唐磊

摘要：計(jì)算機(jī)網(wǎng)絡(luò)是學(xué)?；A(chǔ)設(shè)施中的核心。服務(wù)器與網(wǎng)絡(luò)設(shè)備會(huì)產(chǎn)生大量的日志記錄，這些日志記錄在進(jìn)行賬號(hào)行為的審計(jì)、留存系統(tǒng)運(yùn)行信息分析和發(fā)現(xiàn)黑客入侵行為方面具有重要作用，但這些日志記錄并不能長(zhǎng)期存在這些設(shè)備中。如何保存并管理這些日志記錄以便發(fā)揮作用成為網(wǎng)絡(luò)管理工作的重點(diǎn)。該文介紹通過(guò)EventLog Analyzer創(chuàng)建日志服務(wù)器的配置過(guò)程以及對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的管理。

關(guān)鍵詞：日志；服務(wù)器；EventLog Analyzer；Syslog；DMZ

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）26-0207-02

Abstract： Computer network is the core of school infrastructure. A large number of log records are produced by servers and network devices. These log records play an important role in the audit of account behavior， the analysis of the running information of the retention system， and the discovery of hacker intrusion， but these log records do not exist in these devices for a long time. How to save and manage these log records in order to play a role becomes the focus of network management. This article introduces the configuration process of creating log server through EventLog Analyzer， as well as the management of servers and network devices.

Key words：Logs； servers； EventLog Analyzer； Syslog； DMZ

1 概述

日志服務(wù)器在網(wǎng)絡(luò)安全中發(fā)揮重要作用。它記錄每天發(fā)生的各種事情，包括用戶曾經(jīng)訪問(wèn)或正在使用的系統(tǒng)，系統(tǒng)中出現(xiàn)的各種錯(cuò)誤信息，甚至黑客入侵系統(tǒng)后，也會(huì)在日志服務(wù)器上留下痕跡。對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，通過(guò)日志服務(wù)器可以很快處理系統(tǒng)中出現(xiàn)的各種錯(cuò)誤，發(fā)現(xiàn)系統(tǒng)是否被非法訪問(wèn)，可查看黑客攻擊手段和特點(diǎn)，以便加固現(xiàn)有系統(tǒng)抵御攻擊。除此之外，日志服務(wù)器中留存的數(shù)據(jù)可作安全審計(jì)和數(shù)據(jù)分析，以便調(diào)整網(wǎng)絡(luò)管理工作方案。所以部署日志服務(wù)器是網(wǎng)絡(luò)管理工作的重點(diǎn)。

2 EventLog Analyzer日志管理軟件概述

EventLog Analyzer是用來(lái)分析和審計(jì)系統(tǒng)及事件日志的管理軟件，它除了能從Windows主機(jī)上收集日志外，還能從UNIX主機(jī)、防火墻、路由器和交換機(jī)等及其網(wǎng)絡(luò)設(shè)備上收集日志，并對(duì)日志進(jìn)行全面細(xì)致分析，通過(guò)報(bào)表和圖表等可視化方式呈現(xiàn)給用戶，幫助網(wǎng)絡(luò)管理員從海量日志數(shù)據(jù)中查找關(guān)鍵有用的信息，準(zhǔn)備定位網(wǎng)絡(luò)故障識(shí)別安全威脅，從而提高系統(tǒng)可靠性，保障網(wǎng)絡(luò)安全。EventLog Analyzer不需在每臺(tái)主機(jī)上安裝代理也可收集日志，這樣既不增添主機(jī)負(fù)荷，部署又方便，通常指定一臺(tái)主機(jī)即可部署作為日志服務(wù)器。

EventLog Analyzer通過(guò)Syslog協(xié)議進(jìn)行日志收集，Syslog是一種工業(yè)標(biāo)準(zhǔn)的UDP協(xié)議，端口號(hào)為514，廣泛運(yùn)用于UNIX系統(tǒng)的防火墻、路由器和交換機(jī)等設(shè)備中。Syslog記錄系統(tǒng)中任何事件，網(wǎng)絡(luò)管理員可通過(guò)查看記錄，掌握系統(tǒng)運(yùn)行狀態(tài)。EventLog Analyzer通過(guò)分析收集的日志，將日志信息轉(zhuǎn)換為統(tǒng)一的Syslog格式，分成不同的安全級(jí)別，并在數(shù)據(jù)庫(kù)中分表存儲(chǔ)。

3 配置管理案例

3.1 我校防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

我校信息中心采用華賽5330作為防火墻，端口GE0/0/0所對(duì)的為電信外網(wǎng)線路，端口GE0/0/1口所對(duì)的為電信備用線路，端口GE0/0/2口所對(duì)的為DMZ區(qū)，端口GE0/0/3所對(duì)的為華為S9306交換機(jī)。要求內(nèi)網(wǎng)區(qū)域的日志服務(wù)器實(shí)現(xiàn)對(duì)DMZ區(qū)服務(wù)器和防火墻的日志存儲(chǔ)，PC機(jī)能通過(guò)校園網(wǎng)訪問(wèn)日志服務(wù)器，實(shí)現(xiàn)對(duì)日志查詢和分析。系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖 1所示。

3.2 規(guī)劃和配置過(guò)程

日志中心服務(wù)器配置規(guī)劃如下：防火墻端口GE0/0/0和端口GE0/0/1加入untrust區(qū)域，端口GE0/0/2加入DMZ區(qū)域，端口GE0/0/3加入trust區(qū)域。這樣設(shè)置后，通過(guò)untrust區(qū)域的端口能訪問(wèn)DMZ區(qū)域端口，但通過(guò)DMZ區(qū)域和untrust區(qū)域的端口則無(wú)法訪問(wèn)trust區(qū)域的端口，從而保證系統(tǒng)安全性。USG5330防火墻配置如下：

#端口GE0/0/0和端口GE0/0/1加入untrust區(qū)域

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/0

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

[USG5300-zone-untrust] quit

#端口GE0/0/2加入DMZ區(qū)域

[USG5300] firewall zone dmz

[USG5300-zone-dmz] add interface GigabitEthernet 0/0/2

[USG5300-zone-dmz] quit

#端口GE0/0/3加入trust區(qū)域

[USG5300] firewall zone trust

[USG5300-zone-trust] add interface GigabitEthernet 0/0/3

[USG5300-zone-trust] quit

# 開(kāi)啟信息中心。

[USG5300] info-center enable

# 配置日志服務(wù)器IP地址為10.0.100.160，輸出語(yǔ)言為中文。

[USG5300] info-center loghost 10.0.100.160 language Chinese

# 啟用黑名單功能。

[USG5300] firewall blacklist enable

3.3 EventLog Analyzer安裝與使用

在日志服務(wù)器上安裝EventLog Analyzer，支持Windows和Linux，其下載地址為：

http：//www.zohocorp.com.cn/manageengine/products/eventlog/download_confirm.html。安裝過(guò)程中可指定ManageEngine EventLog Analyzer為系統(tǒng)服務(wù)，設(shè)置為開(kāi)機(jī)自動(dòng)啟動(dòng)，免去手動(dòng)執(zhí)行程序EventLog Analyzer程序啟動(dòng)服務(wù)的麻煩。安裝完成后，在瀏覽器中輸入http：//10.0.100.160：8400/打開(kāi)EventLog Analyzer，輸入用戶名admin和初始密碼admin，進(jìn)入EventLog Analyzer主菜單。如圖 2所示。

點(diǎn)擊圖 2中的“主機(jī)”鏈接，在出現(xiàn)的界面中點(diǎn)擊圖標(biāo)“+主機(jī)”，出現(xiàn)如圖 3所示新建主機(jī)界面。若主機(jī)類型為防火墻、路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備以及Linux操作系統(tǒng)的服務(wù)器，則選擇主機(jī)類型為“Unix”；若主機(jī)類型為Windows操作系統(tǒng)的服務(wù)器，則選擇主機(jī)類型為“Windows”，其它類型的主機(jī)按需要輸入。主機(jī)名則輸入服務(wù)器或網(wǎng)絡(luò)設(shè)備的IP地址，主機(jī)類型為“Windows”的主機(jī)還要求輸入登錄名和密碼，點(diǎn)擊“保存”按鈕則完成添加主機(jī)（免費(fèi)版可添加5臺(tái)主機(jī)）。

通過(guò)主機(jī)管理界面可查看主機(jī)日志及運(yùn)行情況，點(diǎn)擊表格中數(shù)字鏈接部分，可打開(kāi)日志顯示窗口，在窗口中可將日志存儲(chǔ)為CSV文件格式，便于作數(shù)據(jù)審計(jì)和數(shù)據(jù)分析。以防火墻的日志顯示窗口（如圖 4所示）為例，可以看到某些IP地址因連續(xù)輸入錯(cuò)誤密碼被添加到黑名單，這一行為在同一段時(shí)間出現(xiàn)數(shù)次，而且是不同的IP地址在進(jìn)行。可以推斷有非法入侵者設(shè)法破解防火墻登錄密碼，非法進(jìn)入防火墻，在IP被阻止后，采取改變IP的方法重復(fù)操作。通過(guò)這些日志，可以鎖定某些入侵頻率較高的IP地址。

4 結(jié)束語(yǔ)

通過(guò)日志服務(wù)器，我校信息中心管理人員能全面掌握網(wǎng)絡(luò)設(shè)備和服務(wù)器的運(yùn)行情況和授權(quán)訪問(wèn)情況，及時(shí)調(diào)整管理方案，減輕管理人員工作負(fù)擔(dān)，極大地提高了網(wǎng)絡(luò)安全的技防力量。下一步我們將進(jìn)行日志審計(jì)和數(shù)據(jù)分析方向的研究，進(jìn)一步提高網(wǎng)絡(luò)安全防范能力。

參考文獻(xiàn)：

[1] 劉東遠(yuǎn)，程?hào)|.日志服務(wù)器的研究和應(yīng)用[J].電腦知識(shí)與技術(shù)，2006（33）：54.

[2] 李甜.基于Syslog的日志審計(jì)系統(tǒng)的研究和實(shí)現(xiàn)[J].中國(guó)新通信，2008（12）：47.

[3] 溫?zé)槪? Syslog在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用[J].寧夏電力，2009（5）：42.

[4] 李晨光原創(chuàng)IT博客. 利用Eventlog Analyzer分析日志[EB/OL].[2014-5-19]. https：//www.cnblogs.com/chenguang/p/3742234.html.

[5] 百度百科. Event Log [EB/OL].[2018-4-21]. https：//baike.baidu.com/item/Event%20Log/9562319.

[通聯(lián)編輯：代影]