配置Stonesoft防火墙
防火墙分析仪支持Stonesoft Firewall 5.5
配置Stonesoft设备,向防火墙分析仪发送Syslog
- 停止Stonesoft log server service
- 打开Stonesoft的安装目录之下的 LogServerConfiguration.txt文件
- 更改以下属性
| 属性 |
值 |
| SYSLOG_EXPORT_FORMAT |
设置属性为 CEF |
| SYSLOG_PORT |
默认端口为 UDP 514, 保持不变 |
| SYSLOG_SERVER_ADDRESS |
防火墙分析仪的IP地址(v4) |
设置访问规则的日志选项
- 启动Stonesoft log server service
- 登录到Stonesoft的管理界面
- 对规则启用Log Accounting Information,它将提供Open和connection日志
- 导航到IPV4页签,编辑访问规则
- 双击Logging单元,打开日志选项对话框
- 按下表的解释选择对应的选项
| 选项 |
描述 |
| Connection Closing |
No log |
当连接关闭时不记录日志 |
| Normal log |
连接打开和关闭时都记录日志,但不收集流量的信息。 |
| Log Accounting Information |
连接打开和关闭时都记录日志,并提供流量信息。本选项对于发出告警的规则不适用。
如果要生成流量报表,必须对所有允许流过的规则选中本选项。 |
这样,Stonesoft防火墙就会向防火墙分析仪发送Syslog。
如何启用IPS日志?
将SYSLOG_EXPORT_IPS 属性更改为 YES。默认为: NO
SYSLOG_EXPORT_FW=YES
SYSLOG_EXPORT_IPS=NO
重启日志服务器。
如何启用URL日志?
要对HTTP协议的访问规则启用深度检查(deep inspection),
右击Action Cell, 在Connection Tracking 页签, 选中 Edit Options > 选择 'Override Inspection Options Set With Continue Rules' ,再选择'Deep Inspection'。
Stonesoft防火墙的URL日志,由HTTP服务参数的'Logging of accessed URLs'设置控制。如果启用它,所访问的URL将被记录。
如果HTTP连接匹配了HTTP服务的访问规则,这时,如果启用URL日志,但是没有启用深度检查(deep inspection),则URL将以'HTTP_URL-Logged'类型写入到日志的'Information Message'字段。
如果HTTP连接匹配了HTTP服务的访问规则,这时,如果启用URL日志,同时也启用深度检查(deep inspection), 则URL将写入日志的两个字段,分别为'HTTP Request Host'和'HTTP Request URI','HTTP Request Host'包含访问主机名(如:www.example.com), 'HTTP Request URI'包含具体的访问URI(如:/something/here/page.php), 这样,实际访问的地址就是 www.example.com/something/here/page.php
防火墙日志的 'Information Message' 字段,在Syslog配置文件中应该作为INFO_MSG字段定义:
SYSLOG_CONF_FILE=${SG_ROOT_DIR}/data/fields/syslog_templates/default_syslog_conf.xml
<datatypeinfo>
<exportable_field_list>
<version> 1 </version>
<name>Export list - Default</name>
<fieldreflist>
...
<fieldref> INFO_MSG </fieldref>
...
</fieldreflist>
</exportable_field_list>
</datatypeinfo>
'HTTP Request Host' 和 'HTTP Request URI' 字段是IPS的日志字段,由深度检查生成。默认它们没有导出,但是可以作为附加导出字段,添加到default_syslog_conf.xml文件的导出字段:
<fieldref> HTTP_REQUEST_HOST </fieldref>
<fieldref> HTTP_REQUEST_URI </fieldref>
|
