Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

Linux 系统上的系统日志服务器配置示例

安全的 Junos OS 环境需要审核事件并将其存储在本地审核文件中。记录的事件同时发送到外部系统日志服务器。系统日志服务器接收从设备流式传输的系统日志消息。系统日志服务器必须配置具有 NETCONF 支持的 SSH 客户端才能接收流式传输的系统日志消息。

NDcPP 日志捕获事件,下面列出了其中一些事件:

  • 提交的更改

  • 用户登录和注销

  • 无法建立 SSH 会话

  • SSH 会话的建立或终止

  • 更改系统时间

配置到本地文件的事件日志记录

您可以配置将消息存储到本地文件以及要随语句一起 syslog 记录的详细级别。此示例将日志存储在名为 syslog 的文件中:

配置到远程服务器的事件日志记录

通过设置事件跟踪监视器,该监视器使用 NETCONF over SSH 将事件日志消息发送到远程系统事件日志记录服务器,从而配置将审核信息导出到安全的远程服务器。以下过程显示使用 NETCONF over SSH 将系统日志消息发送到安全外部服务器所需的配置。

从远程服务器启动连接时,配置到远程服务器的事件日志记录

以下过程介绍从远程系统日志服务器启动与 TOE 的 SSH 连接时配置到远程服务器的事件日志记录的步骤。

  1. 在远程系统日志服务器上生成 RSA 公钥。

    系统将提示您输入所需的密码。将显示密钥对的 syslog-monitor 存储位置。

  2. 在 TOE 上,创建一个名为、有权 monitor 跟踪事件的类。
  3. 创建一个名为该用户的用户 syslog-mon ,该用户具有类监视器,并使用位于远程 syslog 服务器上的密钥对文件中的密钥对的 syslog-monitor 身份验证。
  4. 使用 SSH 建立 NETCONF
  5. 配置 syslog 以记录 / var/log/messages 中的所有消息。
  6. 在远程系统日志服务器上,启动 SSH 代理。需要启动以简化系统日志监视器密钥的处理。
  7. 在远程系统日志服务器上,将 syslog-monitor 密钥对添加到 SSH 代理。

    系统将提示您输入所需的密码。输入步骤 1 中使用的相同密码。

  8. 登录到 external_syslog_server 会话后,建立到设备的隧道并启动 NETCONF。
  9. 建立 NETCONF 后,配置系统日志事件消息流。此 RPC 将导致 NETCONF 服务开始通过已建立的 SSH 连接传输消息。
  10. 下面列出了系统日志消息的示例。监视在系统日志服务器上收到的为 TOE 上的管理员操作生成的事件日志。检查在审核服务器和 TOE 之间传递的流量,观察在此传输过程中未查看这些数据,并且审核服务器已成功接收这些数据。匹配本地事件与系统日志服务器中记录的远程事件之间的日志,并记录测试期间审计服务器上使用的特定软件(如名称、版本等)。

以下输出显示系统日志服务器的测试日志结果。

网络配置通道

以下输出显示了在 TOE 上生成的、在系统日志服务器上接收的事件日志。

网络配置通道

以下输出显示收到的本地系统日志和远程系统日志类似。