设备都接在三方厂商的核心交换机上,172.16.100.2—172.16.100.8都为服务器地址,服务器操作系统为windows server 2008系统;日志审计IP地址为:172.16.100.41,客户端电脑为172.168.100.238 。
平台有事件总数,但查看不到具体的日志信息,之前开局时可以看到正常的登录服务器日志信息,现在无法看到相关的windows日志采集信息。
配置和排查流程截图:
1、资产添加正常
2、在【系统】-【插件中心】中,下载windows agent(兼容32位和64位操作系统)客户端程序,进行安装。
注意端口使用的是5145对接,采集器的地址是综合日志审计平台的地址核对无误。
勾选『开启系统日志采集引擎』,“全选”日志类型:
3、查看agent所在服务器进程启动情况,有一个winlogon.exe的进程,没有文档中写的winlogbeat.exe的进程。(参考官网3.2章节排查思路)
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_CSAP-SA-AK/Maintenance/Troubleshooting/SecCenter_CSAP-SA-AK_TG-E6101/?CHID=369854#_Toc81558473
4、查看本地安全策略开启,组合键“win+r“打开运行输入”secpol.msc”打开本地安全策略,依次打开本地策略à审核策略à依次更改右侧的安全设置为成功,失败。
5、 查看事件查看器,组合键“win+r“打开运行输入”eventvwr.msc”打开事件查看器,查看windows日志中的“安全“、”应用程序“、”系统“对应的时间。
6、telnet 5145端口发现不通,并且设备日志监测没有数据过来,但是抓包能看到服务器有相关数据发出来,中间不经过其他安全设备,端口不存在阻塞。
资产列表的视图发现,添加的资产属于过滤中。
官网6.1.9章节有明确如下说明,最后关闭过滤正常。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作