Shunze 學園 - 《分享》iView虛擬機安裝設定

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》iView虛擬機安裝設定

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》iView虛擬機安裝設定

iView在Cyberoam時代是內建在Cyberoam Appliance裏，
而在Sophos時代，則變為外掛式的log server，可搭配Sophos XG/UTM及Cyberoam使用，進行整合式報表功能。

在Sophos的設定中，100G以下的資料是免費的，
大於100G的資料就需要付費使用。

iView除了可透過ISO檔安裝在實體機外，也提供了多種虛擬系統格式進行安裝部署。
以下順子將以免費的VMplayer來示範如何安裝iView的虛擬機。

首先登入Sophos網站下載頁面，下載iView。

https://secure2.sophos.com/en-us/product...rial/iview.aspx

填好資料，下載iView後，會收到Sophos寄來的信，信中有簡單說明與序號。

解開虛擬機版本的壓縮檔後，開啟VMplayer，選擇Open a Virtual Machine來進行虛擬機的匯入。

在匯入的檔案類型，請選擇ovf檔，並移至剛解開的資料夾，就可以看到可供匯入的ovf檔了～

接下來進行虛擬機的相關設定。

完成後，可以看到該虛擬機的預設硬體配置環境。

要用到4張網卡耶？其實只要一張就夠了啊...

第一次啟用虛擬機會安裝預設的組態設定，預設帳號密碼跟XG一樣都是admin。

輸入密碼登入後，iView就可以在console模式下進行操作了～

iView預設IP為172.16.16.18，請以瀏覽器開啟WebUI。
第一次登入WebUI請接受使用者授權條款。

在接下來的頁面輸入序號並按下 Activate Appliance 時，卻出現錯誤訊息！
這是為什麼呢？

我們在console mode下ping看看，會發現無法連外！

原來iView的4張網卡雖然有預設的IP 172.16.16.18~21，
但其gateway卻是172.16.16.15。
我們必需把gateway改為XG的LAN IP 172.16.16.16，讓iView能透過XG連外。

在console mode中，按下 1 進入 Network Configuration 設定網路組態。

然後再按 1 進入 Interface Configuration 設定網卡IP。

按下 Y 進入編輯。

網卡IP 172.16.16.18~21本身沒有問題，我們略過，
到了重點Gateway IP時，請把IP由原來的172.16.16.15改為172.16.16.16。

修改完成後，我們再去ping，就會發現已經可以連外了。

接下來要改的是DNS設定，因為預設的DNS是本機127.0.0.1，這樣是無法成功解析FQDN的。
按 2 進入 DNS Configuration 設定DNS。

按下 Y 進入編輯。

然後把DNS改為一個真正有作用的DNS主機，例如Google的8.8.8.8，或中華電信的168.95.1.1。

完成後，我們發現以domain name去ping時，可以解析到外部IP了。

Gateway與DNS修正後，回到WebUI再試試啟用iView。

這時會發現iView已可成功啟用了～
接著再進行iView的註冊。

然後會導轉到註冊頁面，按下繼續。

設備註冊中...

註冊完成後，我們就可以同步授權。

完成後，就可以開始設定iView了～

當然在Sophos的My Profile裏也能看到iView的註冊資訊。
註冊完成後，回到WebUI進行登入，這時已經可以看到功能頁面了。
不過可以看到所有偵測裝置都是0，這時要切回XG做設定囉～

在XG的Log Settings中，我們要加一筆外部的log server，也是剛才建的iView。

IP可以打172.16.16.18~21中的任一個IP，而port就用標準的514 port，
然後在Severity Level選Debug，以收集XG的所有資訊。

完成後，在Log Settings頁面中，勾選最上方的check box，這樣所有資訊才會送到iView去喔～
XG的部分就完成了！

回到iView繼續，這時已在Devices中看到XG已經加入了，不過名稱怪怪的，而且也還未啟用。

點進去修改，並啟用XG吧～

要確認狀態是啟用的才能發揮效果喔！

完成後，回到主頁面，會發現Sophos Firewall OS已由0變成1，
而且點進去，也可以看到詳細log內容，iView的設定到此告一段落～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-09-29, 22:36

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》iView能看到什麼？

由於XG每個類別的log只能保留1100筆記錄，
因此若要查詢XG上比較舊的log，會因這1100筆的限制，而查詢不到！

透過log server來保留完整記錄，是個傳統且理想的選擇。
但...
Sophos iView真的是一個理想的log server的解決方案嗎？？

在順子的實測中發現，iView能看到的相當有限...

首先，iView中比較多的是報表的展現，
左邊功能表中的前6項功能，全是各種類別的分析報表，並不是log記錄。
再來，在最下面功能中的Live Logs子功能是防火牆的firewall的即時記錄，
可以顯示最多到100筆的firewall log。

這部分確實是log無誤，但只有最多100筆的firewall即時記錄，
沒有更多的log，也其它類別的log。
而在Audit Logs子功能中，所呈現的是iView本身的相關稽核記錄，
跟XG或其它來源裝置無關。
另外，在Archives中雖然有提供舊的log資料查找，

但很遺憾的，提供查記的記錄，也只有firewall log，沒有查它類別可選(例如email protection、malware detection等類別)。

結論
想透過iView來查詢完整、其它類別的歷史log(例如email protection、malware detection等記錄)而不是報表？
iView並不是一個好選擇喔...

原廠建議的第三方syslog serer有kiwi，prtg，splunk等，
有需要的可以試試看喔～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2017-05-15, 14:33