摘要:
案例环境测试设备:Huawei USG6507软件版本: V500R001C30SPC100前言单位外网边界部署了一台华为防火墙,一是作为安全边界,二是充当NAT路由器功能。时近百... 案例环境
测试设备:Huawei USG6507
软件版本: V500R001C30SPC100
前言
单位外网边界部署了一台华为防火墙,一是作为安全边界,二是充当NAT路由器功能。时近百年党庆,上级部门对网络安全的要求越来越严。其中上网nat日志记录是重点要求之一。比如上级给一个时间点,IP地址及访问的端口,让我们查是那台设备发出的请求。要满足上述任务,必须开启防火墙的日志功能并将其保存在远程日志服务器上。(上级给的时间点可能是几个月前,一般要求日志至少保留3个月)
要做这件事,需要分两个步骤,一是配置防火墙日志相关功能,二是配置日志服务器接收防火墙发送过来的日志。
配置防火墙
#开启消息中心服务info-center enable#指定传送日志源端口info-center loghost source GigabitEthernet1/0/0#指定日志主机IP,不指定端口默认为514(TCP)info-center loghost 192.168.200.14#接下来是配置nat会话表日志#指定日志类型为syslog firewall log session log-type syslog#允许并发发送 firewall log session multi-host-mode concurrent#指定发送源IP地址和端口(端口任意找个未用的即可) firewall log source 192.168.128.199 30026#指定日志服务器IP及端口(syslog默认端口为514) firewall log host 1 192.168.200.14 514接下来需要配置安全策略,开启会话日志记录功能
#进入安全策略配置security-policy#设置名为trust_untrust的安全策略 rule name trust_untrust#这是最关键的一点,开启会话日志功能 session logging source-zone trust destination-zone untrust action permit到这儿,防火墙的配置暂告一段落,接着配置日志服务器。
日志服务器环境
OS:centos 7.6
日志软件:rsyslog
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)$ModLoad imjournal # provides access to the systemd journal#加载tcp模块$ModLoad imtcp#模块端口514$InputTCPServerRun 514#自建模板,模板名称RemoteLogs,日志存储到/data/fwlog目录下,HOSTNAME和PROGRAMNAME为内建变量,用于建立对应目录和对应文件$template RemoteLogs,"/data/fwlog/%HOSTNAME%/%PROGRAMNAME%.log" *#记录所有日志*.* ?RemoteLogs$WorkDirectory /var/lib/rsyslog$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat$IncludeConfig /etc/rsyslog.d/*.conf$OmitLocalLogging on$IMJournalStateFile imjournal.state#将以下信息写入到自定义模板中*.info,mail.none,authpriv.none,cron.none ?RemoteLogsmail.none;authpriv.none;cron.none /var/log/messagesauthpriv.* /var/log/securemail.* -/var/log/maillogcron.* /var/log/cron*.emerg :omusrmsg:*uucp,news.crit /var/log/spoolerlocal7.* /var/log/boot.log配置完成后重启rsyslog服务
systemctl restart rsyslog进入/data/fwlog查看日志是否发送过来
image.png
相应日志已经自动生成,我最关心的nat会话日志以日期命名的方式来存储。
image.png
屏幕截图 2021-06-27 100636.png
可以看到,日志按天建立目录,按小时写入不同文件,nat会话记录已经写入到文件中,任务完成。
