首页

Security Analytics中的DHCP Syslog使用

在NetFlow Analyzer的Security Analytics中,精准的IP与主机名映射对于有效的基于资产的异常检测至关重要。这主要通过DHCP Syslog实现。

  1. 为什么Security Analytics中优先使用DHCP Syslog
  2. IP映射的优先顺序
  3. 如何配置DHCP Syslog配置文件
  4. 如何根据服务器类型配置Syslog转发

为什么Security Analytics中优先使用DHCP Syslog

dhcpsyslog1

手动映射是静态的,仅限已知的固定IP设备。Active Directory是定期更新的,可能无法反映实时变化。而DHCP Syslog提供实时准确的数据,使资产管理更优化。

DHCP Syslog提供动态映射:

IP地址 ↔ MAC地址 ↔ 主机名

该映射至关重要,因为IP地址因DHCP租赁频繁变化,单个机器(资产)可能随时间使用不同IP。主机名保持一致,有助于识别真实来源,无论IP如何变化。因此,Security Analytics是基于资产而非基于IP。

IP映射的优先顺序

为了解析IP到主机名,Security Analytics使用以下优先顺序:

  1. 手动映射
    • 用于静态IP设备
    • 如果IP存在于此映射中,则始终优先
  2. DHCP Syslog(Security Analytics必需)
    • 动态映射优先,因其准确且实时更新
  3. Active Directory
    • 直接从Active Directory服务器获取IP到用户名映射,辅助将网络活动与特定用户关联
  4. DHCP服务器日志
    • 根据租赁记录解析DHCP服务器日志以映射IP地址与主机名

如何配置DHCP Syslog配置文件

在NetFlow Analyzer中,可在IP映射下配置DHCP Syslog配置文件。

如何配置DHCP Syslog配置文件?

dhcpsyslog2

在NetFlow Analyzer中配置DHCP Syslog:

  1. 进入:
    设置 → NetFlow → IP映射 → DHCP Syslog
  2. 点击“添加配置文件”,填写以下内容:
    • 配置文件名称:此配置的唯一名称。
    • 服务器类型:从下拉列表选择DHCP服务器类型(如Windows、Cisco等)。

    3. 如何选择服务器类型?

    • 服务器类型应与您的DHCP服务器厂商或平台匹配(如Windows Server DHCP、Cisco、Linux ISC DHCP等)。
    • NetFlow Analyzer使用此信息正确解析传入Syslog的格式。
    • 如果不确定:
      1. 检查DHCP服务器的操作系统或产品类型。
      2. 参考DHCP服务器文档。
      3. 或者,初始选择通用选项(如有),根据解析效果调整。

    选择正确的服务器类型可确保准确提取Syslog消息中的IP–MAC–主机名信息。


  3. 端口号:输入您的DHCP服务器导出Syslog的端口号。

    4. 如何选择端口号?

    1. 端口号应与DHCP服务器用于导出Syslog的端口匹配。
    2. 大多数DHCP服务器允许配置用于Syslog导出的自定义端口 —— 常用端口包括514(默认)。
    3. 确保所选端口:
      • 未被其他服务占用。
      • 在DHCP服务器与NetFlow Analyzer之间开放且可访问。
    4. 在NetFlow Analyzer中创建DHCP Syslog配置文件时,也需填写相同端口号,路径:IP映射 → DHCP Syslog配置。

表中列详细说明如下:

  • 配置文件名称: DHCP配置的唯一标识符。
  • 服务器类型: DHCP服务器厂商或类型。
  • 端口号: 用于接收/导出Syslog的端口。
  • 状态:
    1. 已接收Syslog:NetFlow Analyzer已成功接收到DHCP Syslog消息。
    2. 未接收Syslog:配置文件已配置,但尚未收到任何DHCP Syslog消息。
    3. Syslog已停止:DHCP Syslog收集因以下原因之一停止,
      a. 流已发送
      b. 已更改配置端口
      c. 端口被其他服务占用
      d. 处理Syslog的后台线程停止
      e. 其他内部问题
    4. 已开始日志解析:已接收到DHCP Syslog消息,解析开始。
    5. 日志解析成功:接收的Syslog消息无错误解析成功,IP到主机名映射已提取。
    6. 日志解析失败:接收了Syslog消息,但因格式不正确、消息结构错误或不支持的日志内容,解析失败。

注意:导出DHCP Syslog时,必须使用NetFlow Analyzer中配置的相同端口。

 

如何根据服务器类型配置Syslog转发

以下是根据DHCP服务器类型配置Syslog转发的步骤。

支持的DHCP服务器类型包括,

  1. Linux
  2. Windows
  3. Palo Alto
  4. ISC
  5. Kea
  6. Cisco Prime

1. 从Linux DHCP服务器转发DHCP日志

  • DHCP守护进程(dhcpd)使用syslog设施生成日志
  • 日志交由本地服务器上的rsyslog处理
  • rsyslog通过UDP将选择的日志转发到远程日志服务器

(本例中,DHCP日志使用local7 syslog设施)

步骤1:配置DHCP使用local7设施

编辑DHCP配置文件:
/etc/dhcp/dhcpd.conf
添加或更新以下行:
log-facility local7;
•log-facility local7指示dhcpd将所有DHCP相关日志发送至local7 syslog设施
•这样可轻松区分DHCP日志与其它系统日志

步骤2:配置rsyslog转发DHCP日志

编辑rsyslog配置文件:
/etc/rsyslog.conf
(或在/etc/rsyslog.d/下创建专用文件,如dhcp-forward.conf)
添加以下条目:
local7.* @10.XX.XX.XX:1540
•local7.*捕获来自local7设施的所有日志级别
•“@”表示UDP传输(“@@”表示TCP)
•10.XX.XX.XX:1540为远程日志服务器IP及UDP端口

步骤3:(可选但推荐)本地存储DHCP日志

若要保留DHCP日志的本地副本,添加:
local7.* /var/log/dhcpd.log
然后创建日志文件并设置权限:
touch /var/log/dhcpd.log
chmod 644 /var/log/dhcpd.log

步骤4:重启服务

重启相关服务以使更改生效:
systemctl restart rsyslog
systemctl restart dhcpd
步骤5:验证日志转发 检查本地DHCP日志
tail -f /var/log/dhcpd.log
检查rsyslog状态
systemctl status rsyslog
在中央日志服务器验证
•确认UDP端口1540已接收日志
•确保防火墙规则允许此端口的UDP流量
防火墙注意事项
确保允许DHCP服务器的出站UDP流量:
UDP 1540 → 10.XX.X.XX
若启用防火墙:
firewall-cmd --add-port=1540/udp --permanent
firewall-cmd --reload

2. 从Windows DHCP服务器转发DHCP日志

Windows DHCP服务器不原生支持使用syslog协议发送日志。要转发DHCP日志,必须使用第三方syslog转发代理。安装并配置后,DHCP日志可以通过UDP转发到NetFlow Analyzer,实现IP到主机名关联与安全分析。

有关详细配置说明和第三方NXLog示例配置,请参阅: https://docs.nxlog.co/integrate/windows-dhcp-server.html

3. 从Palo Alto DHCP服务器转发DHCP日志

要从配置为DHCP服务器的Palo Alto防火墙转发DHCP服务器日志,必须启用并配置设备上的syslog转发。启用后,防火墙可通过UDP将日志发送至NetFlow Analyzer进行进一步分析和监控。

有关将系统日志转发至syslog服务器的分步说明,请访问: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClM9CAK

4. 从ISC DHCP服务器转发DHCP日志

要通过UDP转发来自ISC DHCP(dhcpd)服务器的DHCP日志,需配置日志收集代理,从本地syslog服务捕获DHCP服务器消息并发送至syslog服务器。

有关详细配置示例及nxlog.conf段落示例,请参阅官方NXLog指南: https://docs.nxlog.co/integrate/dhcpd.html

5. 从ISC Kea DHCP服务器转发DHCP日志

要通过UDP转发来自ISC Kea DHCP服务器的DHCP日志,须先配置Kea内置的日志设置,将DHCP事件写入系统日志或日志文件。

有关配置Kea内部日志的详细说明,请参阅: https://kb.isc.org/docs/kea-logging-configuration

6. 从Cisco Prime DHCP服务器转发DHCP日志

Cisco Prime Network Registrar (CPNR)中的DHCP服务器组件为IP地址分配、更新、释放和租约过期等DHCP操作生成日志。

要通过UDP转发这些日志到集中syslog服务器,必须配置:

  • CPNR中的DHCP日志记录
  • 远程syslog转发设置

有关详细分步配置说明,请参阅官方Cisco文档: https://www.cisco.com/c/en/us/td/docs/net_mgmt/prime/network_registrar/11-2/dhcp/guide/DHCP_Guide/DHCP_Guide_chapter_01.html#con_1049660

重要提示:

  • 启用Security Analytics时,DHCP Syslog映射为必需且无法禁用。
  • 在基本设置 → IP解析中也无法关闭DHCP Syslog。
  • 请确保DHCP Syslog配置文件正确配置,且日志导出端口与配置文件中指定的端口一致。

 

优势相关产品