[ 即使爬到最高的山顶,一次也只能脚踏实地的迈一步。]
大家好,我是【WeiyiGeek/唯一极客】一个正在向全栈工程师(SecDevOps)前进的技术爱好者
作者微信:WeiyiGeeker
公众号/知识星球:全栈工程师修炼指南
主页博客: 【 https://weiyigeek.top 】- 为者常成,行者常至。
文章目录:
-
0x00 前言简述
-
0x01 实践为证
-
1.安装 Rsyslog Windows Agent 工具
-
2.配置 Rsyslog Windows Agent 转发
-
3.设置 Rsyslog 服务端消息模板
-
4.验证 Rsyslog 服务端接收日志
-
0x00 前言简述
01.缘由
描述: 由于《信息安全技术网络安全等级保护基本要求[GB/T 22239-2019]》以及《中华人民共和国网络安全法》、《公安部82号令》安全日志审计的要求,网络运营者和网络服务提供者必须能够对上网行为日志做留存,时间不得小于180天,否则相关责任人将被处于行政罚款。
《信息安全技术网络安全等级保护基本要求》,网络安全审计日志需集中收集存储,即:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 《中华人民共和国网络安全法》:第三章 第二十一条明确规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
02.目前
之前作者使用ELK方式在收集企业中的相关网络及应用日志,但是由于ELK的架构过于庞大,而且需要部署和维护大量的组件,所以目前正在逐步使用Loki+Promtail+Grafana云原生的方式进行日志收集,目前已实现使用 rsyslog 服务端收集 Linux 系统日志、审计相关日志以及网络安全设备等日志,并使用 Grafana 进行可视化展示与检索,现在逐步实现 Windows 系统日志收集。
所以此章将简单介绍与 rsyslog 官方推出的 Rsyslog Windows Agent工具,实践将 Windows 系统日志转发到 rsyslog 服务端中。
https://mp.weixin.qq.com/s/mxtdH6RIRRQQc9Kh9aP_yA正如,前面所说,rsyslog 官方推出的 Rsyslog Windows Agent 工具旨在与Rsyslog for Linux紧密合作,可以非常方便的将 Windows 系统日志转发到 rsyslog 服务端中,方便后续针对 Windows 系统日志进行集中收集分析,使用此工具的好处是支持 Windows Event Log Monitor、Windows Event Forwarder、 TCP/UDP/TLS/·TLS/TCP+TLS 等多种传输协议,并且还可以针对日志进行可视化过滤配置,而不好的一点就是要根据不同的版本(基本 ($/€ 55)、专业 ($/€ 79)、企业 ($/€ 109),单位欧元)收费(免费使用30天),所以说如果企业有明确要求并且经费充足,或者IT运维人员想要简单化Windows日志收集的,此乃也是一个不错的选择,不过说真的是有一点点小贵,基础版本都要400百多呢。
版本比较:https://www.rsyslog.com/windows-agent/edition-comparison
03.前置知识
Linux 中 audit 审计服务搭建部署及日志转发实践,可参考作者发布的《【网安合规】Audit 审计系统服务 - 快速监控检索系统安全事件,合规利器!》文章。
Linux 中 rsyslog 日志服务器搭建部署,可参考作者发布的《【网安合规】Rsyslog 开源日志服务器 - 快速收集企业网络日志,合规利器!》文章。
最终实现效果如下示:
从 rsyslog 服务器存储上验证接收的Windows事件日志
weiyigeek.top-使用Grafana可视化展示Windows日志图
完整原文:
3370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
