配置日志服务器和防火墙设备,将防火墙的日志发送到日志服务器,并使用Splunk分析、管理防火墙日志
网络拓扑图
网络角色功能与版本
LOG:日志服务器,ubuntu 20.04 server
FW:防火墙,asav 9.17
Other:控制Splunk web端,win 10
步骤
1、LOG开启远程日志服务,在8090/UDP端口接收其他主机发送的日志,并存储在指定目录。
2、FW发送日志给LOG的8090/UDP端口。
3、LOG安装Splunk,使用Other控制Splunk监听防火墙日志所在的目录。
开启远程日志服务
Rsyslog 服务是对 syslog 的现代改进后的守护进程,syslog只允许在本地管理日志。使用 rsyslog 守护进程,可以发送本地日志给远程Linux服务器,也可以接收远程设备的日志。
Rsyslog默认情况下预装在大多数现代 Linux 发行版上,例如 Ubuntu 和其他基于 Debian 的系统。
编辑/etc/rsyslog.conf
取消这两行注释,把端口号改成8090:
module(load="imudp")
input(type="imudp" port="8090")
$template remote_logs, "/var/log/remote/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%-%$HOUR%.log" ##定义模板,指定日志文件存放的位置
*.* ?remote_logs ##定义一条规则,说明接收什么类型的日志
[设备].[消息等级] ?[模板]
##说明在8090端口监听到的所有设备的所有消息等级的日志根据主机名存放在/var/log/remote目录
放行端口:ufw allow 8090/udp
重启rsyslog:systemctl restart rsyslog
推送防火墙日志
a) 推送防火墙的日志到 LOG 服务器的 8090/UDP 端口上。
FW(config)# logging enable
FW(config)# logging host dmz 172.16.20.3 udp/8090
b) 设置日志记录缓存区为:32000
FW(config)# logging buffer-size 32000
c) 设置日志记录级别为:debugging
FW(config)# logging buffered debugging
FW(config)# logging trap debugging
ping一下FW,LOG服务器成功接收到asa的日志
Splunk管理防火墙日志
Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
splunk有上传、监视本地、来自转发三种添加数据的方式。
安装Splunk
安装
dpkg -i splunk_package_name.deb 启动 /opt/splunk/bin/splunk start 设置开机自启动 /opt/splunk/bin/splunk enable boot-start
Splunk监听的端口
8000:Splunk web端
8089:管理Splunk forwarder(本次实验用不到)
放行8000端口
ufw allow 8000/tcp
Other登录splunk web端
监视防火墙日志
splunk监视存储着FW(asa)日志的目录
成功索引
