「原创首发」手把手指导安全日志管理中心实战(1)——规划

随着网络安全法落地、攻击日新月异、等保测评的更新，近几年SEIM、SOC、态势感知越来越火，作为一名安全运维人员，要是不会点安全日志集中管理平台的建立，有点说不过去了。

网上教程很多，纸上得来终觉浅，此次实战问题不少。

一、信息收集

1.计划收集linux的/var/log目录下的message,secure,lastlog,wtmp,maillog,cron,audit/audit,yum,command,sudo 日志；

2.收集window下的event事件，暂时仅收集4625日志，饭要一口一口吃；

3.收集网络设备、安全设备的日志。

二、容量评估

1. 每台linux服务器的日志，每月需要20M的存储空间；

2. 每台win服务器的日志整除情况下每日200K，每月6M；

3. 网络设备日志相对较少，每台每天多少就不写了；

4. 安全设备每台每天多少就不写了；

5. 网络流量，初步估计所需空间每日XXXM,每月XXG；---实际使用远远不止，还好资源充足；

综上

linux每月所需的20M计算（生产约XXXX台），一年所需XXXG空间；

win服务器每台每月6M（生产约XXX台），一年所需XXXG；

安全设备每月XXXG,一年所需XXXXG空间；

三、平台规划

win和linux安装ossec进行日志收集分析，早期团队也有安装ossec，但一直没人维护，也无大盘，本次应该无需安装，但需要考虑兼容性的问题，其他设备使用syslog方式传递日志。以下是好不容易攒下来的机器，内存标配

10.10.10.70 600G+1.8T NIDS-1

10.10.10.71 600G+1.8T NIDS-2

10.10.10.72 600G+7.2T ES-1

10.10.10.73 600G+7.2T ES-2

10.10.10.74 600G KIBANA+ES-0(manager)

10.10.10.75 600G+1.8T LOGSTACH

ES-0作为集群的管理节点，ES-1和ES-2作为数据节点，读写分离什么的，暂未考虑，等摸到坑了再说，本次实战主要是试试水。(很多文章写的ES集群要求配置一致，我估摸着manager配置差点没事，资源有限啊)

四、逻辑架构

五、安装步骤

后续组件的安装预告如下：

ELK-7.6.2安装，ubuntu平台，应该是最新版了；

suricata安装并展示；

wazuh-ossec安装，推广，展示；

waf接入展示；

AD接入展示；

网络设备接入展示；

展示内容优化；

威胁建模/机器学习。