Отсутствием записи в логах - анализ сетевой безопасности для eSight Solution (V300R002C00SPC303)
[Описание]
После завершении настройки info-center для межсетевого экрана (USG6300 V100R001C30SPC100). Нет записи в логах - анализа сетевой безопасности, даже если пользователи входят в брандмауэр.
1. Необходимо выбрать соответствующие правила фильтрации уровня журнала.
2. Конфигурация для data-flow отсутствует.
3. Policy logging & session logging не сконфигурированы в security-policy.
4. Модуль POLICY & SHELL не установлен в состояние
[Процесс]
1. План IP выглядит следующим образом:
eSight-10.0.22.117
USG6300 --- 10.0.12.23
Примечание: все IP-адреса для лабораторного теста
2. Проверьте часовой пояс и дату и время. Часовой пояс и дата / время FW и сборщик журналов совпадают.
3. Параметр «Log Source» - FW уже добавлен в log collector.
4. Проверьте запрос события (выберите «Весь журнал»).
Но для этого нет никаких записей.
5. Проверьте конфигурацию для FW. binary logsNGFW сохраняются и передаются в формате потока данных. Таким образом, конфигурация для потока данных необходима в брандмауэре.
Добавьте конфигурацию для потока данных:
# data-flow loghost 1 ip-address 10.0.22.117 port 9903 data-flow loghost source ip-address 10.0.12.23 source-port 1617 # |
6. Проверьте Event Query, записи по-прежнему нет. Проверьте правила фильтрации подробности, как показано ниже:
Настройка правил фильтрации: Log Level-->Notice. Это означает, что будет записан только уровень журнала выше Уведомления. Отключите все настройки для уровня журнала и типа журнала. Это поможет нам найти основную причину.
7. Точно так же, как дизайн: необходимо настроить Syslog и двоичного журнала для отправки binary log межзон и системных журналов системы в eSight для анализа администратором. Проверьте конфигурацию для FW снова. Ведение журнала политики и ведения журнала сеанса не применяется к правилу (security-policy).
# security-policy default action permit rule name HA1 source-zone local destination-zone HEARTH_BEAT action permit rule name HA2 source-zone HEARTH_BEAT destination-zone local action permit rule name "MGMT_ADMINS" source-zone MGMT destination-zone _ADMINS action permit rule name "MGMT CZS_TO_CZS" source-zone MGMT destination-zone CZS_TO_CZS destination-address address-set "Front_END CZS_TO_CZS" action permit rule name "CZS_ADMINS do MGMT" source-zone CZS_ADMINS destination-zone MGMT action permit rule name "CZS_ADMINS do CZS_TO_CZS" source-zone CZS_ADMINS destination-zone CZS_TO_CZS destination-address address-set "Front_END CZS_TO_CZS" action permit rule name "CZS_ADMINS do INTERNET" source-zone CZS_ADMINS destination-zone INTERNET profile ips default action permit rule name "CZS_TO_CZS do MGMT" source-zone CZS_TO_CZS destination-zone MGMT source-address address-set "Front_END CZS_TO_CZS" action permit rule name "CZS_TO_CZS do CZS_ADMINS" source-zone CZS_TO_CZS destination-zone CZS_ADMINS source-address address-set "Front_END CZS_TO_CZS" action permit rule name IPSEC1 source-zone INTERNET destination-zone local destination-address address-set IPSEC_INT action permit rule name IPSEC2 source-zone local destination-zone INTERNET action permit rule name VPNUSER_ACCESS source-zone trust source-address address-set VPN_USER action permit rule name VPNUSER_ACCESS2 destination-zone trust destination-address address-set VPN_USER action permit rule name "CZS_TO_CZS do MGMT eSight" source-zone CZS_TO_CZS destination-zone MGMT source-address 10.0.20.117 mask 255.255.255.255 action permit rule name DO_LOOPBACK_MGMT source-zone local destination-zone MGMT source-address address-set MGMT_LOOPBACK action permit rule name DO_LOOPBACK_MGMT2 source-zone MGMT destination-zone local destination-address address-set MGMT_LOOPBACK action permit rule name ESIGHT_POCZTA source-zone CZS_TO_CZS destination-zone INTERNET source-address address-set ESIGHT source-address address-set ESIGHT_SWIDNICA source-address address-set TNMS_SWIDNICA source-address address-set DEBIAN1 action permit rule name SCIANA_WIZYJNA_WROCLAW source-zone MGMT destination-zone INTERNET source-address address-set SCIANA_WIZYJNA source-address address-set SERWER_KAMERY action permit rule name "Trap information" source-address address-set "Trap source" destination-address address-set ESIGHT_SWIDNICA action permit # |
8. Настройте правило для регистрации совпадающих пакетов. Включить протокол совпадения пакетов
# policy logging session logging # |
9. Проверьте конфигурацию для info-center FW
# undo info-center source default channel 2 info-center source SHELL channel 6 log level informational undo info-center source default channel 6 info-center loghost source LoopBack1 info-center loghost 10.0.22.117 514 module SHELL SEC # |
10. Должны собрать функциональные модули (SHELL & POLICY) на устройстве. Добавьте конфигурацию, как показано ниже:
# undo info-center loghost 10.0.22.117 514 module SHELL SEC info-center loghost 10.0.22.117 514 info-center source POLICY channel loghost log state on info-center source SHELL channel loghost log state on # |
11. Проверьте запрос события. Есть запись. Детали, как показано ниже:
12. Проверьте событие доступа. Есть запись. Детали, как показано ниже: