内置日志中心的日志空间是有限的,只能保存一部分日志,如果日志量较大,保存天数较多的时候,可使用外置日志中心。
外置数据中心是一个安装包,安装在实体服务器或VMware虚拟机里的操作系统内,操作系统可使用Windows Server2008或Server2012。
以下相关功能配置均基于Windows Server2012系统。
2.1.1下载外置日志中心
1)外置日志中心下载:点击下载
2)将外置日志中心安装包拷贝到需要安装的服务器中,双击安装程序进行安装。
3)选择数据库的程序、日志以及附件存放的路径。
4)填写数据库的web端口,默认是443,可自定义端口如44345。
5)设置磁盘预警,此处若没有特殊需求,按照默认配置即可。
6)勾选告警选项,默认全部勾选。
7)填写告警邮件收发地址,可暂时不设置直接点击下一步。
8)点击“安装”,完成安装。
9)安装完成后,通过浏览器访问“https://服务器IP:端口号” 即可登录到web页面,初始账号密码admin / admin,本案例中,是在内网的PC上面访问日志中心页面;如果是在服务器上去访问,登陆外置日志中心Web链接为“https://127.0.0.1”,如果端口不是443的话,登陆链接为“https://127.0.0.1:端口号”
2.1.2添加同步策略
1)点击外置日志中心【系统管理】-【同步策略】选项
2)新建同步策略,填写【同步策略名】-【接入秘钥】;选择同步时间,勾选所需的同步日志,默认全部勾选。
2.2.1NAC外置日志中心配置
在NAC的控制台页面,在【系统管理】-【服务管理】-【服务配置】-【日志中心】-【外置日志中心】,点击“外置日志中心配置”,新增外置日志中心:
IP地址为安装外置日志中心的服务器IP地址;
同步策略名与接入密钥,需要和外置日志中心的保持一致;
WEB端口默认是443,需要配置成外置日志中心的web端口。
点击【测试】,返回成功表示NAC和外置日志中心联通性没有问题,可以进行同步操作。
返回到外置日志中心的【同步策略】页面,刚才建立的同步策略的【同步设备】选项中看到,同步日志的设备信息已经可以看到。
在NAC的外置中心配置中,点击【立即同步】按钮,即可开始同步日志。
在【系统管理】-【系统日志】选项中点开【同步器】日志信息,信息中会显示同步的
状态,如果有异常会有告警或错误日志显示出来。
1)虚拟机里安装的操作系统,网络模式需要设置成桥接模式。
2)建议使用IE浏览器访问外置日志中心
3)开启审计后,至少需要等待20分钟,才能在外置日志中心里看到审计日志。
4)历史数据量大的时候,一般推荐客户隔天再进行查看。
5)外置日志中心服务器安装环境最低配置如下:
系统条件:仅支持全新安装在windows2008、 windows2012上的64位操作系统。
软件条件:NAC版本必须是NAC 3.6及之后版本。
硬件条件:
a、安装盘需要至少8GB的硬盘剩余空间。
b、安装外置日志中心的电脑建议使用双核的CPU,内存2G以上。
c、安装盘文件系统必须是NTFS