虚拟化服务器+华为防火墙+kiwi_syslog访问留痕

一、适用场景

1、大中型企业需要对接入用户的访问进行记录时，以前用3CDaemon时，只能用于小型网络当中，记录的数据量太大时，本例采用破解版的kiwi_syslog。
2、当网监、公安查到有非法访问时，可提供基于五元组的外网访问日志记录作为依据。
3、内网的用户量大，在访问外网情况复杂的情况下，保留一定时间内访问的电子记录。

二、拓扑图与思路

（一）前提

1、各设备之间的区域安全策略放行，路由打通
2、内网到DMZ，DMZ到内网，内网到外网，外网回内网，均能互通
3、虚拟化的部署已完成，vm server与内网之间能正常通信，对虚拟化部署不熟悉的，可以从前面写的文章中了解。

4、在vm server 2008上配置wiki_syslog服务时，指定接收日志的ip地址，为防火墙到LSW1的G1/02与G1/0/3绑定的逻辑链路接口Eth-trunk上配置的ip地址，即该Eth-trunk是三层接口（注意实战操作时，防火墙上的接口配置为二层模式，加入到Eth-trunk链路聚合后，再把Eth-trunk逻辑接口配置为三层模式，然后再给三层模式的Eth-trunk接口配置ip地址）。

（二）思路

1、在日志服务器wiki_syslog上配置接收日志的接口时，指定上述Eth-trunk接口的ip地址，既能接收内网访问服务器的网络流量日志，又能接收内网访问外网的网络流量日志。
2、使用1台物理服务器，虚拟化成多台vm server后，可以在1台虚拟化的物理服务器上跑多种不同的业务，而且业务独立运行，各业务之间的端口不会出现冲突。
3、防火墙与内网区域之间的链路采用Eth-trunk的双链路聚合，既能让网络流量负载均衡在2条链路上跑，又能起到冗余的作用，当1条链路故障后，另1条链路仍然可正常运行，确保业务不中断。

三、配置过程（本例以wiki_syslog为主）

（一）华为防火墙配置

1、登录到华为防火墙后，从上方点系统，然后左侧选日志配置、日志配置

2、华为防火墙安全策略配置（略）
3、路由配置（略）
第2、3步是根据具体的实际环境，打通网络完成的操作，具体的命令可参考之前写的文章

（二）vm server 2008上安装wiki_syslog

下载地址：链接：http://pan.baidu.com/s/1mhVr84S 密码：ptas
1、解压后，执行kiwi_syslog_server_9.5.0.setup.exe

2、同意协议，如下图：

3、安装能以服务的方式进行，也能以应用程序的方式进行，本例选服务的方式如下图：

4、可以手动指定一个统计管理员，也能用本地系统统计，此处本例选默认本地，如下图：

5、选择安装kiwi_syslog的WEB访问方式，勾选即可，如下图：

6、选安装的组件时，我们选NORMAL正常的默认选项即可，如下图：

7、指定 安装的路径，此处我们默认安装C盘的路径下，若要修改安装路径点browse浏览按钮，如下图。（但是后面日志保存的路径设置，我们放在别的磁盘中，后面的步骤中会指出日志文件保存在哪个路径下）

8、安装的过程中，会提示需要安装.net Framework 3.5，是否下载安装，如下图：（本例我们手动已经下载好了一个.net Framework4.5.2，所以只要安装即可。）

9、等待dotnetfx35.exe安装结束，如下图：

10、等待完成组件的安装，如下图：

11、进入到WEB方式访问服务的安装，如下图，点next进行下一步

12、需要安装以下组件，其中第一项skip跳过了，找到了别的版本，如下图：

13、在完成所需的先决条件之后自动开始安装主应用程序，如下图：

14、等待先决条件的安装，如下图：

15、进入到kiwi_syslog的WEB访问安装向导，如下图：

16、accept接受协议，点next安装下一步

17、安装完成后，让桌面、开始菜单、快速启动栏显示kiwi_syslog的程序图标，如下图：

18、指定安装的路径，如下图：

19、指定站点的根路径和访问的端口号，如下图：

20、指定WEB方式访问kiwi_syslog的用户名和密码，如下图：

21、可以back返回修改，也可以点install开始安装，如下图：

22、等待安装完成，如下图：

23、点finisth完成安装，如下图：

24、打开时可以看到，运行试用期14天，如下图，所以接下来要完成破解的过程

25、打开 任务管理器，从进程中，找到syslog开头的3个进程，逐一结束进程，如下图：

26、把注册机文件夹下的2个文件，替换到安装目录中，如下图：


27、替换2个文件之后，打开kiwi_syslog，执行help菜单中的enter license details，输入许可协议

28、选择非internet注册，采用线下注册的方式，点next，如下图：

29、点copy unique Machine ID按钮，复制机器码，如下图：

30、提示机器码已经被复制到剪贴板，点确定，如下图：

31、运行算号器时，提示需要安装.net framework4.0以上的版本，所以我们下载了一个.net framework4.5.2

32、安装.net framework4.5.2，开始解压，如下图：

33、进入安装程序，如下图：

34、接受协议，安装，如下图：

35、等待安装进度，如下图：

36、完成.net framework4.5.2的安装后，再执行算号器，就可以打开了

37、把前面第30步复制的机器码，粘贴到Enter your Unique Machine ID：的位置后，输入用户名，再指定一个靠后一点的过期日期（即该kiwi_syslog运行到哪天过期），点gernerate!，生成一个许可协议文件

38、把生成的许可协议文件REPT.lic.lic保存到桌面上，如下图：

39、回到kiwi_syslog软件中，点browse浏览按钮，把刚才保存到桌面的REPT.lic.lic指定为了许可协议，点next，如下图：

40、导入许可协议文件后，kiwisyslog 协议被激活，如下图，

41、点finish完成kiwi_syslog的激活

42、打开kiwi_syslog后，从help菜单执行about kiwi syslog server后，可以看到过期日期是我们设置的2088年8月1日，说明激活成功。

（三）配置wiki_syslog

1、配置wiki_syslog的日志文件保存的文件名称、路径、保存的单个日志文件的大小

注：上图中的12，是指配置保存在日志服务器中的文件数量，最大可配置1000，可根据实际网络的流量情况配置，一般保存半年到一年，观察峰值时间段的流量计算一下。本次实战中，20分钟需要300MB的日志文件容量，即半年大概4TB。
2、新建计划任务，
（1）右击schedule，add new schedule，新建计划任务，如下图：

（2）以天day为单位，每隔7天记录一次。
Source字段（设置临时存储日志的路径）
Destination字段（设置最终日志存储目录）

设置完成后，点apply应用，再点OK退出，重启kiwi_syslog让设置生效。
（3）设置日志文件永久保存的路径 ，本例选择D盘保存，因为C是系统盘，要是日志文件存储的时间长一点之后，可能会满，导致操作系统和日志服务系统无法正常运行，如下图：

3、配置kiwi_syslog接收日志的协议和端口号，如下图：
本次实战中，我们使用的是华为防火墙，UDP协议，514端口，并输入防火墙的内网ip地址

data encoding：选UTF-8，防止有些中文的输出变乱码。

四、结果验证

（一）生成的文件

    文件名称与大小，每个文件以300MB的大小分开，若生成的文件太大，打开时所需占用的内存较多，打开的时间长，所以我们本次实战配置300MB的日志文件大小，就分隔到下一个文件，如下图：

（二）用记事本打开某个日志文件的内容如下图：

（三）以WEB方式访问kiwi_syslog服务器，服务器的ip+端口号，查看即时的数据，如下图：
本例访问地址：
http://192.168.0.21:8088

本文至此结束，kiwi_syslog的具体参数设置还望多多交流。