[ 即使爬到最高的山顶,一次也只能脚踏实地的迈一步。]
大家好,我是【WeiyiGeek/唯一极客】一个正在向全栈工程师(SecDevOps)前进的技术爱好者
作者微信:WeiyiGeeker
公众号/知识星球:全栈工程师修炼指南
主页博客: 【 https://weiyigeek.top 】- 为者常成,行者常至。
文章目录:
-
0x00 前言简述
-
0x01 实践为证
-
1.安装 Rsyslog Windows Agent 工具
-
2.配置 Rsyslog Windows Agent 转发
-
3.设置 Rsyslog 服务端消息模板
-
4.验证 Rsyslog 服务端接收日志
-
0x00 前言简述
01.缘由
描述: 由于《信息安全技术网络安全等级保护基本要求[GB/T 22239-2019
]》以及《中华人民共和国网络安全法》、《公安部82号令》安全日志审计的要求,网络运营者和网络服务提供者必须能够对上网行为日志做留存,时间不得小于180天,否则相关责任人将被处于行政罚款。
《信息安全技术网络安全等级保护基本要求》,网络安全审计日志需集中收集存储,即:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 《中华人民共和国网络安全法》:第三章 第二十一条明确规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
02.目前
之前作者使用ELK方式在收集企业中的相关网络及应用日志,但是由于ELK的架构过于庞大,而且需要部署和维护大量的组件,所以目前正在逐步使用Loki+Promtail+Grafana
云原生的方式进行日志收集,目前已实现使用 rsyslog 服务端收集 Linux 系统日志、审计相关日志以及网络安全设备等日志,并使用 Grafana 进行可视化展示与检索,现在逐步实现 Windows 系统日志收集。
所以此章将简单介绍与 rsyslog 官方推出的 Rsyslog Windows Agent
工具,实践将 Windows 系统日志转发到 rsyslog 服务端中。
正如,前面所说,rsyslog 官方推出的 Rsyslog Windows Agent
工具旨在与Rsyslog for Linux紧密合作,可以非常方便的将 Windows 系统日志转发到 rsyslog 服务端中,方便后续针对 Windows 系统日志进行集中收集分析,使用此工具的好处是支持 Windows Event Log Monitor
、Windows Event Forwarder
、 TCP/UDP/TLS/·TLS/TCP+TLS
等多种传输协议,并且还可以针对日志进行可视化过滤配置,而不好的一点就是要根据不同的版本(基本 ($/€ 55)、专业 ($/€ 79)、企业 ($/€ 109),单位欧元
)收费(免费使用30天),所以说如果企业有明确要求并且经费充足,或者IT运维人员想要简单化Windows日志收集的,此乃也是一个不错的选择,不过说真的是有一点点小贵,基础版本都要400百多呢。
版本比较:https://www.rsyslog.com/windows-agent/edition-comparison
03.前置知识
Linux 中 audit 审计服务搭建部署及日志转发实践,可参考作者发布的《【网安合规】Audit 审计系统服务 - 快速监控检索系统安全事件,合规利器!》文章。
Linux 中 rsyslog 日志服务器搭建部署,可参考作者发布的《【网安合规】Rsyslog 开源日志服务器 - 快速收集企业网络日志,合规利器!》文章。
最终实现效果如下示:
从 rsyslog 服务器存储上验证接收的Windows事件日志
weiyigeek.top-使用Grafana可视化展示Windows日志图
完整原文: