一、基礎(chǔ)配置

1、LAS系統(tǒng)默認(rèn)IP：192.168.17.100，賬戶密碼：admin/woniu123，登錄界面

2、在首頁右上角進(jìn)入數(shù)據(jù)采集菜單，配置日志客戶端進(jìn)行日志采集。

3、先下載Windows和Linux的Agent端，并安裝于目標(biāo)系統(tǒng)上。在兩個(gè)操作系統(tǒng)中，都將安裝一個(gè)名為nsfocusagent的服務(wù)，并確認(rèn)服務(wù)已經(jīng)正常啟動(dòng)。最小化接入網(wǎng)絡(luò)結(jié)構(gòu)圖如下（全部主機(jī)位于192.168.17.0網(wǎng)段）：

4、進(jìn)行日志接入：

（1）選擇系統(tǒng)日志類型，此處以Linux為例（Windows同）

（2）選擇要接入的采集器，保持默認(rèn)值：192.168.17.100（CU:192.168.17.100）

（3）配置接入方式，默認(rèn)建議選擇Agent，當(dāng)然也可以選擇適用于Linux系統(tǒng)的Rsyslog。

如果要使用Rsyslog接入，則只需要編輯 /etc/rsyslog.conf中，在末尾添加：*.* @@192.168.17.100:514?即可

（5）完成接入

5、以下圖中接入了三臺(tái)設(shè)備，一臺(tái)Windows，兩臺(tái)Linux（分別使用Agent和Rsyslog），并且在右邊可以看到已處理的日志數(shù)量。

6、以上，日志接入完成，也可以在Agent中看到代理端的連接情況，并進(jìn)行進(jìn)一步的配置。

二、查看日志和事件告警

1、日志分析

利用SSH客戶端遠(yuǎn)程登錄Linux操作系統(tǒng)，IP地址為192.168.17.60，獲得一條系統(tǒng)日志，查詢?nèi)缦拢?/p>

上述只是對(duì)Agent采集到的日志進(jìn)行查詢，將日志進(jìn)行格式化輸出而已，并不是安全告警，僅用于事后審計(jì)。

2、事件告警

日志審計(jì)系統(tǒng)通過配置告警規(guī)則，也可以對(duì)日志進(jìn)行告警，類似于HIDS系統(tǒng)的安全預(yù)警，如：

三、配置告警規(guī)則

1、添加日志文件

進(jìn)入采集終端下的Agent節(jié)點(diǎn)，為目標(biāo)IP配置數(shù)據(jù)采集

指定日志文件路徑（監(jiān)控指定日志，與Wazuh類似），也可以指定要進(jìn)行審計(jì)的目錄（類似于Wazuh的文件完整性監(jiān)控）。

目前該設(shè)備無法采集應(yīng)用服務(wù)日志，只能進(jìn)行目錄審核。如果要進(jìn)行日志分析和預(yù)警，需要手工添加日志文件，在Linux

系統(tǒng)中，編輯：“/etc/.nsfmhp/syslog.conf”，將需要進(jìn)行分析的日志手工添加即可。

并重啟Agent服務(wù)

2、配置事件規(guī)則

（1）配置404狀態(tài)碼規(guī)則

第一步：在分類中創(chuàng)建規(guī)則

第二步：為規(guī)則設(shè)置名稱和過濾條件

（2）配置SQL注入規(guī)則（在Web入侵事件中）

（3）配置SSH登錄失敗規(guī)則（在Linux嫌疑事件中）

單純?cè)谠O(shè)置中配置事件規(guī)則，還不能進(jìn)行告警，所以還需要繼續(xù)為事件規(guī)則配置告警規(guī)則。

3、配置告警規(guī)則

（1）配置404狀態(tài)碼基礎(chǔ)告警

（2）為404狀態(tài)碼配置閾值告警

當(dāng)觸發(fā)閾值預(yù)警時(shí)，會(huì)有高風(fēng)險(xiǎn)告警提示：

（3）其他的SQL注入和SSH登錄，也可以進(jìn)行相同的設(shè)置。告警規(guī)則列表如下：

（4）最后看到的告警信息如下：

四、其他配置

1、修改設(shè)備IP地址

2、通知配置

3、添加數(shù)據(jù)庫審計(jì)源

（1）選擇數(shù)據(jù)庫源

（2）輸入數(shù)據(jù)庫信息

（3）輸入數(shù)據(jù)庫賬密

（4）對(duì)指定的數(shù)據(jù)表進(jìn)行新增操作，查看日志如下：