选择区域语言: EN CN HK

H3C SecPath A2000-G[AK][V]系列运维审计系统 日志告警信息说明(E6111 E6112)-5W101

手册下载

1 声明

Copyright © 2019 新华三技术有限公司及其许可者 版权所有,保留一切权利。

未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

2 简介

运维审计系统支持对接syslog服务器,并将运维审计系统产生的一些告警事件通过syslog日志发送至syslog服务器。

本文档将对运维审计系统上报的这些syslog日志告警信息的格式进行详细的介绍,并对告警事件的配置进行简单指导。

2.1 软件模块列表

运维审计系统的日志告警包括身份验证、资产访问、命令防火墙、会话复核这些模块所产生的告警,具体如下:
表2.1 软件模块列表
模块 说明
身份验证 用户登录运维审计系统,产生的登录验证的事件消息。
资产访问 用户通过运维审计系统访问目标资产,产生的资产访问事件消息。
命令防火墙 用户通过运维审计系统访问目标资产,执行高危操作中预定义的高危命令,所触发的事件消息。
会话复核 用户通过运维审计系统访问目标资产,触发高危操作中预定义的会话复核规则,所触发的事件消息。

2.2 告警事件级别

运维审计系统产生的告警事件拥有不同的级别,有些事件的级别已由系统预定义,有些事件的级别则需要管理员进行配置,如不配置,则将不会发送相应的告警事件日志。

事件级别由低到高依次为:NONE (不发送告警事件)—>DEBUG(调试级)—>INFORMATIONAL(通知级)—>NOTICE(注意级)—>WARNING(告警级)—>ERROR(错误级)—>CRITICAL(临界级)—>ALERT(警戒级)—>EMERGENCY(致命级)。

2.2.1 系统预定义的告警事件级别

身份验证的事件级别,运维审计系统已经预先定义,无法修改,具体如下:

表2.2 系统预定义的告警事件级别
事件 级别 消息
身份验证成功 INFORMATIONAL login authorize success
身份验证失败 WARNING login authorize fail

2.2.2 配置资产访问的告警事件级别

资产访问的告警事件级别,需要在权限的规则模板中定义,仅当指定用户访问指定资产使用该规则模板时才会触发告警事件。设置方法如下:

权限 > 权限配置 > 规则模板中新增或编辑模板时,设置访问资产时生成事件事件级别标题

设置完后需要在动态权限或工单中引用此规则模板,从而在匹配相关权限的场景时会触发syslog事件消息。

2.2.3 配置会话复核的告警事件级别

会话复核的告警事件级别,需要在会话复核规则中定义,仅当触发该会话复核规则时才会触发告警事件。设置方法如下:

高危操作 > 设置 > 会话复核中新增或编辑会话复核规则时,设置开始待审核会话时生成事件事件级别标题

2.2.4 配置命令防火墙的告警事件级别

命令防火墙的告警事件级别,需要在高危命令规则中定义,仅当触发该高危命令规则时才会触发告警事件。设置方法如下:

高危操作 > 设置 > 高危命令中新增或编辑高危命令时,设置触发高危命令时生成事件事件级别标题

2.3 配置告警事件

管理员需要在运维审计系统中配置syslog日志的事件来源和发送对象等相关参数。

启用资产访问、命令防火墙、会话复核这些未预定义告警事件级别的事件,需要先完成设置告警事件级别
  1. 使用超级管理员登录运维审计系统
  2. 选择系统设置 > 系统 > 基本设置 > 告警事件
  3. 设置各参数,完成后单击确定


    参数 说明
    syslog日志事件来源
    配置需要通过Syslog发送的日志类型和最低发送级别(Severity)。
    • 事件类型

      • 身份验证
      • 资产访问
      • 命令防火墙
      • 会话复核
    • 事件级别:在只发送级别不低于X的事件消息中选择需要发送的事件级别,只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。事件级别的定义请参考告警事件级别
    syslog日志发送对象 配置Syslog服务器:
    • 远程主机:Syslog服务器IP地址,默认端口为514,自定义端口可在ip地址后加“:端口号”,例如“10.10.16.15:8022”。
    • syslog机制:设置Syslog消息的Facility值,用于指定Syslog服务的日志保存路径并对日志进行分类,与Syslog服务器上的实际设置保持一致。
    • 标识:用于配置Syslog的identifier,可以是任意字符,长度不超过30。建议配置为运维审计系统或者对运维审计系统的其它称谓。

3 身份验证

当用户登录运维审计系统进行身份验证时,无论验证是否成功都会发送该告警日志。

3.1 参数说明

表3.1 身份验证日志参数说明
参数 说明
时间 用户登录运维审计系统的时间。

格式为月 日 时:分:秒,例如:Feb 27 09:21:39。

主机名 运维审计系统的主机名,和系统状态中显示的主机名一致。

例如h3c-node01。

标识 配置告警事件时填写的标识名称。
事件标题 取值范围如下:
  • login(WEB):通过Web界面登录
  • login(GUI):通过RDP客户端登录
  • login(TUI):通过SSH客户端登录
  • login(API):通过API登录
事件级别 取值范围如下:
  • (INFORMATIONAL):登录成功时的事件级别。
  • (WARNING):登录失败时的事件级别。
身份验证方式 格式为service=value,value取值范围如下:
  • native:本地密码认证。
  • radius:RADIUS认证。
  • totp:动态令牌认证。
  • pubkey:密钥认证。
  • usbkey:USBKey认证。
  • AD/LDAP服务器的名称:例如AD/LDAP,表示使用对应名称的AD/LDAP服务器进行认证。
  • 双因子认证的名称:例如双因子认证1,表示使用对应名称的双因子认证方式进行认证。
Note:
  • 短信认证和手机令牌只能作为双因子认证的一维,因此只会显示双因子认证的名称。
  • X.509认证不在此处显示。
  • 登录认证失败则将不显示该参数。
用户ID 格式为identity=value,value为用户登录名,例如admin。
登录源IP 格式为from=value,value为用户访问运维审计系统使用的本地IP地址,例如10.10.67.15。
登录结果 取值范围如下:
  • login authorize success:登录成功。
  • login authorize fail:登录失败。
登录异常提示 仅当登录失败时发送,用于指示登录失败的原因:
  • failure:密码或密钥输入错误。
  • disabled:用户被禁用。
  • accountExpired:用户帐号过期。
  • passwordExpired:用户密码过期。
  • adPwdReset:AD/LDAP设置了下次登录时改密。
  • sendCode:短信发送失败。
  • codeError:短信验证码校验失败。
  • x509CheckFailed:X.509证书认证失败。
  • concurrentLogin:并发登录。

3.2 日志样例

表3.2 身份验证日志样例
日志内容 Feb 27 09:21:51 h3c-node01 33.1: login(WEB)(INFORMATIONAL)(service=native, identity=admin, from=10.10.67.15, login authorize success)
参数解释
  • 时间:Feb 27 09:21:51
  • 主机名:h3c-node01
  • 标识:33.1
  • 事件标题:login(WEB)
  • 事件级别:INFORMATIONAL
  • 身份验证方式:service=native
  • 用户ID:identity=admin
  • 登录源IP:from=10.10.67.15
  • 登录结果:login authorize success
日志说明 2月27日09:21:51,源IP 10.10.67.15使用admin帐号,通过本地密码验证方式登录运维审计系统Web界面,并且登录成功。其中运维审计系统的主机名为h3c-node01,标识为33.1
处理建议 无需处理。

4 资产访问

当用户通过运维审计系统访问资产时,会话建立后会立即发送告警日志。

4.1 参数说明

表4.1 资产访问日志参数说明
参数 说明
时间 用户登录运维审计系统的时间。

格式为月 日 时:分:秒,例如:Feb 27 09:21:39。

主机名 运维审计系统的主机名,和系统状态中显示的主机名一致。

例如h3c-node01。

标识 配置告警事件时填写的标识名称。
事件标题 配置告警事件级别时,在相应的权限规则模板中设置的事件标题
事件级别 配置告警事件级别时,在相应的权限规则模板中设置的事件级别
会话ID 格式为id=value,value为该访问资产的会话的ID,由运维审计系统自动生成,例如S1WG1ZIZ2AGVDR。
访问方式 格式为service=value,value为用户通过运维审计系统访问资产的方式。取值范围如下:
  • tui login:建立的会话为字符会话。
  • gui login:建立的会话为图形会话。
访问的资产 格式为server=value1(value2),value1为访问的资产名称,value2为访问资产的IP地址,例如win2012(10.10.33.80)。
帐号名称 格式为account=value,value为访问资产使用的帐号名称(实际名称或any、self)。
用户ID 格式为identity=value1(value2),value1为登录运维审计系统使用的用户名,value2为该用户的姓名,例如admin(admin)。
登录源IP 格式为from=value,value为用户访问运维审计系统使用的本地IP地址,例如10.10.67.15。

4.2 日志样例

表4.2 资产访问日志样例
日志内容 Feb 27 17:21:27 h3c-node01 33.1: 访问Windows资产(INFORMATIONAL)(id=S11EWJHVYWPIS7, service=gui login, server=win2012(10.10.33.80), account=administrator, identity=admin(admin), from=10.10.67.15)
参数解释
  • 时间:Feb 27 17:21:27
  • 主机名:h3c-node01
  • 标识:33.1
  • 事件标题:访问Windows资产
  • 事件级别:INFORMATIONAL
  • 会话ID:id=S11EWJHVYWPIS7
  • 访问方式:service=gui login
  • 资产名称:server=win2012(10.10.33.80)
  • 帐号名称:account=administrator
  • 用户ID:identity=admin(admin)
  • 登录源IP:from=10.10.67.15
日志说明 2月27日17:21:27,源IP 10.10.67.15使用运维审计系统帐号admin(姓名同样为admin),使用系统帐号administrator访问名称为win2012、IP为10.10.33.80的资产。其中运维审计系统的主机名为h3c-node01,标识为33.1,会话ID为S11EWJHVYWPIS7,事件标题为访问Windows资产
处理建议 无需处理。

5 命令防火墙

当用户通过运维审计系统访问资产,在资产上执行了高危操作中设置的命令时,发送日志告警。需复核的命令在复核完成后才会发送告警。

5.1 参数说明

表5.1 命令防火墙日志参数说明
参数 说明
时间 用户登录运维审计系统的时间。

格式为月 日 时:分:秒,例如:Feb 27 19:15:29。

主机名 运维审计系统的主机名,和系统状态中显示的主机名一致。

例如h3c-node01。

标识 配置告警事件时填写的标识名称。
事件标题 配置告警事件级别时,在相应的高危命令规则中设置的事件标题
事件级别 配置告警事件级别时,在相应的高危命令规则中设置的事件级别
会话ID 格式为id=value,value为该访问资产的会话的ID,由运维审计系统自动生成,例如S2UNUMCCK0M3ML。
高危操作类型 固定为service=cmdcheck,表示命令防火墙。
执行动作 格式为action=value,value为触发的命令复核对应的执行动作,取值范围为:
  • notice:通知
  • deny:拒绝
  • kill:终止会话
  • confirm(pass):动作为需复核,复核结果为允许执行。
  • confirm(deny):动作为需复核,复核结果为拒绝执行。
访问的资产 格式为server=value1(value2),value1为访问的资产名称,value2为访问资产的IP地址,例如 CentOS(10.10.33.30) 。
帐号名称 格式为account=value,value为访问资产使用的帐号名称(实际名称或any、self)。
用户ID 格式为identity=value1(value2),value1为登录运维审计系统使用的用户名,value2为该用户的姓名,例如admin(admin)。
登录源IP 格式为from=value,value为用户访问运维审计系统使用的本地IP地址,例如10.10.67.15。
命令内容 格式为command=value,value为执行的高危命令的内容,例如systemctl restart network

5.2 日志样例

表5.2 命令防火墙日志样例
日志内容 Feb 27 19:15:29 h3c-node01 33.1: 触发高危命令(WARNING)(id=S2UNUMCCK0M3ML, service=cmdcheck, action=confirm(pass), server=CentOS(10.10.33.30), account=root, identity=user01(用户1), from=10.10.67.15, command=systemctl restart network)
参数解释
  • 时间:Feb 27 19:15:29
  • 主机名:h3c-node01
  • 标识:33.1
  • 事件标题:触发高危命令
  • 事件级别:WARNING
  • 会话ID:id=S2UNUMCCK0M3ML
  • 高危操作类型:service=cmdcheck
  • 执行动作:action=confirm(pass)
  • 访问的资产:server=CentOS(10.10.33.30)
  • 帐号名称:account=root
  • 用户ID:identity=user01(用户1)
  • 登录源IP:from=10.10.67.15
  • 命令内容:systemctl restart network
日志说明 2月27日19:15:29,源IP 10.10.67.15使用运维审计系统帐号user01(姓名为用户1),通过系统帐号root访问名称为CentOS、IP为10.10.33.30的资产,在资产上执行了systemctl restart network命令,触发命令复核且复核通过。

其中运维审计系统的主机名为h3c-node01,标识为33.1,会话ID为S2UNUMCCK0M3ML,事件标题为触发高危命令。

处理建议 关注执行的命令是否存在风险,复核结果是否合适,执行后使资产上的配置发生了哪些改变。

6 会话复核

当用户通过运维审计系统访问资产,触发了会话复核时,发送日志告警。

6.1 参数说明

表6.1 会话复核日志参数说明
参数 说明
时间 用户登录运维审计系统的时间。

格式为月 日 时:分:秒,例如:Feb 27 09:21:39。

主机名 运维审计系统的主机名,和系统状态中显示的主机名一致。

例如h3c-node01。

标识 配置告警事件时填写的标识名称。
事件标题 配置告警事件级别时,在相应的会话复核规则中设置的事件标题
事件级别 配置告警事件级别时,在相应的会话复核规则中设置的事件级别
会话ID 格式为id=value,value为该访问资产的会话的ID,由运维审计系统自动生成,例如S2NAA5HWBXQZJO 。
高危操作类型 固定为service=sessionReview,表示会话复核。
访问的资产 格式为server=value1(value2),value1为访问的资产名称,value2为访问资产的IP地址,例如 CentOS(10.10.33.30) 。
帐号名称 格式为account=value,value为访问资产使用的帐号名称(实际名称或any、self)。
用户ID 格式为identity=value1(value2),value1为登录运维审计系统使用的用户名,value2为该用户的姓名,例如user01(用户1)。
登录源IP 格式为from=value,value为用户访问运维审计系统使用的本地IP地址,例如10.10.67.15。
复核人姓名 格式为authorizer=value,value为复核人的姓名,例如用户2。
复核提示 固定为wait for reviewing,表示等待复核。

6.2 日志样例

表6.2 会话复核日志样例
日志内容 Feb 27 17:12:09 h3c-node01 33.1: 触发会话复核(WARNING)(id=S2NAA5HWBXQZJO, service=sessionReview, server=CentOS(10.10.33.30), account=root,identity=user01(用户1), from=10.10.67.15, authorizer=用户2, wait for reviewing)
参数解释
  • 时间:Feb 27 17:12:09
  • 主机名:h3c-node01
  • 标识:33.1
  • 事件标题:触发会话复核
  • 事件级别:WARNING
  • 会话ID:id=S2NAA5HWBXQZJO
  • 高危操作类型:service=sessionReview
  • 访问的资产:server=CentOS(10.10.33.30)
  • 帐号名称:account=root
  • 用户ID:identity=user01(用户1)
  • 登录源IP:from=10.10.67.15
  • 复核人:authorizer=用户2
  • 复核提示:wait for reviewing
日志说明 2月27日17:12:09,源IP 10.10.67.15使用运维审计系统帐号user01(姓名为用户1),通过系统帐号root访问名称为CentOS、IP为10.10.33.30的资产,访问该资产需要进行会话复核,选择了用户2作为复核人。

其中运维审计系统的主机名为h3c-node01,标识为33.1,会话ID为S2NAA5HWBXQZJO,事件标题为触发会话复核

处理建议 关注该次资产访问是否存在风险,复核结果是否合适。