网络安全审计之syslog实践(2)

1.1概述
前两期文章已介绍网络安全审计、syslog和免费开源的日志记录软件，本期文章就客户端配置日志中心进行总结分享，希望各位小伙伴有所收获。
1.2关键词
rsyslog、evtsys、info-center
1.3Linux系统日志中心配置
Linux系统使用rsyslog程序发送系统产生的日志，系统日志中心配置如下所示。
第1步：检查系统是否安装了rsyslog程序；
rpm -qa | grep rsyslog
第2步：修改/etc/rsyslog.conf配置文件，配置日志记录服务器；
rsyslog.conf配置文件行尾增加下面内容，即客户端将本地日志发送到日志记录服务器；
##配置采用TCP协议发送日志信息；
*.*  @@192.168.1.106:514
##配置采用UDP协议发送日志信息；
*.*  @192.168.1.106:514
rsyslog.conf配置文件修改完毕后，重启rsyslog服务。
systemctl restart rsyslog
第3步：高级选项配置——记录linux系统执行的所有命令并写入系统日志/var/log/messages中；
修改/etc/bashrc配置文件，在文件行尾增加以下内容；
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
bashrc配置文件修改完毕后，设置其生效。
source /etc/bashrc
第4步：查看日志记录服务器接收到linux系统日志及数据报文； 
 
 

 
1.4Windows系统日志中心配置
Windows系统自身无向日志服务器程序，需要安装第三方的插件程序，如开源第三方插件“evtsys”。Windows系统日志中心配置步骤如下所示：
第1步：在命令提示符中使用命令“secpol.msc”打开系统“本地安全策略”。按下图所示，配置“审核策略”；
 
第2步：在命令提示符中安装“evtsys”程序，如下图所示；
#安装evtsys程序并指定日志记录服务器，192.168.1.106即是日志记录服务器
evtsys -i -h 192.168.1.106
#启动evtsys服务
net start evtsys
#停止evtsys服务
net stop evtsys
#卸载evtsys程序。停止evtsys服务后，再卸载程序
evtsys -u
#查看evtsys服务状态
 

 
第3步：查看日志记录服务器接收到windows日志及数据报文 ；
 

1.5常用网络设备日志中心配置
以华三网络设备日志中心为配置案例。
#启用日志中心功能
[SW_1]info-center enable 
Information center is enabled.
#配置日志记录服务器IP
[SW_1][SW_1]info-center loghost 192.168.1.106
[SW_1]
#查看华三网络设备日志中心配置情况
 
#查看日志记录服务器接收到华三网络设备的日志及数据报文
 
 1.6总结
本期本章总结分享linux系统、windows系统和常用网络设备日志中心的配置，希望大家有所收获，不足之处，欢迎各位小伙伴留言指正。