配置基础网络中主机日志审计
更新时间:2023-11-06 09:26:48
该场景下日志审计主机(VM)和被审计主机(VM)被创建在同一基础网络下,且两者能够直接通过默认安全组互相通信。
前提条件
-
已完成日志审计实例部署并能点击控制台进入日志审计实例控制台。
-
已获取日志审计VM和被日志审计 VM的IP地址。
-
日志审计VM和被日志审计VM都绑定到默认安全组,且安全组需开启514 UDP端口,或者接受全部的TCP/UDP上下行端口。
说明 该操作需点击目标日志审计实例所属云服务器 ID 进入云服务器页面和对应的默认安全组页面进行操作,详细操作请参见云服务器用户文档绑定安全组绑定默认安全组。
操作步骤
-
进入安全资源池页面。
-
在左侧导航栏选择日志审计。
进入日志审计页面。
-
在目标日志审计实例操作一栏点击控制台,进入日志审计实例控制台首页。
-
选择资产管理>全部资产,点击新增。
-
根据实际情况选择资产类型。
此处以在安全类一栏点击安全管理系统为例。
-
填写资产名称,其他选项根据其他需要选择是否填写,点击保存。
-
在资产信息识别信息页签填写主机 IP 地址,并点击保存。
这里以上图所示主机 ID 为例,填写为10.12.12.71
-
进入发送日志配置页签,参数保持默认,点击保存。
-
若资产的状态信息未显示已启用,点击启用。
配置VM中rsyslog日志
-
登录10.12.12.71主机的进入vi /etc/rsyslog.conf文件并在该文件增加以下内容:
. @日志审计主机IP
例如:
*.* @10.12.12.67
注意 -
*与@之间空格为tab键输入。
-
IP是日志审计主机的IP,例如本例中日志审计的IP为:10.12.12.67
-
*.*表示发送所有级别的日志。
-
-
按ESC后输入wq保存修改。
-
执行
service rsyslog restart
命令重启rsyslog
服务。 -
可在首页>数据概要或者审计概要获取审计日志。