下载后可任意编辑事件源 Agent 部署要求1 部署范围安全产品数目部 署 采 集 机(名称/IP)Agent 部署描述Windows 主机通 过 Windows Event 日 志 来 采 集 , 在 采集 服 务 器 上 部 署 Windows 主 机 的 专 用Agent ,把关怀的 Windows 主机日志采集到SOC 系统中。UNIX 主机通 过 Logging Server 收 到 各 个 设 备 使 用syslog 转发的相关日志, SOC 系统分别通过部署在 pc 服务器的相应得 Agent 获得这些设备 日 志 , 并 对 日 志 进 行 格 式 化 , 保 存 到 Soc系统中。Cisco 路由器Nortel FoundryRadwareCisco 交换机RSA ACE ServerPix 防火墙Linktrust 防火墙通过 ODBC 接口方式采集。先在 PC 服务器上安装防火墙的日志管理工具,该工具通过 Syslog 的 方 式 获 得 部 署 在 中 国 电 信 中 的LTCW 防火墙日志, SOC 系统通过一个部署在同一台 pc 服务器的 Agent 获得该日志,并对日志进行格式化,保存到 Soc 系统中。LinkTurst IDS通过 odbc 数据库接口方式采集。由于本项目的 ids Sensor 实行集中管理的方式,分布在全网的 sensor 由部署在中心点的 ec 统一管理,所有在 SOC 中心 pc 服务器上 NIDS 的Agent , 负 责 接 收 来 在 IDS Sensor 上 的 安 全下载后可任意编辑事项并转发到 soc 服务端。趋势防病毒系统通过 odbc 数据库接口方式采集。ISS RealSecure IDS通过 odbc 数据库接口方式采集。CA IDS , CA Access Control 待定2 部署要求2.1 Windows 主机1.将 evtsys.zip 中的两个文件(evtsys.exe 和 evtsys.dll)展开到 Windows 系统 system32目录下2.然后运行下面的命令安装服务: evtsys -i -h IP -p 514 -h 为 syslog 服务器地址 -p 为 syslog 服务器端口3.在系统服务面板中,将 eventlog to syslog 服务的启动类型设定改为自动 并启动该服务。注:根据实际情况 IP 取 192.168.18.12(内网地址)或 202.102.15.237(外网地址)2.2 LINUX 主机LINU 系统接入方法:通过 Syslog 转发到 KiWi 服务器1. 在 Unix 系统的/etc/hosts 文件中增加一行IPloghost注:根据实际情况 IP 取 192.168.18.11(内网地址)或 202.102.15.237(外网地址)2. 在 Unix 系统/etc/syslog.conf 文件最后追加以下 7 行*.alertifdef...
