d、下发配置:进入“业务 >> 流量分析与审计 >> 服务器管理”,在“服
务器列表”中选择配置下发,出现如下图示时表示下发成功:
下发成功的截图如下:
e、 配置常用审计模版:
以审计web应用为例,配置模版如下:
f、 点击web_audit的审计,结果输出如下:
同理,还可以创建基于MAIL、FTP的应用审计任务,如下截图分别是基于MAIL应用和基于FTP应用的审计结果:
和NAT设备配合进行用户行为审计案例
设备侧配置:
1、配置设备snmp参数: snmp-agent
snmp-agent sys_info version all snmp-agent community read public snmp-agent community write private
2、配置发送日志的版本、设备地址、接收服务器地址和端口: userlog flow export version 3 //配置发送日志版本
userlog flow export source-ip 172.16.254.9 //配置发送设备源地值,同添加iMC平台的设备地址一致
userlog flow export slot 0 host 172.16.40.32 9020 //配置接收日志的iMC UBA服务器地址和端口
userlog flow export slot 3 host 172.31.61.2 9020 //配置接收日志的iMC UBA服务器地址和端口
3、配置日志生成机制:
session log bytes-active 1 //配置输出会话日志的字节数流量阈值 session log time-active 10 //配置输出会话日志的时间阈值 4、在外网NAT端口使能日志统计功能:
session log enable inbound //使能入方向上的NAT日志统计 session log enable outbound //使能出方向上的NAT日志统计 iMC UBA侧配置:
说明:由于iMC UBA组件默认不对二进制日志进行处理,所以需要修改配置文件,使能iMC UBA处理NAT日志,方法是:
将文件$\\imc\%unba\\conf\\sysreceiver.xml中的红色0修改为1,然后保存,并重起iMC服务即可:
1、添加NAT发送设备,添加设备的时候使用的SNMP模版要与设备侧配
置一致:
下图显示的是在iMC平台添加成功后的NAT日志设备列表:
2、在iMC UBA中增加该设备为NAT日志发送设备,如下图所示: