基于EventLog Analyzer的日志服务器配置

唐磊

摘要：计算机网络是学校基础设施中的核心。服务器与网络设备会产生大量的日志记录，这些日志记录在进行账号行为的审计、留存系统运行信息分析和发现黑客入侵行为方面具有重要作用，但这些日志记录并不能长期存在这些设备中。如何保存并管理这些日志记录以便发挥作用成为网络管理工作的重点。该文介绍通过EventLog Analyzer创建日志服务器的配置过程以及对服务器和网络设备的管理。

关键词：日志；服务器；EventLog Analyzer；Syslog；DMZ

中圖分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）26-0207-02

Abstract： Computer network is the core of school infrastructure. A large number of log records are produced by servers and network devices. These log records play an important role in the audit of account behavior， the analysis of the running information of the retention system， and the discovery of hacker intrusion， but these log records do not exist in these devices for a long time. How to save and manage these log records in order to play a role becomes the focus of network management. This article introduces the configuration process of creating log server through EventLog Analyzer， as well as the management of servers and network devices.

Key words：Logs； servers； EventLog Analyzer； Syslog； DMZ

1 概述

日志服务器在网络安全中发挥重要作用。它记录每天发生的各种事情，包括用户曾经访问或正在使用的系统，系统中出现的各种错误信息，甚至黑客入侵系统后，也会在日志服务器上留下痕迹。对于网络管理员来说，通过日志服务器可以很快处理系统中出现的各种错误，发现系统是否被非法访问，可查看黑客攻击手段和特点，以便加固现有系统抵御攻击。除此之外，日志服务器中留存的数据可作安全审计和数据分析，以便调整网络管理工作方案。所以部署日志服务器是网络管理工作的重点。

2 EventLog Analyzer日志管理软件概述

EventLog Analyzer是用来分析和审计系统及事件日志的管理软件，它除了能从Windows主机上收集日志外，还能从UNIX主机、防火墙、路由器和交换机等及其网络设备上收集日志，并对日志进行全面细致分析，通过报表和图表等可视化方式呈现给用户，帮助网络管理员从海量日志数据中查找关键有用的信息，准备定位网络故障识别安全威胁，从而提高系统可靠性，保障网络安全。EventLog Analyzer不需在每台主机上安装代理也可收集日志，这样既不增添主机负荷，部署又方便，通常指定一台主机即可部署作为日志服务器。

EventLog Analyzer通过Syslog协议进行日志收集，Syslog是一种工业标准的UDP协议，端口号为514，广泛运用于UNIX系统的防火墙、路由器和交换机等设备中。Syslog记录系统中任何事件，网络管理员可通过查看记录，掌握系统运行状态。EventLog Analyzer通过分析收集的日志，将日志信息转换为统一的Syslog格式，分成不同的安全级别，并在数据库中分表存储。

3 配置管理案例

3.1 我校防火墙网络拓扑结构

我校信息中心采用华赛5330作为防火墙，端口GE0/0/0所对的为电信外网线路，端口GE0/0/1口所对的为电信备用线路，端口GE0/0/2口所对的为DMZ区，端口GE0/0/3所对的为华为S9306交换机。要求内网区域的日志服务器实现对DMZ区服务器和防火墙的日志存储，PC机能通过校园网访问日志服务器，实现对日志查询和分析。系统拓扑结构如图 1所示。

3.2 规划和配置过程

日志中心服务器配置规划如下：防火墙端口GE0/0/0和端口GE0/0/1加入untrust区域，端口GE0/0/2加入DMZ区域，端口GE0/0/3加入trust区域。这样设置后，通过untrust区域的端口能访问DMZ区域端口，但通过DMZ区域和untrust区域的端口则无法访问trust区域的端口，从而保证系统安全性。USG5330防火墙配置如下：

#端口GE0/0/0和端口GE0/0/1加入untrust区域

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/0

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

[USG5300-zone-untrust] quit

#端口GE0/0/2加入DMZ区域

[USG5300] firewall zone dmz

[USG5300-zone-dmz] add interface GigabitEthernet 0/0/2

[USG5300-zone-dmz] quit

#端口GE0/0/3加入trust区域

[USG5300] firewall zone trust

[USG5300-zone-trust] add interface GigabitEthernet 0/0/3

[USG5300-zone-trust] quit

# 开启信息中心。

[USG5300] info-center enable

# 配置日志服务器IP地址为10.0.100.160，输出语言为中文。

[USG5300] info-center loghost 10.0.100.160 language Chinese

# 启用黑名单功能。

[USG5300] firewall blacklist enable

3.3 EventLog Analyzer安装与使用

在日志服务器上安装EventLog Analyzer，支持Windows和Linux，其下载地址为：

http：//www.zohocorp.com.cn/manageengine/products/eventlog/download_confirm.html。安装过程中可指定ManageEngine EventLog Analyzer为系统服务，设置为开机自动启动，免去手动执行程序EventLog Analyzer程序启动服务的麻烦。安装完成后，在浏览器中输入http：//10.0.100.160：8400/打开EventLog Analyzer，输入用户名admin和初始密码admin，进入EventLog Analyzer主菜单。如图 2所示。

点击图 2中的“主机”链接，在出现的界面中点击图标“+主机”，出现如图 3所示新建主机界面。若主机类型为防火墙、路由器和交换机等网络设备以及Linux操作系统的服务器，则选择主机类型为“Unix”；若主机类型为Windows操作系统的服务器，则选择主机类型为“Windows”，其它类型的主机按需要输入。主机名则输入服务器或网络设备的IP地址，主机类型为“Windows”的主机还要求输入登录名和密码，点击“保存”按钮则完成添加主机（免费版可添加5台主机）。

通过主机管理界面可查看主机日志及运行情况，点击表格中数字链接部分，可打开日志显示窗口，在窗口中可将日志存储为CSV文件格式，便于作数据审计和数据分析。以防火墙的日志显示窗口（如图 4所示）为例，可以看到某些IP地址因连续输入错误密码被添加到黑名单，这一行为在同一段时间出现数次，而且是不同的IP地址在进行。可以推断有非法入侵者设法破解防火墙登录密码，非法进入防火墙，在IP被阻止后，采取改变IP的方法重复操作。通过这些日志，可以锁定某些入侵频率较高的IP地址。

4 结束语

通过日志服务器，我校信息中心管理人员能全面掌握网络设备和服务器的运行情况和授权访问情况，及时调整管理方案，减轻管理人员工作负担，极大地提高了网络安全的技防力量。下一步我们将进行日志审计和数据分析方向的研究，进一步提高网络安全防范能力。

参考文献：

[1] 刘东远，程东.日志服务器的研究和应用[J].电脑知识与技术，2006（33）：54.

[2] 李甜.基于Syslog的日志审计系统的研究和实现[J].中国新通信，2008（12）：47.

[3] 温炜，郭玲. Syslog在企业网络管理中的应用[J].宁夏电力，2009（5）：42.

[4] 李晨光原创IT博客. 利用Eventlog Analyzer分析日志[EB/OL].[2014-5-19]. https：//www.cnblogs.com/chenguang/p/3742234.html.

[5] 百度百科. Event Log [EB/OL].[2018-4-21]. https：//baike.baidu.com/item/Event%20Log/9562319.

[通聯编辑：代影]