基于EventLog Analyzer的日志服務(wù)器配置

唐磊

摘要：計算機網(wǎng)絡(luò)是學(xué)?；A(chǔ)設(shè)施中的核心。服務(wù)器與網(wǎng)絡(luò)設(shè)備會產(chǎn)生大量的日志記錄，這些日志記錄在進(jìn)行賬號行為的審計、留存系統(tǒng)運行信息分析和發(fā)現(xiàn)黑客入侵行為方面具有重要作用，但這些日志記錄并不能長期存在這些設(shè)備中。如何保存并管理這些日志記錄以便發(fā)揮作用成為網(wǎng)絡(luò)管理工作的重點。該文介紹通過EventLog Analyzer創(chuàng)建日志服務(wù)器的配置過程以及對服務(wù)器和網(wǎng)絡(luò)設(shè)備的管理。

關(guān)鍵詞：日志；服務(wù)器；EventLog Analyzer；Syslog；DMZ

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）26-0207-02

Abstract： Computer network is the core of school infrastructure. A large number of log records are produced by servers and network devices. These log records play an important role in the audit of account behavior， the analysis of the running information of the retention system， and the discovery of hacker intrusion， but these log records do not exist in these devices for a long time. How to save and manage these log records in order to play a role becomes the focus of network management. This article introduces the configuration process of creating log server through EventLog Analyzer， as well as the management of servers and network devices.

Key words：Logs； servers； EventLog Analyzer； Syslog； DMZ

1 概述

日志服務(wù)器在網(wǎng)絡(luò)安全中發(fā)揮重要作用。它記錄每天發(fā)生的各種事情，包括用戶曾經(jīng)訪問或正在使用的系統(tǒng)，系統(tǒng)中出現(xiàn)的各種錯誤信息，甚至黑客入侵系統(tǒng)后，也會在日志服務(wù)器上留下痕跡。對于網(wǎng)絡(luò)管理員來說，通過日志服務(wù)器可以很快處理系統(tǒng)中出現(xiàn)的各種錯誤，發(fā)現(xiàn)系統(tǒng)是否被非法訪問，可查看黑客攻擊手段和特點，以便加固現(xiàn)有系統(tǒng)抵御攻擊。除此之外，日志服務(wù)器中留存的數(shù)據(jù)可作安全審計和數(shù)據(jù)分析，以便調(diào)整網(wǎng)絡(luò)管理工作方案。所以部署日志服務(wù)器是網(wǎng)絡(luò)管理工作的重點。

2 EventLog Analyzer日志管理軟件概述

EventLog Analyzer是用來分析和審計系統(tǒng)及事件日志的管理軟件，它除了能從Windows主機上收集日志外，還能從UNIX主機、防火墻、路由器和交換機等及其網(wǎng)絡(luò)設(shè)備上收集日志，并對日志進(jìn)行全面細(xì)致分析，通過報表和圖表等可視化方式呈現(xiàn)給用戶，幫助網(wǎng)絡(luò)管理員從海量日志數(shù)據(jù)中查找關(guān)鍵有用的信息，準(zhǔn)備定位網(wǎng)絡(luò)故障識別安全威脅，從而提高系統(tǒng)可靠性，保障網(wǎng)絡(luò)安全。EventLog Analyzer不需在每臺主機上安裝代理也可收集日志，這樣既不增添主機負(fù)荷，部署又方便，通常指定一臺主機即可部署作為日志服務(wù)器。

EventLog Analyzer通過Syslog協(xié)議進(jìn)行日志收集，Syslog是一種工業(yè)標(biāo)準(zhǔn)的UDP協(xié)議，端口號為514，廣泛運用于UNIX系統(tǒng)的防火墻、路由器和交換機等設(shè)備中。Syslog記錄系統(tǒng)中任何事件，網(wǎng)絡(luò)管理員可通過查看記錄，掌握系統(tǒng)運行狀態(tài)。EventLog Analyzer通過分析收集的日志，將日志信息轉(zhuǎn)換為統(tǒng)一的Syslog格式，分成不同的安全級別，并在數(shù)據(jù)庫中分表存儲。

3 配置管理案例

3.1 我校防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

我校信息中心采用華賽5330作為防火墻，端口GE0/0/0所對的為電信外網(wǎng)線路，端口GE0/0/1口所對的為電信備用線路，端口GE0/0/2口所對的為DMZ區(qū)，端口GE0/0/3所對的為華為S9306交換機。要求內(nèi)網(wǎng)區(qū)域的日志服務(wù)器實現(xiàn)對DMZ區(qū)服務(wù)器和防火墻的日志存儲，PC機能通過校園網(wǎng)訪問日志服務(wù)器，實現(xiàn)對日志查詢和分析。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖 1所示。

3.2 規(guī)劃和配置過程

日志中心服務(wù)器配置規(guī)劃如下：防火墻端口GE0/0/0和端口GE0/0/1加入untrust區(qū)域，端口GE0/0/2加入DMZ區(qū)域，端口GE0/0/3加入trust區(qū)域。這樣設(shè)置后，通過untrust區(qū)域的端口能訪問DMZ區(qū)域端口，但通過DMZ區(qū)域和untrust區(qū)域的端口則無法訪問trust區(qū)域的端口，從而保證系統(tǒng)安全性。USG5330防火墻配置如下：

#端口GE0/0/0和端口GE0/0/1加入untrust區(qū)域

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/0

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

[USG5300-zone-untrust] quit

#端口GE0/0/2加入DMZ區(qū)域

[USG5300] firewall zone dmz

[USG5300-zone-dmz] add interface GigabitEthernet 0/0/2

[USG5300-zone-dmz] quit

#端口GE0/0/3加入trust區(qū)域

[USG5300] firewall zone trust

[USG5300-zone-trust] add interface GigabitEthernet 0/0/3

[USG5300-zone-trust] quit

# 開啟信息中心。

[USG5300] info-center enable

# 配置日志服務(wù)器IP地址為10.0.100.160，輸出語言為中文。

[USG5300] info-center loghost 10.0.100.160 language Chinese

# 啟用黑名單功能。

[USG5300] firewall blacklist enable

3.3 EventLog Analyzer安裝與使用

在日志服務(wù)器上安裝EventLog Analyzer，支持Windows和Linux，其下載地址為：

http：//www.zohocorp.com.cn/manageengine/products/eventlog/download_confirm.html。安裝過程中可指定ManageEngine EventLog Analyzer為系統(tǒng)服務(wù)，設(shè)置為開機自動啟動，免去手動執(zhí)行程序EventLog Analyzer程序啟動服務(wù)的麻煩。安裝完成后，在瀏覽器中輸入http：//10.0.100.160：8400/打開EventLog Analyzer，輸入用戶名admin和初始密碼admin，進(jìn)入EventLog Analyzer主菜單。如圖 2所示。

點擊圖 2中的“主機”鏈接，在出現(xiàn)的界面中點擊圖標(biāo)“+主機”，出現(xiàn)如圖 3所示新建主機界面。若主機類型為防火墻、路由器和交換機等網(wǎng)絡(luò)設(shè)備以及Linux操作系統(tǒng)的服務(wù)器，則選擇主機類型為“Unix”；若主機類型為Windows操作系統(tǒng)的服務(wù)器，則選擇主機類型為“Windows”，其它類型的主機按需要輸入。主機名則輸入服務(wù)器或網(wǎng)絡(luò)設(shè)備的IP地址，主機類型為“Windows”的主機還要求輸入登錄名和密碼，點擊“保存”按鈕則完成添加主機（免費版可添加5臺主機）。

通過主機管理界面可查看主機日志及運行情況，點擊表格中數(shù)字鏈接部分，可打開日志顯示窗口，在窗口中可將日志存儲為CSV文件格式，便于作數(shù)據(jù)審計和數(shù)據(jù)分析。以防火墻的日志顯示窗口（如圖 4所示）為例，可以看到某些IP地址因連續(xù)輸入錯誤密碼被添加到黑名單，這一行為在同一段時間出現(xiàn)數(shù)次，而且是不同的IP地址在進(jìn)行?？梢酝茢嘤蟹欠ㄈ肭终咴O(shè)法破解防火墻登錄密碼，非法進(jìn)入防火墻，在IP被阻止后，采取改變IP的方法重復(fù)操作。通過這些日志，可以鎖定某些入侵頻率較高的IP地址。

4 結(jié)束語

通過日志服務(wù)器，我校信息中心管理人員能全面掌握網(wǎng)絡(luò)設(shè)備和服務(wù)器的運行情況和授權(quán)訪問情況，及時調(diào)整管理方案，減輕管理人員工作負(fù)擔(dān)，極大地提高了網(wǎng)絡(luò)安全的技防力量。下一步我們將進(jìn)行日志審計和數(shù)據(jù)分析方向的研究，進(jìn)一步提高網(wǎng)絡(luò)安全防范能力。

參考文獻(xiàn)：

[1] 劉東遠(yuǎn)，程東.日志服務(wù)器的研究和應(yīng)用[J].電腦知識與技術(shù)，2006（33）：54.

[2] 李甜.基于Syslog的日志審計系統(tǒng)的研究和實現(xiàn)[J].中國新通信，2008（12）：47.

[3] 溫?zé)槪? Syslog在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用[J].寧夏電力，2009（5）：42.

[4] 李晨光原創(chuàng)IT博客. 利用Eventlog Analyzer分析日志[EB/OL].[2014-5-19]. https：//www.cnblogs.com/chenguang/p/3742234.html.

[5] 百度百科. Event Log [EB/OL].[2018-4-21]. https：//baike.baidu.com/item/Event%20Log/9562319.

[通聯(lián)編輯：代影]