案例環(huán)境
測試設備:Huawei USG6507
軟件版本: V500R001C30SPC100
前言
單位外網(wǎng)邊界部署了一臺華為防火墻,一是作為安全邊界奴曙,二是充當NAT路由器功能别凹。時近百年黨慶,上級部門對網(wǎng)絡安全的要求越來越嚴洽糟。其中上網(wǎng)nat日志記錄是重點要求之一炉菲。比如上級給一個時間點,IP地址及訪問的端口坤溃,讓我們查是那臺設備發(fā)出的請求拍霜。要滿足上述任務,必須開啟防火墻的日志功能并將其保存在遠程日志服務器上薪介。(上級給的時間點可能是幾個月前祠饺,一般要求日志至少保留3個月)
要做這件事,需要分兩個步驟汁政,一是配置防火墻日志相關功能道偷,二是配置日志服務器接收防火墻發(fā)送過來的日志缀旁。
配置防火墻
#開啟消息中心服務
info-center enable
#指定傳送日志源端口
info-center loghost source GigabitEthernet1/0/0
#指定日志主機IP,不指定端口默認為514(TCP)
info-center loghost 192.168.200.14
#接下來是配置nat會話表日志
#指定日志類型為syslog
firewall log session log-type syslog
#允許并發(fā)發(fā)送
firewall log session multi-host-mode concurrent
#指定發(fā)送源IP地址和端口(端口任意找個未用的即可)
firewall log source 192.168.128.199 30026
#指定日志服務器IP及端口(syslog默認端口為514)
firewall log host 1 192.168.200.14 514
接下來需要配置安全策略试疙,開啟會話日志記錄功能
#進入安全策略配置
security-policy
#設置名為trust_untrust的安全策略
rule name trust_untrust
#這是最關鍵的一點诵棵,開啟會話日志功能
session logging
source-zone trust
destination-zone untrust
action permit
到這兒,防火墻的配置暫告一段落祝旷,接著配置日志服務器履澳。
日志服務器環(huán)境
OS:centos 7.6
日志軟件:rsyslog
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#加載tcp模塊
$ModLoad imtcp
#模塊端口514
$InputTCPServerRun 514
#自建模板,模板名稱RemoteLogs怀跛,日志存儲到/data/fwlog目錄下距贷,HOSTNAME和PROGRAMNAME為內(nèi)建變量,用于建立對應目錄和對應文件
$template RemoteLogs,"/data/fwlog/%HOSTNAME%/%PROGRAMNAME%.log" *
#記錄所有日志
*.* ?RemoteLogs
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
#將以下信息寫入到自定義模板中
*.info,mail.none,authpriv.none,cron.none ?RemoteLogs
mail.none;authpriv.none;cron.none /var/log/messages
authpriv.* /var/log/secure
mail.* -/var/log/maillog
cron.* /var/log/cron
*.emerg :omusrmsg:*
uucp,news.crit /var/log/spooler
local7.* /var/log/boot.log
配置完成后重啟rsyslog服務
systemctl restart rsyslog
進入/data/fwlog查看日志是否發(fā)送過來
image.png
相應日志已經(jīng)自動生成吻谋,我最關心的nat會話日志以日期命名的方式來存儲忠蝗。
image.png
屏幕截圖 2021-06-27 100636.png
可以看到,日志按天建立目錄漓拾,按小時寫入不同文件阁最,nat會話記錄已經(jīng)寫入到文件中,任務完成骇两。
