hillstone日志审计系统VM镜像

扛把子

Hillstone公开的镜像还算比较全，今天测试了一下日志审计系统，但是效果不是很理想，日志虽然收集到了，但是没有实时产生告警信息。
使用方法：
step1：导入虚拟机镜像，开机
step2：控制台输入默认密码hillstone/hillstone
step3：配置网络：(hillstone)>ipconfig eth0 172.16.1.110 255.255.255.0 up //管理口，这个根据自己的实际情况配置
                             (hillstone)>ipconfig eth1 172.16.2.10 255.255.255.0 up //业务口接收日志，这个根据自己的实际情况配置
管理口web登录默认账号密码：admin/hillstone

step4：将主机的日志发送到日志审计系统
Windows：使用evtsys

1. evtsys.exe -i  -h 172.16.2.10  -f local3

复制代码

Linux：编辑/etc/rsyslog.conf文件：

1. [root@localhost ~]# cat /etc/rsyslog.conf | grep -v "#" | grep -v ^$
   
2. $WorkDirectory /var/lib/rsyslog
   
3. $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
   
4. $IncludeConfig /etc/rsyslog.d/*.conf
   
5. $OmitLocalLogging on
   
6. $IMJournalStateFile imjournal.state
   
7. *.info;mail.none;authpriv.none;cron.none                /var/log/messages
   
8. authpriv.*                                              /var/log/secure
   
9. mail.*                                                  -/var/log/maillog
   
10. cron.*                                                  /var/log/cron
    
11. *.emerg                                                 :omusrmsg:*
    
12. uucp,news.crit                                          /var/log/spooler
    
13. local7.*                                                /var/log/boot.log
    
14. *.*                                                     @172.16.2.10     #设置成业务口IP
    

复制代码

实验效果图：










镜像、软件下载：
pan.baidu.zip (350 Bytes, 下载次数: 207, 售价: 10 EML币)

2021-3-18 21:55 上传

点击文件名下载附件
下载地址

wamoya

可以终于看到个日志审计的镜像了，试试能不能转成qemu格式的

扛把子

wamoya 发表于 2021-3-19 22:35
可以终于看到个日志审计的镜像了，试试能不能转成qemu格式的

qcow2的镜像在传了，还有配置手册。点进去应该能看到了

iminsh

多谢分享

wamoya

扛把子 发表于 2021-3-19 23:14
qcow2的镜像在传了，还有配置手册。点进去应该能看到了

有模板吗，为啥我上传上去用以前山石模板改的打开就报错

望星空意朦胧

非常感谢你的分享

aswq132

正是我现在需要的

xxy5503

扛把子

填个坑：Windows部署：evtsys.exe -i  -h 172.16.2.10  -f local3  #这条命令是安装日志服务，启动需要到services.msc 去启动这个服务，或者使用net start evtsys启动
Qeum镜像未在Eve-ng上测试过，这是官方的镜像

aksail

感谢楼主无私分享