选择区域语言: EN CN HK

H3C SecPath AFC2000系列 日志手册-5W100

手册下载

H3C SecPath AFC日志信息参考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright ©2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 


 

1 简介·· 1

1.1 日志格式说明·· 1

1.2 如何获取日志信息·· 2

1.2.1 通过控制台获取日志·· 2

1.2.2 通过日志文件获取日志·· 2

1.2.3 将日志信息发送到日志服务器·· 2

1.3 软件模块列表·· 2

1.4 文档使用说明·· 3

2 系统管理日志·· 3

2.1 流量图绘制日志·· 4

2.2 登录日志·· 4

2.2.1 WEB管理·· 4

2.2.2 CLI管理·· 5

2.3 整机转发日志·· 6

2.4 邮件告警日志·· 7

2.4.1 发送成功日志·· 7

2.4.2 发送失败日志·· 7

2.5 接口状态日志·· 8

3 操作日志·· 10

3.1 防护范围·· 10

3.2 主机状态·· 11

3.2.1 添加主机·· 11

3.2.2 修改、删除主机·· 11

3.3 连接监控·· 12

3.4 屏蔽记录·· 12

3.5 报文捕捉·· 12

3.5.1 开始、停止捕捉·· 12

3.5.2 下载数据包·· 13

3.6 全局参数·· 13

3.7 规则设置·· 13

3.8 端口保护·· 14

3.8.1 添加、修改端口防护·· 14

3.8.2 重置端口防护·· 14

3.8.3 修改协议定义·· 14

3.9 黑白名单管理·· 15

3.9.1 添加、删除、修改黑白名单·· 15

3.9.2 导入、导出、清空黑白名单·· 15

3.10 域名管理·· 15

3.10.1 提交、删除域名·· 15

3.10.2 导入、导出、清空域名·· 16

3.10.3 清除收集域名·· 16

3.11 变量管理·· 16

3.12 集群管理·· 17

3.13 设备管理·· 18

3.13.1 接口地址设置·· 18

3.13.2 DNS设置·· 18

3.13.3 对端设置·· 18

3.13.4 恢复默认·· 19

3.13.5 重启设备·· 19

3.14 SNMP管理·· 20

3.15 时间管理·· 20

3.15.1 NTP服务器、时区·· 20

3.15.2 时间设定·· 21

3.16 磁盘管理·· 21

3.16.1 WEB界面操作·· 21

3.16.2 CLI界面操作·· 22

3.17 用户组管理·· 23

3.18 用户管理·· 23

3.18.1 添加用户·· 23

3.18.2 删除用户·· 24

3.19 日志管理·· 25

3.20 系统配置·· 25

3.21 系统备份恢复·· 25

3.22 修改密码·· 26

4 攻击防护日志·· 26

4.1 主机防护日志·· 26

4.2 高层协议分析日志·· 28

4.3 规则匹配日志·· 29

 


1 简介

日志信息包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。

本文假设您已具备数据通信技术知识,并熟悉H3C网络产品。

1.1  日志格式说明

缺省情况下,日志采用如下格式:

Time severity msg

表1-1 日志字段说明

字段

描述

Time

时间戳记录了日志信息产生的时间,方便用户查看和定位系统事件

·     时间格式固定是“yyyy-mm-dd hh:mm:ss”,不可更改(日和时之间有一个字符空格)

·     的数字如果是1~9,前面会补0

Severity

日志信息的等级,具体说明详见1-2

Msg

该日志的具体内容,包含事件或错误发生的详细信息。

 

日志信息按严重性可划分为如1-2所示的三个等级,各等级的严重性依照数值从02依次降低。

表1-2 日志严重等级说明

级别

严重等级

描述

0

关键

表示严重信息,如接口链路状态变化、设备重启、集群状态改变等

1

保护

表示防护主机状态发生改变或者持续处于某种防护状态,如有[SYN Flood]攻击,防护主机进入[SYN]状态

2

普通

表示一般信息,如修改参数、登录信息、绘制流量图、设备流量和连接信息等

 

本文使用1-3定义的方式表示日志描述字段中的可变参数域。

表1-3 可变参数域

参数标识

参数类型

INT16

有符号的16位整数

UINT16

无符号的16位整数

INT32

有符号的32位整数

UINT32

无符号的32位整数

INT64

有符号的64位整数

UINT64

无符号的64位整数

DOUBLE

有符号的双32位整数,格式为:[INT32].[INT32]

HEX

十六进制数

CHAR

字节类型

STRING

字符串类型

IPADDR

IP地址

MAC

MAC地址

DATE

日期

TIME

时间

 

1.2  如何获取日志信息

缺省情况下,设备的信息中心功能处于开启状态,并允许向控制台(console)、WEB页面、日志服务器(loghost)和本地日志文件(logfile)方向输出日志信息。

1.2.1  通过控制台获取日志

用户通过Console接口登录设备后,可以在控制台上实时看到设备输出关键等级的日志。

1.2.2  通过日志文件获取日志

缺省情况下,系统将需要记录的日志实时记录到日志文件当中。日志文件中的内容可以通过WEB页面的日志查询实时查看,也可以通过“下载”,将日志文件下载到客户端本地查看。

1.2.3  将日志信息发送到日志服务器

您可以通过配置日志服务器向指定的IP地址发送设备的日志信息,还可以配置日志服务器接收日志信息的端口号(该值需要和日志主机侧的设置一致,缺省为514)。如果设备侧配置的日志服务器接收日志信息的端口号与日志服务器侧不一致,则日志服务器将无法接收日志信息。

1.3  软件模块列表

1-4列出了所有可能生成日志信息的日志模块。

表1-4 日志模块列表

模块名

说明

系统管理日志

流量图绘制、登录日志、整机转发日志、邮件告警日志、接口状态日志等

操作日志

修改参数产生的日志

攻击防护日志

主机防护产生的日志

 

1.4  文档使用说明

本文将系统日志信息按照软件模块分类,在每个模块中,系统日志信息按照助记符的名称。在开源软件模块输出的日志信息中,助记符均为SYSLOG,本文使用日志简要描述作为该类日志信息标题,不做特殊排序。

本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考1-5

表1-5 日志信息表内容说明

表项

说明

举例

日志内容

显示日志信息的具体内容

[DATE] [TIME]  User  [STRING] modified [STRING] .

参数解释

按照参数在日志中出现的顺序对参数进行解释

参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数。

$1:时间(yyyy-mm-dd

$2:时刻(hh:mm:ss

$3:用户名

$4:操作内容

日志等级

日志严重等级

2

举例

一个真实的日志信息举例。

fwctrl : user admin modified control service configuration.

日志说明

解释日志信息和日志生成的原因

用户admin修改系统配置。此条日志在用户修改系统配置内容后输出。

处理建议

建议用户应采取哪些处理措施。级别为6的“Informational”日志信息是正常运行的通知信息,用户无需处理

正常修改配置产生的信息,无需处理

 

说明

本产品所有日志均是以[DATE] [TIME]开头,所以下文中不再赘述。

 

2 系统管理日志

本节介绍状态系统管理输出的日志信息。

2.1  流量图绘制日志

日志内容

rateview : schedule done with [UINT32] hosts in [UINT32] seconds.

参数解释

$1:绘制流量图的主机数

$2:绘制流量图耗时

日志等级

2

举例

rateview : schedule done with 4 hosts in 1 seconds .

日志说明

系统在1s内统计4个主机的流量图。系统每5分钟统计一次主机流量图。

处理建议

 

2.2  登录日志

2.2.1  WEB管理

1. 登录成功

日志内容

fwctrl : user [STRING] [STRING] login from [IPADDR].

参数解释

$1:用户名称

$2:登录方式

$3:登录客户端IP地址

日志等级

2

举例

fwctrl : user admin WEB login from 1.1.1.1 .

日志说明

客户端IP 1.1.1.1使用admin账号通过WEB方式登录

处理建议

 

2. 登录失败

日志内容

fwctrl : user [STRING] login [STRING] from [IPADDR] due to [STRING] .

参数解释

$1:用户名称

$2:登录结果(failed:失败)

$3:登录客户端IP地址

$4:登录失败原因

日志等级

2

举例

fwctrl : user admin login failed from 1.1.1.1 due to login mode error.

日志说明

客户端IP 1.1.1.1使用admin账号登录失败,登录模式错误

处理建议

·     user not found or password mismatch:用户名不存在或者密码错误

·     login address limited:登录地址受限

·     login mode error:登录模式错误,对应用户名没有勾选“WEB”

 

3. 退出管理界面

日志内容

user [STRING] from [IPADDR] logout from [STRING].

参数解释

$1:用户名称

$2:退出客户端IP地址

$3:退出方式(WEB:退出WEB管理界面)

日志等级

2

举例

user admin from 1.1.1.1 logout from WEB.

日志说明

客户端IP 1.1.1.1使用admin退出WEB管理界面

处理建议

 

2.2.2  CLI管理

1. 登录日志

日志内容

fwctrl : user [STRING] login succeed from [IPADDR|STRING].

参数解释

$1:用户名称

$2:登录客户端IP地址

日志等级

2

举例

fwctrl : user admin login succeed from 1.1.1.1.

日志说明

客户端IP 1.1.1.1使用admin登录CLI操作界面

处理建议

 

说明

登录CLI操作界面有两种方式,通过SSHconsoleSSH登录显示具体IPconsole登录显示local

 

2. 退出日志

日志内容

fwctrl : user [STRING] [STRING] session closed.

参数解释

$1:用户名称

$2:退出方式(CLI:退出CLI操作界面)

日志等级

2

举例

fwctrl : user admin CLI session closed.

日志说明

admin用户退出CLI操作界面

处理建议

 

2.3  整机转发日志

日志内容

report : network [ input [UINT32]/ [UINT32] Mbps [UINT32]/ [UINT32] pps, submit [UINT32]/ [UINT32] Mbps ], trackers [ host [UINT32] tcp [UINT32]/ [UINT32] udp [UINT32] links [UINT32] ] , load min/max/mem : [UINT32]/[ UINT32]/[ UINT32] %.

参数解释

$1:输入流量(单位Mbps

$2:输出流量(单位Mbps

$3:输入报文数(单位pps

$4:输出报文数(单位pps

$5:输入过滤后流量(单位Mbps

$6:输出过滤后流量(单位Mbps

$7:统计主机数

$8TCP输入连接数

$9TCP输出连接数

$10UDP连接数

$11:总连接对数

$12CPU最小利用率

$13CPU最大利用率

$14:内存使用率

日志等级

2

举例

report : network [ input 2605/4927 Mbps 1183374/1242713 pps, submit 1599/4764 Mbps ], trackers [ host 15082 tcp 62465/7015 udp 170471 links 1300701 ] , load min/max/mem : 20/60/49 %.

日志说明

输入流量2605Mbps,输出流量4927Mbps,输入流量1183374pps,输出报文数1242713pps,输入过滤后流量1599Mbps,输出过滤后流量4764Mbps,统计主机15082TCP输入连接数62465TCP输出连接数7015UDP连接数170471,连接对数1300701CPU最小利用率20%CPU最大利用率60%,内存使用率49%。系统每1分钟输出一次整机转发日志。

处理建议

 

2.4  邮件告警日志

2.4.1  发送成功日志

日志内容

fwctrl :[STRING] sending mail.

参数解释

$1:执行结果(succeed:成功)

日志等级

2

举例

fwctrl : succeed sending mail.

日志说明

告警邮件发送成功。达到告警条件后系统发送。

处理建议

 

2.4.2  发送失败日志

日志内容

fwctrl : [STRING] to send mail.

参数解释

$1:执行结果(failed:失败)

日志等级

2

举例

fwctrl : failed to send mail.

日志说明

告警邮件发送失败。达到告警条件后系统发送。

处理建议

·     检查设备邮件相关设置是否正确,SMTP服务器、发送者用户名密码、接收邮箱等

·     检查DNS是否可用

·     检查设备管理IP是否有限制,管理IPDNSSMTP服务器等需要互通而且端口不能有限制

 

2.5  接口状态日志

日志内容

[STRING]: link [STRING] ready.

参数解释

$1:设备接口

$2:设备接口可用状态(becomes:可用;is not:不可用)

日志等级

0

举例

eth0: link is not ready.

日志说明

eth0接口不可用。

处理建议

接口故障,加载失败

 

日志内容

[STRING] NIC Link is Up [UINT32] Mbps [STRING] Duplex, Flow Control: [STRING].

参数解释

$1:设备接口

$2:接口协商速率

$3:接口双工模式

$2:流控模式(RXTXRX/TXnone四种)

日志等级

0

举例

eth1 NIC Link is Up 100 Mbps Full Duplex, Flow Control: RX/TX.

日志说明

接口eth1 处于UP状态,协商速率100Mbps全双工,流控模式接收/发送。电口日志。

处理建议

 

日志内容

startup : [STRING] link is up at [UINT]Gbps [STRING] Duplex.

参数解释

$1:设备接口

$2:接口协商速率

$3:接口双工模式

日志等级

0

举例

startup : gbe10 link is up at 1Gbps Full Duplex

日志说明

接口gbe10处于UP状态,协商速率1Gbps全双工。光口日志。

处理建议

 

日志内容

startup : succeed setting mac address of [STRING] to [MAC].

参数解释

$1:设备接口

$2:接口MAC地址

日志等级

0

举例

startup : succeed setting mac address of gbe9 to 00:11:22:33:44:55

日志说明

设置gbe9接口mac地址为00:11:22:33:44:55。设备启动自动写入。

处理建议

 

日志内容

startup : device [STRING] mac address [MAC].

参数解释

$1:设备接口

$2:接口MAC地址

日志等级

0

举例

startup : device gbe9 mac address 00:11:22:33:44:55.

日志说明

接口gbe9 mac地址为00:11:22:33:44:55。设备启动自动写成成功后输出。

处理建议

 

日志内容

startup : devices list '[STRING]'.

参数解释

$1:设备接口列表

日志等级

0

举例

startup : devices list 'xgbe0 xgbe1 gbe0 gbe1'.

日志说明

接口列表“xgbe0 xgbe1 gbe0 gbe1”。只列出光口的接口名称。

处理建议

 

日志内容

startup : set [STRING] as channel [UINT32] [STRING] device.

参数解释

$1:设备接口

$2:通道序号

$3:通道方向(INCMING:输入方向;OUTGOING:输出方向)

日志等级

0

举例

startup : set xgbe0 as channel 0 INCOMING device.

日志说明

设置xgbe0为通道0输入口。

处理建议

 

日志内容

startup : run ROUTING mode for channel [UINT] with peer address ( [IPADDR] )

参数解释

$1:通道序号

$2:对端IP地址

日志等级

0

举例

startup : run ROUTING mode for channel 0 with peer address ( 1.1.1.1 )

日志说明

通道0运行路由模式,对端地址是1.1.1.1

处理建议

 

日志内容

startup : using all [UINT] cpus

参数解释

$1 CPU核心数

日志等级

0

举例

startup : using all 48 cpus

日志说明

运行所有48cpu核心。

处理建议

 

3 操作日志

本节介绍操作所输出的日志信息

3.1  防护范围

日志内容

fwctrl : user [STRING] [STRING] protect range '[IPADDR]-[IPADDR]/ [UINT32]'.

参数解释

$1:用户名称

$2:操作行为(submitted:添加;deleted:删除)

$3:范围开始IP地址

$4:范围结束IP地址

$5:地址前缀

日志等级

2

举例

fwctrl : user admin submitted protect range '1.1.1.1-1.1.1.2/24'.

日志说明

admin用户添加防护范围‘1.1.1.1-1.1.1.2/24’

处理建议

 

日志内容

fwctrl : user [STRING] [STRING] protect ranges.

参数解释

$1:用户名称

$2:操作行为(imported:导入或者清空;exported:导出)

日志等级

2

举例

fwctrl : user admin exported protect ranges.

日志说明

admin用户导出防护范围。

处理建议

 

3.2  主机状态

3.2.1  添加主机

日志内容

fwctrl : user [STRING] modified network environment settings.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin modified network environment settings.

日志说明

admin用户添加防护主机。

处理建议

 

3.2.2  修改、删除主机

日志内容

fwctrl : user [STRING] modified host parameters successfully for [IPADDR]-[IPADDR].

参数解释

$1:用户名称

$2:范围开始IP

$3:范围结束IP

日志等级

2

举例

fwctrl : user admin modified host parameters successfully for 1.1.1.1-1.1.1.2.

日志说明

admin用户修改或者删除主机1.1.1.1-1.1.1.2

处理建议

 

说明

如果只是修改或者删除一个或者多个非连续的IP地址,则分多条显示日志,每条日志[IPADDR]只有一个。

 

3.3  连接监控

日志内容

fwctrl : user [STRING] resetted link for [IPADDR] – [IPADDR].

参数解释

$1:用户名称

$2:本地地址(服务器主机IP地址)

$3:远程地址(客户端主机IP地址)

日志等级

2

举例

fwctrl : user admin resetted link for 1.1.1.1 – 2.2.2.2.

日志说明

admin用户重置客户端主机2.2.2.2与服务器主机1.1.1.1的连接

处理建议

 

3.4  屏蔽记录

日志内容

fwctrl : user [STRING] resetted forbidden link for [IPADDR] – [IPADDR].

参数解释

$1:用户名称

$2:本地地址(服务器主机IP地址)

$3:远程地址(客户端主机IP地址)

日志等级

2

举例

fwctrl : user admin resetted forbidden link for 1.1.1.1 – 2.2.2.2.

日志说明

admin用户重置客户端主机2.2.2.2与服务器主机1.1.1.1的屏蔽。

处理建议

 

3.5  报文捕捉

3.5.1  开始、停止捕捉

日志内容

fwctrl : user [STRING] [STRING] packet capture.

参数解释

$1:用户名称

$2:操作行为(started:开始捕获报文;stopped:停止捕获报文)

日志等级

2

举例

fwctrl : user admin started packet capture.

日志说明

admin用户开始捕获报文。

处理建议

 

3.5.2  下载数据包

日志内容

fwctrl : user [STRING] downloaded packets file.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin downloaded packets file.

日志说明

admin用户下载数据包文件。

处理建议

 

3.6  全局参数

日志内容

fwctrl : user [STRING] modified global parameters for set [UINT32].

参数解释

$1:用户名称

$2:集序号

日志等级

2

举例

fwctrl : user admin modified global parameters for set 1.

日志说明

admin用户修改全局参数设置集1参数

处理建议

 

3.7  规则设置

日志内容

fwctrl : user [STRING] [STRING] filter [UINT32] in set [UINT32].

参数解释

$1:用户名称

$2:执行动作(resetted:重置;deleted:删除;created:新建;modified:修改)

$3:规则序号

$4:规则设置集序号

日志等级

2

举例

fwctrl : user admin deleted filter 12 in set 3.

日志说明

admin用户删除规则设置集3规则序号为12的规则

处理建议

 

3.8  端口保护

3.8.1  添加、修改端口防护

日志内容

fwctrl : user [STRING] modified [STRING] ports [UINT32] – [UINT32] for set [UINT32].

参数解释

$1:用户名称

$2:协议类型(TCPUDP协议)

$3:开始端口

$4:结束端口

$5:端口集序号

日志等级

2

举例

fwctrl : user admin modified tcp ports 80 - 81 for set 1.

日志说明

admin用户添加或者修改TCP端口集1 80-81端口的配置

处理建议

 

3.8.2  重置端口防护

日志内容

fwctrl : user [STRING] resetted [STRING] ports to default for set [UINT32].

参数解释

$1:用户名称

$2:协议类型(TCPUDP协议)

$3:端口集序号

日志等级

2

举例

fwctrl : user admin resetted tcp ports to default for set 1.

日志说明

admin用户重置TCP端口集1配置

处理建议

 

3.8.3  修改协议定义

日志内容

fwctrl : user [STRING] modified [STRING] pattern file.

参数解释

$1:用户名称

$2:协议类型(TCPUDP协议)

日志等级

2

举例

fwctrl : user admin modified tcp pattern file.

日志说明

admin用户修改TCP协议

处理建议

 

3.9  黑白名单管理

3.9.1  添加、删除、修改黑白名单

日志内容

fwctrl : user [STRING] [STRING] '[IPADDR]' from black&white list.

参数解释

$1:用户名称

$2:执行动作(submited:添加、修改;deleted:删除)

$3:需要添加、删除、修改的IP地址

日志等级

2

举例

fwctrl : user admin deleted '1.1.1.1' from black&white list.

日志说明

admin用户从黑白名单列表删除IP地址1.1.1.1

处理建议

 

3.9.2  导入、导出、清空黑白名单

日志内容

fwctrl : user [STRING] [STRING] black&white list.

参数解释

$1:用户名称

$2:执行动作(imported:导入、清除;exported:导出)

日志等级

2

举例

fwctrl : user admin exported black&white list.

日志说明

admin用户导出黑白名单列表

处理建议

 

3.10  域名管理

3.10.1  提交、删除域名

日志内容

fwctrl : user [STRING] [STRING] domain host '[STRING]'.

参数解释

$1:用户名称

$2:执行动作(submitted:提交;deleted:删除)

$3:域名

日志等级

2

举例

fwctrl : user admin deleted domain host 'www.test.com'.

日志说明

admin用户删除域名“www.baidu.com”。

处理建议

 

3.10.2  导入、导出、清空域名

日志内容

fwctrl : user [STRING] [STRING] domain host list.

参数解释

$1:用户名称

$2:执行动作(imported:导入、清空;exported:导出)

日志等级

2

举例

fwctrl : user admin exported domain host list.

日志说明

admin用户导出域名列表文件

处理建议

 

3.10.3  清除收集域名

日志内容

fwctrl : user [STRING] cleared collected domain information.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin cleared collected domain information.

日志说明

admin用户清除自动收集的域名

处理建议

 

3.11  变量管理

日志内容

fwctrl : user [STRING] [STRING] imported variables.

参数解释

$1:用户名称

$2:执行结果(为空:成功;failed:失败)

日志等级

2

举例

fwctrl : user admin failed imported variables.

日志说明

admin用户导入变量文件失败

处理建议

文件名称错误,导入的文件必须是固定名称

 

3.12  集群管理

日志内容

fwctrl : user [STRING] [STRING] cluster [STRING]|configuration.

参数解释

$1:用户名称

$2:执行动作(saved:保存;activated:启动)

$3:执行结果(successfully:成功;failed:失败)

日志等级

2

举例

fwctrl : user admin activated cluster failed.

日志说明

admin用户启动集群失败

处理建议

·     集群同步地址与同步口地址不在一个子网段

·     集群设备之间的集群同步地址不能互通

 

日志内容

startup : set cluster synchronizer to [STRING].

参数解释

$1:集群同步接口

日志等级

0

举例

startup : set cluster synchronizer to gbe0.

日志说明

设置集群同步接口为gbe0

处理建议

 

日志内容

set target of node [UINT32] to [MAC].

参数解释

$1:集群节点

$1MAC地址

日志等级

0

举例

set target of node 1 to 00:11:22:33:44:55.

日志说明

设置集群节点1 mac地址为00:11:22:33:44:55

处理建议

 

3.13  设备管理

3.13.1  接口地址设置

日志内容

fwctrl : user [STRING] [STRING] [STRING] [STRING] [IPADDR] to device [STRING].

参数解释

$1:用户名称

$2:执行结果(succeed:成功;failed:失败)

$3:执行动作(setting:设置;added:添加;deleted:删除)

$4:地址类型(gateway:网关;address:地址)

$5IP地址

$6:设备接口

日志等级

2

举例

fwctrl : user admin succeed setting gateway 1.1.1.1 to device eth1.

日志说明

admin用户成功在eth1接口设置网关1.1.1.1

处理建议

 

3.13.2  DNS设置

日志内容

fwctrl : user [STRING] set DNS to '[IPADDR]'.

参数解释

$1:用户名称

$2DNS地址

日志等级

2

举例

fwctrl : user admin set DNS to '1.1.1.1'.

日志说明

admin用户设置DNS地址为1.1.1.1

处理建议

 

3.13.3  对端设置

日志内容

fwctrl : user [STRING] set peer address of device [STRING] to [IPADDR].

参数解释

$1:用户名称

$2:设备接口

$3 对端IP地址

日志等级

2

举例

fwctrl : user admin set peer address of device eth3 to 1.1.1.1.

日志说明

admin用户设置eth3接口对端地址为1.1.1.1

处理建议

 

3.13.4  恢复默认

日志内容

fwctrl : user [STRING] reset the startup script to initial default.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin reset the startup script to initial default.

日志说明

admin用户将设备管理恢复出厂默认。

处理建议

 

3.13.5  重启设备

日志内容

fwctrl : user [STRING] rebooting the system ...

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin rebooting the system ...

日志说明

admin用户重启设备

处理建议

 

3.14  SNMP管理

日志内容

fwctrl : user [STRING] [STRING] snmp [STRING] [DOUBLE] [IPADDR].

参数解释

$1:用户名称

$2:执行动作

·     created:添加、修改

·     deleted:删除

·     setted:添加、修改trap

·     saved and applied:开启或者关闭snmp功能

$3SNMP模块类型

·     viewsnmp视图

·     usersnmp用户

·     trapsnmp trap

·     configurationsnmp配置

$4Trap应用SNMP用户和视图配置

$5Trap接收主机地址

日志等级

2

举例

fwctrl : user admin deleted snmp user public.

日志说明

admin用户删除SNMP 用户public

处理建议

 

3.15  时间管理

3.15.1  NTP服务器、时区

日志内容

fwctrl : user [STRING] updated time to 'ntp:[IPADDR|STRING]', time zone '[STRING]'.

参数解释

$1:用户名称

$2NTP服务器IP地址或者域名

$3:时区

日志等级

2

举例

fwctrl : user admin updated time to 'ntp:1.1.1.1', time zone 'Asia/Shanghai'.

日志说明

admin用户设置NTP服务器为1.1.1.1,时区为“Asia/Shanghai”

处理建议

 

3.15.2  时间设定

日志内容

fwctrl : user [STRING] succeed setting [STRING] to '[DATE|TIME]'.

参数解释

$1:用户名称

$2:执行类型

·     date:日期

·     time:时间

$3:日期或者时间

·     日期格式:YYYY-MM-DD

·     时间格式:HH:MM:SS

日志等级

2

举例

fwctrl : user admin succeed setting date to '23:59:59'.

日志说明

admin用户设置时间为23:59:59

处理建议

 

3.16  磁盘管理

3.16.1  WEB界面操作

日志内容

fwctrl :user [STRING] from [IPADDR] cleared the [STRING] data before [DATE] [TIME].

参数解释

$1:用户名称

$2:登录IP

$3:清除数据类型

·     rate:流量统计

·     attack:攻击统计

·     fblink:屏蔽统计

·     host:牵引统计

·     log:日志统计

·     cap:抓包统计

$4:日期

$5:时间

日志等级

2

举例

fwctrl :user admin from 1.1.1.1 cleared the cap data before 2018-01-01 23:59:59.

日志说明

admin用户登录IP地址1.1.1.1,清理磁盘中2018-01-01 23:59:59之前抓包统计的数据。

处理建议

 

3.16.2  CLI界面操作

日志内容

fwctrl : user [STRING] cleared the [STRING] data.

参数解释

$1:用户名称

$2:清除数据类型

·     rate:流量统计

·     attack:攻击统计

·     fblink:屏蔽统计

·     logs:日志统计

日志等级

2

举例

fwctrl : user admin cleared the fblink data.

日志说明

admin用户清除屏蔽统计数据。

处理建议

 

日志内容

fwctrl : user [STRING] reset the database to default.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin reset the database to default.

日志说明

admin用户将数据库恢复默认。

处理建议

 

3.17  用户组管理

日志内容

fwctrl : user [STRING] [STRING] [STRING] group '[STRING]'.

参数解释

$1:用户名称

$2:执行结果

·     为空:成功

·     failed:失败

$3:执行动作

·     created:添加

·     modified:修改

·     deleted:删除

$4:用户组名

日志等级

2

举例

fwctrl : user admin deleted group test.

日志说明

admin用户删除用户组test

处理建议

操作失败检查当前账号是否在需要操作的用户组里

 

3.18  用户管理

3.18.1  添加用户

1. 添加成功

日志内容

fwctrl : user [string] [string] user '[string]' with groupname [string]

参数解释

$1:用户名称

$2:执行动作

·     created/modified:添加/修改(成对出现)

$3:需要添加的用户名

$4:用户组名

日志等级

2

举例

user admin created/modified user 'test' with groupname test.

日志说明

admin用户添加用户test属于test组。

处理建议

 

2. 添加失败

日志内容

fwctrl : user [string] [string] [string] user '[string]' with groupname [string], due to [string] error

参数解释

$1:用户名称

$2:执行结果

·     failed:失败

$3:执行动作

·     created/modified:添加/修改(成对出现)

$4:需要添加/修改的用户名

$5:用户组名

$6:失败原因

·     login address format:限制登录的地址格式错误

·     password complexity:密码复杂度限制

日志等级

2

举例

fwctrl : user admin failed creating/modifying user 'test' with groupname test, due to password complexity error

日志说明

admin用户添加用户test属于test用户组失败,因为密码复杂度限制。

处理建议

 

3.18.2  删除用户

日志内容

fwctrl : user [string] [string] user [string]

参数解释

$1:用户名称

$2:执行动作

·     deleted:删除

$3:需要删除的用户名

日志等级

2

举例

fwctrl : user admin deleted user test

日志说明

admin用户删除test用户

处理建议

 

3.19  日志管理

日志内容

fwctrl : user [STRING] set log server to '{[IPADDR] | [STRING]}'.

参数解释

$1:用户名称

$2:日志服务器IP地址

$3:日志服务器名称

日志等级

2

举例

fwctrl : user admin set log server to '1.1.1.1'.

日志说明

admin用户设置日志服务器为1.1.1.1

处理建议

 

3.20  系统配置

日志内容

fwctrl : user [STRING] modified control service configuration.

参数解释

$1:用户名称

日志等级

2

举例

fwctrl : user admin modified control service configuration.

日志说明

admin用户修改系统配置。

处理建议

 

3.21  系统备份恢复

日志内容

fwctrl : user [STRING] [STRING] configuration for device settings.

参数解释

$1:用户名称

$2:执行动作

·     saved:保存

·     removed:删除

·     imported:导出

日志等级

2

举例

fwctrl : user admin saved configuration for device settings.

日志说明

admin用户保存系统配置。

处理建议

 

3.22  修改密码

日志内容

fwctrl : user [STRING] [STRING] changing the password due to [STRING ]error.

参数解释

$1:用户名称

$2:执行结果

·     succeed:成功

·     failed:失败

$3:失败原因

日志等级

2

举例

fwctrl : user admin failed changing password due to password complexity error.

日志说明

admin用户修改自身密码失败,失败原因密码复杂度限制。

处理建议

 

4 攻击防护日志

本节介绍攻击防护日志信息

4.1  主机防护日志

日志内容

host : [IPADDR] enters [STRING] mode started from [DATE][TIME] lasted [INT32] minutes at in: [UINT]/[UINT] Mbps/pps, out: [UINT]/[UINT] Mbps/pps.

参数解释

$1:主机IP地址

$2:防护状态,具体说明详见4-1

$3:开始日期

$4:开始时间

$5:持续时间

$6:输入流量(Mbps

$7:输入报文数(pps

$8:输出流量(Mbps

$9:输出报文数(pps

日志等级

1

举例

host : 1.1.1.1 enters [SYN] mode started from 20170101235959 lasted 0.02 minutes at in: 15/22773 Mbps/pps, out: 10/15000 Mbps/pps.

日志说明

主机1.1.1.1进入[SYN]防护状态,开始日期20170101,开始时间23:59:59,持续时间0.02分钟,输入流量15Mbps,输入流量22773pps,输出流量10Mbps,输出流量15000pps

处理建议

 

图4-1 防护状态

 

参数标识

说明

Normal

从防护状态到非防护状态,即为normal

[SYN-Flood]

SYN Flood保护

[ACK-Flood]

ACK&RST Flood保护

[UDP-Flood]

UDP保护

[ICMP-Flood]

ICMP保护

[NonIP]

NonIP保护

[Frag]

碎片保护

<TCP>

TCP端口防护TCP插件

<UDP>

UDP端口防护UDP插件

[Flow]

流量策略

[Ignore]

忽略所有流量

[Forbidden]

屏蔽所有流量

[Foreign]

忽略国外访问

<Bline>

基线因子

[Rules]

规则匹配

[NewTcp]

新建TCP连接保护

[NewUdp]

新建UDP连接保护

[Protector]

保护状态

[Analyzer]

分析状态

[Force]

手动防护状态

 

4.2  高层协议分析日志

日志内容

analyzer : [IPADDR] flow mode [STRING], from [IPADDR]/[UINT] mode [STRING], src port [STRING] [UINT], dst port [STRING] [UINT],protocol [STRING].

参数解释

$1:主机IP地址

$2:防护状态,具体说明详见4-1

$3:攻击源地址

$4:攻击源地址掩码

$5:防护状态,具体说明详见4-1

$6:协议类型(TCPUDP

$7:源端口号

$8:协议类型(TCPUDP

$9:目的端口号

$10:高层协议类型,具体说明详见4-1

日志等级

1

举例

analyzer : 1.1.1.1 flow mode [UDP], from 0.0.0.0/0 mode [UDP], src port udp 100,dst port udp 53, protocol [DNS_QUERY]

日志说明

主机IP 1.1.1.1进入[UDP]防护模式,攻击源地址0.0.0.0/0,源端口UDP 100,目的端口UDP 53,协议DNS QUERY

处理建议

 

表4-1 高层协议类型

参数标识

说明

[DNS_QUERY]

dns请求

[DNS_REPLY]

dns应答

[HTTP_GET]

http get

[HTTP_HEAD]

http head

[HTTP_POST]

http post

[HTTP_OPTIONS]

http options

[HTTP_PUT]

http put

[HTTP_DELETE]

http delete

[HTTP_TRACE]

http trace

[HTTP_CONNECT]

http connect

 

4.3  规则匹配日志

日志内容

rules : matched at [UINT], [STRING] [STRING] packet, [IPADDR] : [UINT] – [IPADDR]:[UINT], [STRING] {flags [STRING] | ([UINT], [UINT])}.

参数解释

$1:规则序号

$2:规则行为

·     filter:过滤

·     drop:拦截

·     pass:放行

·     forbid:屏蔽

·     limit:频率限制

$3:匹配方向

·     incoming:接收方向

·     outgoing:发送方向

$4:本地IP地址

$5:本地端口

$6:远端IP地址

$7:远端端口

$8:协议类型(TCPUDPICMPICMPv6IGMP

$9TCP标志位,具体说明详见4-2

$10ICMP TYPE

$11ICMP CODE

日志等级

2

举例

rules : matched at 11, pass incoming packet, 1.1.1.1 : 53 – 2.2.2.2 : 35896, udp.

日志说明

匹配规则11,放行接收方向本地IP1.1.1.1,本地端口53,远端IP2.2.2.2,远端端口35896UDP协议。

处理建议

 

表4-2 TCP标志位

参数标识

说明

F

FIN

S

SYN

R

RST

P

PSH

A

ACK

U

URG