H3C-ACG1000+日志分析與管理平臺實現行為審計(旁路
【如果在實驗中有什么疑問����,歡迎關注微信公眾號“IT后院”給我留言�,我會抽空回答你的問題】
1.配置需求
如下組網圖所示��,需要在原有的網絡中增加ACG1000來審計內網PC用戶上網行為����,為最小程度避免影響原有網絡�����,所以ACG1000采用旁路模式部署進原有網絡����;為了更好的分析與管理日志��,需要把ACG1000生成的日志輸出到日志分析服務器進行分析與管理�����。
2.網絡拓撲
IP分配
PC:192.168.1.10
ACG1000:192.168.1.11
日志分析服務器:192.168.1.12
網關:192.168.1.254
3.ACG1000詳細配置
3.1 登錄web管理界面
設備管理口(ge0)的默認地址配置為192.168.1.1/24�����。默認允許對該接口進行PING��,HTTPS操作�����。將終端與設備ge0端口互聯�����,在終端打開瀏覽器輸入https://192.168.1.1登錄設備管理界面����。默認用戶名與密碼均為admin�。
3.2 配置旁路接口
選擇“系統管理”>“部署方式”>“旁路部署”中勾選ge1接口���,在彈出的對話框中選擇“確定”�����。
3.3 配置接口IP
選擇“網絡配置”>“接口”>“物理接口”中將ge1接口IP地址修改為192.168.1.11/24���,然后選擇管理方式為“Center-monitor”然后點擊“提交�。
選擇“網絡配置”>“路由”>“靜態路由”>“新建”中創建靜態路由�。目的地址和掩碼都設置為:0.0.0.0(代表所有網段)��,下一跳地址配置192.168.1.254(路由器下聯接口地址)�,配置完成后點擊提交���。
3.4 配置IPV4策略
選擇“上網行為管理”>“策略配置”>“IPV4策略”>“新建”中創建審計策略��。
新建應用審計策略用來審計所有應用��。
新建URL審計策略審計所有網站���,配置完成后選擇提交完成所有配置����。
3.3 配置日志輸出
在“系統管理à日志設定à日志服務器”里勾選“啟用”并配置服務器的IP地址192.168.1.12 點擊“提交”�����。保證服務器的地址和ACG1040設備能正常通信�。
3.5 保存配置
在設備管理界面右上角點擊配置保存�����,保存當前配置����。
4 日志分析與管理平臺配置
4.1 安裝日志分析與管理平臺
首先需要在華三官網 www.h4c.com.cn “產品支持與服務\軟件下載\安全”下載安裝軟件“H3C SecPath ACG1000 日志分析與管理平臺”�。(軟件版本下載賬號:yx800 密碼為:01230123)
下載完成后將版本文件解壓到電腦上���,然后雙擊“setup.exe”開始安裝����,請按照安裝提示完成軟件安裝����。
安裝成功后���,啟動瀏覽器����,輸入登錄信息��。在PC上啟動IE瀏覽器(建議使用IE9.0 及以上版本)���,例如:安裝服務器在地址欄中輸入http://127.0.0.1 或者用該服務器的IP地址http://192.168.1.12 后單擊“Enter”鍵����,即可進入下圖所示的SecPath ACG1000日志分析與管理平臺登錄頁面����。
輸入系統缺省的用戶名“super”和密碼“super.123”,并輸入驗證碼����,點擊“登錄”按鈕即可進入ACG1000 Manager并進行管理操作����。
4.2 添加ACG設備
在ACG日志分析與管理中心的頁面的導航欄中選擇“設備管理—>設備管理”��,選擇添加“設備”來添加ACG1000設備���,輸入設備的IP地址“192.168.1.11”�����,賬號密碼為“admin/admin”點擊“確定”�����。
成功添加ACG1040設備���,可以查看到ACG1000的 CPU����、內存以及磁盤的信息����,在管理平臺上點擊“WEB管理”可以直接進入被管理的ACG1040的管理頁面�����。
4.3 查看日志
管理平臺成功管理到ACG1000后�����,可以在管理平臺里查看ACG1000審計到下面終端相關日志�。
允許轉載�,但必須注明出版處與原文鏈接��,否則追究其法律責任��,謝謝合作�����!
(原文博客:https://blog.51cto.com/11179786)
