のとおりです。サービスとして実行する アプリケーションの形式で実行することもできます。この例でのサービスの選択方法は次のとおりです:
4. 手動で統計管理者を指定することも、ローカル システム統計を使用することもできます。では、以下の図に示すように、デフォルトのローカルが選択されます。
5. 以下に示すように、kiwi_syslog をインストールするための WEB アクセス方法を選択し、チェックを入れます。
6. インストールするコンポーネントを選択するとき、通常のデフォルト オプションである NORMAL を選択します。 7. インストール パスを指定
します。ここではデフォルトで C をインストールします。インストール パスを変更する場合は、ディスクのパスの下で、以下に示すように参照ボタンをクリックします。(ただし、ログを別のディスクに保存するためのパス設定は後で行います。ログ ファイルが保存されるパスは次の手順で指定します)
8. インストール プロセス中に、.net をインストールするように求められます。 Framework 3.5. Do you want to download and install it? (この例では、.net Framework4.5.2 を手動でダウンロードしたため、インストールするだけで済みます。) 9.
dotnetfx35.exe を待ちます。以下に示すように、インストールが完了するまで待ちます。
10. 以下に示すように、コンポーネントのインストールが完了するまで待ちます。
11. 以下に示すように、WEB アクセス サービスのインストールを入力し、「次へ」をクリックして次のステップに進みます。 12. 次のコンポーネントをインストールする必要があります。以下に示すように
、最初の項目はスキップされ、別のバージョンが見つかりました。
必須の項目を完了します。 前提条件を満たした後、以下に示すように、メイン アプリケーションのインストールが自動的に開始されます。
14. 以下に示すように、前提条件がインストールされるまで待ちます。
15. 以下に示すように、kiwi_syslog の WEB アクセス インストール ウィザードに入ります。
16 17. インストールが完了したら、以下に
示すように、デスクトップ、スタート メニュー、およびクイック起動バーに kiwi_syslog プログラム アイコンが表示されます。
18. 図に示すように、インストール パスを指定します。 19.以下に
示すように、サイトのルート パスとアクセス ポート番号を指定します。
20. 以下に示すように、kiwi_syslog への WEB アクセス用のユーザー名とパスワードを指定します。
21. 戻って変更するか、以下に示すように、install をクリックしてインストールを開始します。
22. 以下に示すように、インストールが完了するまで待ちます。
23. 以下に示すように、「終了」をクリックしてインストールを完了します。
24. それを開くと、以下に示すように、試用期間が 14 日間であることがわかりますので、次にクラッキングプロセスを完了する必要があります
25. タスクマネージャーを開き、プロセスから syslog で始まる 3 つのプロセスを見つけます。以下に示すように、プロセスを 1 つずつ終了します。 :
26. 以下に示すように、登録マシン フォルダー内の 2 つのファイルをインストール ディレクトリに置き換えます:
27. 2 つのファイルを置き換えた後、kiwi_syslog を開き、ライセンスの詳細を入力して実行します。ヘルプ メニューで使用許諾契約を入力します。
28. 以下に示すように、[非インターネット登録の場合はオフライン登録を使用する] を選択し、[次へ] をクリックします
。 29. [一意のマシン ID をコピー] ボタンをクリックし、以下に示すようにマシン コードをコピーします。
30. 以下に示すように、マシン コードがクリップボードにコピーされたことを示すプロンプトが表示されます。 [OK] をクリックします。
31. 電卓を実行すると、.net Framework 4.0 以降のバージョンをインストールする必要があるというプロンプトが表示されるので、 .net Framework 4.5.2
32. 以下に示すように、.net Framework4.5.2 をインストールし、解凍を開始します。
33. 以下に示すように、インストール プログラムを入力します
。 34. 以下に示すように、契約に同意してインストールします。
35.以下に示すように、インストールの進行状況が表示されます。
36. .net Framework4.5.2 を完成します。 インストール後、電卓を実行して開きます。
37. 上記の手順 30 でコピーしたマシン コードを [Enter your Unique Machine ID:] に貼り付け、ユーザー名を入力して、それ以降の有効期限 (つまり、kiwi_syslog が期限切れになるまで実行される) を指定し、[generate !] をクリックして、使用許諾契約書ファイル
38. 以下に示すように、生成された使用許諾契約書ファイル REPT.lic.lic をデスクトップに保存します。
39. kiwi_syslog ソフトウェアに戻り、参照ボタンをクリックして、デスクトップに保存した REPT.lic を .lic に保存します。使用許諾契約を指定します。以下に示すように、「次へ」をクリックします。
40. 使用許諾契約ファイルをインポートした後、以下に示すように、kiwisyslog プロトコルがアクティブになります。
41. [終了] をクリックして、kiwi_syslog のアクティベーションを完了します。
42. kiwi_syslog を開いた後、ヘルプ メニューから kiwi syslog サーバーについて実行すると、有効期限が設定した 2088 年 8 月 1 日であることがわかり、アクティベーションが成功したことがわかります。 。
(3) wiki_syslogの設定
1. wiki_syslog ログ ファイルに保存される 1 つの保存ログ ファイルのファイル名、パス、サイズを設定します。
注: 上図の 12 は、ログ サーバーに保存されるファイル数の設定を指します。設定可能な最大数は 1,000 です。実際のネットワークに合わせて設定可能 トラフィック設定は通常半年から1年程度保存され、ピーク時のトラフィックを観測・計算します。今回の実戦では20分で300MB、半年で約4TBのログファイル容量が必要でした。
2. 新しいスケジュールされたタスクを作成します。
(1) 以下に示すように、スケジュールを右クリックし、新しいスケジュールを追加し、新しいスケジュールされたタスクを作成します。
(2) 日数で 7 日ごとに記録します。
Source フィールド (ログを一時的に保存するパスを設定します)
Destination フィールド (最終的なログ保存ディレクトリを設定します)
設定が完了したら、[適用] をクリックし、[OK] をクリックして終了し、設定を有効にするために kiwi_syslog を再起動します。
(3) ログ ファイルの永続的な保存先のパスを設定します。この例では、C がシステム ドライブであるため、保存先としてドライブ D が選択されます。ログ ファイルを長期間保存すると、ログ ファイルがいっぱいになり、エラーが発生する可能性があります。図:
3. 以下に示すように、ログを受信するための kiwi_syslog のプロトコルとポート番号を設定します。
この実際の戦闘では、Huawei ファイアウォール、UDP プロトコル、ポート 514、ファイアウォール
データ エンコーディングの内部 IP アドレスを入力しました。中国語出力の一部が文字化けしないように、UTF-8 を選択します。
4. 結果の検証
(1) 生成されるファイル
文件名称与大小,每个文件以300MB的大小分开,若生成的文件太大,打开时所需占用的内存较多,打开的时间长,所以我们本次实战配置300MB的日志文件大小,就分隔到下一个文件,如下图:
(2) メモ帳を使用してログ ファイルを開くと、内容は次のようになります。
(3) 以下に示すように、WEB 経由で kiwi_syslog サーバーにアクセスし、サーバーの IP とポート番号を使用してリアルタイム データを表示します。
この例では、アクセス アドレスは
http://192.168.0.21:8088です。
この記事はここで終わりますが、kiwi_syslog の具体的なパラメータ設定については、さらに交流を深めていきたいと考えています。