文档中心

上云无忧 > 文档中心 > 天翼云日志审计事件常见问题QA
天翼云
日志审计
简介/价格/文档
天翼云日志审计事件常见问题QA

文档简介:
Q:设备日志配置了syslog或trap发送到日志审计服务器,但在审计系统中查不到该设备事件,如何排查? A:首先保证设备日志已发到审计服务器上,通过抓包工具可以验证,window通过wireshark或Kiwi;linux可通过tcpdump命令如tcpdump udp port 514 host 192.168.1.1。
*产品来源:中国电信天翼云。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

事件


Q:设备日志配置了syslog或trap发送到日志审计服务器,但在审计系统中查不到该设备事件,如何排查?

A:首先保证设备日志已发到审计服务器上,通过抓包工具可以验证,window通过wireshark或Kiwi;linux可通过tcpdump命令如tcpdump udp port 514 host 192.168.1.1。


Q:为什么在采集器中配置了加密转发,但在审计中心中收不到转发的事件?
A:请检查审计中心的采集器配置,看转发参数中是否也选中了加密转发,两者必须配对使用。


Q:为什么在合并规则中定义了合并规则,在审计中心该合并规则没有生效?
A:在合并规则中定义合并规则后,在采集器模块引用该合并规则后才能生效。


Q:日志采集器和审计中心中断后,会缓存事件么?如果缓存,再次连通时,是先发送缓存事件还是实时事件?
A:日志采集器和审计中心中断后,默认缓存100万条事件,服务器再次连通后,根据先进先出的原则,先发送缓存的事件,再发送实时事件。


Q:事件加密转发采用的什么加密方法?
A:3DES。


Q:通过 WMI 采集 Windows的日志时,采集不到windows日志采集怎么办?
A:windows 2008,先检查服务器上的Remote Procedure Call (RPC)、Remote Registry、Server是否已启用,若这三个服务已启用,再检查WMI采集任务配置时的帐号信息是否正确,最后检查防火墙是否启用,若防火墙启用就需要把WMI使用的端口加到允许策略中,还需要关掉 UAC:控制面板-用户帐户-更改用户帐户设置,改为从不通知,然后重启系统。


Q:若管理中心系统服务或采集器服务安装在linux系统中,接收不到事件怎么进行排查?
A:使用查看linux上防火墙是否已启用,若防火墙已启可以用 service iptables stop 关闭防火墙或设置iptables -A NIPUT -p udp --dport 514 -j ACCEPT,通过ps –e |grep syslogd 查看linux自身syslog服务是否已启,若该服务启动也会造成日志审计系统接收不到日志,使用service syslogd stop 关闭服务后在重启日志审计系统服务。


Q:采用WMI与日志代理两种方式采集windows日志各有哪些优缺点?
A:WMI采集windows日志
优点:
不需要分别对每台主机安装客户端,便于对采集设备进行集中管理。
缺点:
一、需要用户给我们提供每台widows主机的管理员帐号和密码;
二、WMI默认使用1024以上动态端口,需要在每台windows主机上配置固定端口段(这个配置工作量比较大),才能在防火墙开通这些端口;
三、需要启动server、 Remote Registry、Remote Procedure Call(RPC)三种服务,用户的windows主机都做过安全加固,在做安全加固时把 Remote Registry、Remote Procedure Call(RPC)服务器禁掉了,若把这些端口打开将打破用户目前安全基线;
四、需要开启tcp 135端口,这样给主机会带来一定的安全风险;
五、若过一段时间用户的密码进行修改,在采集任务配置界面也需要修改相应的密码。
安装客户端采集widows日志
优点:
 不需要打破用户目前的安全基线,便于以后采集范围扩展。
缺点:
一、需要在每台windows主机上安装客户端(安装工作量会很大),若采集器存在缺陷,需要对每台windows服务器分别进行升级(,维护工作量也比较大);
二、采集windows日志的服务器存在windows版本和windows主机客户端环境不一致(目前服务器操作系统有windows server 2003  32位中文企业版SP2、windows server 2003 32位中文标准版、Windows server 2003 32位英文企业版 SP2 、Windows 2003 Server SP1 企业版 、Windows Server 2003 R2 Enterprise  64、Windows Server 64位 2008 Enterprise Edition 等多个版本),这样会造成安装客户端与操作系统版本兼容性不确定性;
三、若分别在每台主机上安装采集器客户端,若以后这些服务器在长时间运行出现蓝屏或死机等情况,会存在被用户猜测是我们安装客户端造成的风险。


Q:系统安装在linux上采集不到syslog日志,但是在该linux系统上使用tcpdump udp port 514能看到事件,是什么原因?
A:这是linux自身的syslog服务起udp 514端口和审计系统接收syslog日志使用的udp 514端口冲突,使用service syslog stop 停掉syslog服务,在重启服务能够解决。


Q:系统收不到任何日志但是 wireshark 可以抓取到包,是什么原因?
A:运行 netstat -na|find "514"  发现端口处于正常监听状态,一定要确认机器本身的防火墙是否关闭。


Q:系统我有多台设备在发送日志,但有部分设备的日志无法收到,是什么原因?
A:具体接收到日志的设备的个数,可以在日志源统计中查看。


Q:系统如何将事件转发到第三方平台?
A:在本地采集器配置-转发参数中配置,注意转发端口默认是8514端口,可将全部范式化后的事件转发出去,如果修改为514端口,仅转发原始消息。


Q:当在linux与aix系统配置syslog时,相同的配置为什么aix收不到日志?
A:linux与aix系统配置syslog时存在差异,需要注意aix不可以*.* @,aix下只能*.info@;linux均可以。

相似文档
  • 天翼云日志审计资产常见问题QA
    Q:启用资产自动发现,系统收到外部事件,为什么在资产中没有显示发现的资产? A:在进行资产自动发现时是基于事件的设备地址和设备类型时进行发现的,在接收的外部事件没有进行范式化或设备类型没有指定时,资产进行自动发现时找不到设备类型,所以资产中没有显示发现的资产。
  • 天翼云日志审计工作台常见问题QA
    Q:工作台的主要用途? A:工作台为用户提供一个使用信息安全运营中心的快捷入口,通过预先配置,综合展现和当前登录用户有关的日常工作活动,提供一站式管理功能。工作台是用户相关的,把系统各功能模块进行有序的联系,形成面向用户的、条理清晰的工作桌面。
  • 天翼云日志审计规则常见问题QA
    Q:规则如何启用和告警? A:进入规则的上级目录,在规则列表中点击“编辑”,即可配置启用和告警 Q:规则动作中配置了声音和提示框告警,为什么有告警却没有声音和提示框? A:首选看右上角声音和提示框控制是否处于启用状态。另声音和弹框,只会在一个客户端出现。
  • 天翼云日志审计用户见问题QA
    Q:用户被锁定后怎么解锁? A:用户默认的锁定策略是输错3次密码锁定5分钟,用户被锁定后使用超级管理员登录系统,在权限模块找到被锁定的用户点击该用户后面的解锁按钮进行解锁或等待锁定时间后系统自动解锁。
  • 天翼云日志审计系统常见问题QA
    Q:系统装在linux上配置系统时间同步服务器的IP地址后,报无法连接服务器。 A:原因是linux系统的时钟同步NTPD服务与日志审计冲突导致,关闭NTPD服务并重新在日志审计上配置系统事件同步后问题解决。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部