H3C SecPath ACG1000系列应用控制网关 日志手册(E6401 E6451)-6W104

手册下载

H3C SecPath ACG1000日志信息参考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright ©2018 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



1 简介

本文档介绍H3C SecPath ACG1000日志信息,包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。

本文假设您已具备数据通信技术知识,并熟悉H3C网络产品。

1.1  日志格式说明

缺省情况下,日志采用如下格式:

<pri>time name msg

表1-1 日志头字段说明

字段

描述

pri

PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来

time

时间紧跟在PRI后面,中间没有空格,格式必须是“Mmm dd hh:mm:ss”,不包括年份。的数字如果是19,前面会补一个空格(也就是月份后面有两个空格),而小时则在前面补“0”。月份取值包括:Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec

name

设备名称或IP,注意,name字段一定要包含sn,格式是:

device_name;sn;ipversion;msgversion

Ipversion包括:ipv4,ipv6

msg

该日志的具体内容,包含事件或错误发生的详细信息。

 

日志信息按严重性可划分为如1-2所示的八个等级,各等级的严重性依照数值从07依次降低。

表1-2 日志等级说明

级别

严重程度

描述

0

Emergency

表示设备不可用的信息,如系统授权已到期

1

Alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

Critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

Error

表示错误信息,如接口链路状态变化,存储卡拔出等

4

Warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

Notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

Informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

Debug

表示调试过程产生的信息

 

本文使用1-3定义的方式表示日志描述字段中的可变参数域。

表1-3 可变参数域

参数标识

参数类型

INT16

有符号的16位整数

UINT16

无符号的16位整数

INT32

有符号的32位整数

UINT32

无符号的32位整数

INT64

有符号的64位整数

UINT64

无符号的64位整数

DOUBLE

有符号的双32位整数,格式为:[INT32].[INT32]

HEX

十六进制数

CHAR

字节类型

STRING

字符串类型

IPADDR

IP地址

MAC

MAC地址

DATE

日期

TIME

时间

 

1.2  如何获取日志信息

缺省情况下,设备的日志功能处于开启状态,并允许向控制台(console)、WEB页面、日志服务器(loghost)和本地日志文件(logfile)方向输出日志信息。您可以在WEB页面上实时看到系统输出的日志信息,也可以通过display log event命令查看事件日志信息。

通过log命令可以设置日志信息的输出规则,通过输出规则可以指定日志的输出方向以及对哪些特性模块或信息等级的日志信息进行输出。所有信息等级高于或等于设置等级的日志信息都会被输出到指定的输出方向。例如,输出规则中如果指定允许等级为6informational)的信息输出,则等级06的信息均会被输出到指定的输出方向。

说明

·     监视终端是指以AUXVTYTTY类型用户线登录的用户终端。

·     配置日志服务器后,日志服务器也可以实时监控日志信息。

·     本地日志文件可以记录日志信息,但仅能通过WEB页面查看。

 

1.2.1  将日志信息保存到日志文件

缺省情况下,系统根据通过log命令配置的日志过滤条件,将需要记录的日志实时记录到日志文件当中。日志文件中的内容可以通过WEB页面中的日志查询实时查看。

1.2.2  将日志信息发送到日志服务器

您可以通过配置日志服务器向指定的IP地址发送设备的日志信息,还可同时配置日志服务器接收日志信息的端口号(该值需要和日志主机侧的设置一致,缺省为514)。如果设备侧配置的日志服务器接收日志信息的端口号与日志服务器侧不一致,则日志服务器将无法接收日志信息。

您可以指定多个不同服务器同时接收设备产生的日志信息。但最多可指定3个。

1.3  日志模块列表

1-4列出了所有可能生成日志信息的日志模块。

表1-4 日志模块列表

模块名

说明

系统管理日志

包括系统操作日志和系统状态日志

流量日志

与流量相关的日志

网站访问日志

所有访问过的网站

恶意URL日志

访问的恶意URL

内容审计日志

审计出的流量的内容

防攻击日志

发生攻击的日志

系统事件日志

系统事件,比如接口up/down

 

1.4  文档使用说明

本文将系统日志信息按照日志模块分类。

本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考1-5

表1-5 日志信息表内容说明

表项

说明

举例

日志内容

显示日志信息的具体内容

ACL [UINT32] [STRING] [COUNTER64] packet(s).

参数解释

按照参数在日志中出现的顺序对参数进行解释。

参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数。

$1ACL编号

$2ACL规则的ID和内容

$3:与ACL规则匹配的数据包个数

日志等级

日志严重等级

6

举例

一个真实的日志信息举例。

operator_name=admin; operate_ip=192.168.1.105; create_time=2014-07-22 17:56:32;level=notice;reason=mod;result=success;managestyle=WEB;content=mod syslog configuration

日志说明

解释日志信息和日志生成的原因

匹配一条ACL规则的数据包个数。该日志会在数据包个数发生变化时输出。

处理建议

建议用户应采取哪些处理措施。级别为6的“Informational”日志信息是正常运行的通知信息,用户无需处理。

系统正常运行时产生的信息,无需处理。

 

 

2 系统管理日志

本节介绍系统管理输出的日志。

2.1  用户上下线日志

2.1.1  Imc认证上下线通知

1. IMC认证上线通知

日志内容

 [$1:Imc] [$2:login]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR)

参数解释

$1Imc认证。

$2:认证上线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

日志等级

0

举例

Imc login:logname=123 realname=321 groupname=test @1.1.1.1(8c:34:fd:26:0f:50)

日志说明

Imc认证上线通知。

处理建议

无。

 

2. IMC认证下线通知

日志内容

 [$1:Imc] [$2:logout]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR) login at [$8:TIME], logout at [$9:TIME], duration is [$10:TIME], reason is [$11:logout/kickoff]

参数解释

$1Imc认证。

$2:认证下线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

$8:登录时间。

$9:退出时间。

$10:登录时常。

$11logout/kickoff退出/强制下线。

日志等级

0

举例

Imc logout:logname=test realname=testabc groupname=test@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

Imc认证下线通知。

处理建议

无。

 

2.1.2  免认证上下线通知

1. 免认证上线通知

日志内容

[$1:Free] [$2:login]: logname=[$3:USERNAME]@[$4:IPADDR]($5:MACADDR)

参数解释

$1 免认证方式。

$2:认证上线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

日志等级

0

举例

Free login:logname=test@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

免认证上线通知。

处理建议

无。

 

2. 免认证下线通知

日志内容

[$1:Free] [$2:logout]: logname=[$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1 免认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

0

举例

Free logout:logname=123@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

APP认证下线通知。

处理建议

无。

 

2.1.3  APP认证上下线通知

1. APP认证上线通知

日志内容

 [$1:APP] [$2:login]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR)

参数解释

$1APP认证。

$2:认证上线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

日志等级

0

举例

APP login:logname=123 realname=321 groupname=APPgroup@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

APP认证上线通知。

处理建议

无。

 

2. APP认证下线通知

日志内容

 [$1:APP] [$2:logout]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR) login at [$8:TIME], logout at [$9:TIME], duration is [$10:TIME], reason is [$11:logout/kickoff]

参数解释

$1APP认证。

$2:认证下线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

$8:登录时间。

$9:退出时间。

$10:登录时常。

$11logout/kickoff退出/强制下线。

日志等级

0

举例

APP logout:logname=test realname=testabc groupname=APPgroup@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

APP认证下线通知。

处理建议

无。

 

2.1.4  微信认证上下线通知

1. 微信认证上线通知

日志内容

[$1:Wechat] [$2:login]: logname=[$3:USERNAME]@ [$4:IPADDR]($5:MACADDR)

参数解释

$1 微信认证方式。

$2:认证上线。

$3:认证用户名字。

$4:认证用户地址。

$5:用户MAC地址。

日志等级

0

举例

Wechat login: logname=oWW9-t4_wnLcLNS2kgcQL09QJRfY@192.168.8.62(74:e5:43:16:cc:26)

日志说明

微信认证上线通知。

处理建议

无。

 

2. 微信认证下线通知

日志内容

[$1:Wechat] [$2:logout]: logname=[$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1 微信认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

0

举例

Wechat logout:logname=owIrqtxgUPUiaBntthMX5csEOr7c@192.168.6.69(80:ed:2c:8a:2d:be) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

微信认证下线通知。

处理建议

无。

 

2.2  系统操作日志

日志内容

operator_name=[STRING];operate_ip=[IPADDR];create_time=[TIME];level=[STRING];reason=[STRING];result=[STRING];managestyle=[STRING];content=[STRING].

参数解释

$1:操作员名字。

$2:操作IP地址。

$3:操作时间。

$4:事件级别。

$5:操作原因。

$6:操作结果。

$7:管理类型。

$8:操作内容。

日志等级

0~6

举例

operator_name=admin;operate_ip=192.168.1.105;create_time=2014-07-22 17:56:32;level=notice;reason=mod;result=success;managestyle=WEB;content=mod syslog configuration.

日志说明

管理员执行操作。

处理建议

无。

 

2.3  事件日志

日志内容

[STRING].

参数解释

$1:系统重启、接口UP/DOWN、升级版本、HA切换等信息。

日志等级

0~6

举例

admin@192.168.1.105 logout from ssh.

日志说明

系统状态变化。

处理建议

无。

 

2.4  健康日志

日志内容

cpu_used=[UINT32];mem_used=[UINT32];disk_used=[UINT32];temperature=[UINT32];session_num=[UINT32]

参数解释

$1CPU使用率。

$2:内存使用率。

$3:硬盘使用率。

$4:温度。

$5:会话数。

日志等级

6

举例

cpu_used=5;mem_used=30;disk_used=45;temperature=62;session_num=2002

日志说明

每分钟发送一次。

处理建议

无。

 

2.5  整机转发流量日志

日志内容

up=[UINT64];down=[UINT64]

参数解释

$1:设备上行流量。

$2:设备下行流量。

日志等级

6

举例

up=1130;down=10255

日志说明

每分钟发送一次。

处理建议

无。

 

3 流量日志

本节介绍系统流量产生的日志信息。

3.1  流量日志

日志内容

user_name=[STRING];ugname=[STRING];umac=[MAC];uip=[IPADDR];app_id=[UINT32];appname=[STRING];appg_id=[UINT32];appg_name=[STRING];up =[UINT64];down=[UINT64];create_time=[UINT64];end_time=[UINT64];

参数解释

$1:用户名称。

$2:用户组名称。

$3:用户MAC地址。

$4:用户IP地址。

$5:应用ID

$6:应用名称。

$7:应用组ID

$8:应用组名称。

$9:上行流量。

$10:下行流量。

$11:开始统计时间。

$12:结束统计时间。

日志等级

6

举例

user_name=13.2.2.1;ugname=anonymous;umac=00:1C:C4:A5:7A:76;uip=13.2.2.1; app_id=2147487646;appname=NETBIOS_NS;appg_id=11534336;appg_name=网络协议;up_bps=1872;down_bps=0;create_time=1406024038;end_time=14060240

39;

日志说明

每分钟发送一次。

处理建议

无。

 

3.2  流阻断日志

日志内容

src_ip=[IPADDR];dst_ip=[IPADDR];protocol=[STRING];src_port=[UINT32];dst_port=[UINT32];in_interface=[STRING];out_interface=[STRING];policyid=[UINT32];action=[STRING];Content=[STRING];

参数解释

$1:源IP

$2:目的IP

$3:协议。

$4:源端口。

$5:目的端口。

$6:入接口。

$7:出接口。

$8:策略id

$9:动作。

$10:内容。

日志等级

6

举例

src_ip=1.1.1.5;dst_ip=2.2.2.2;protocol=TCP;src_port=4056;dst_port=5006;in_interface=ge0;out_interface=ge1;policyid=2;action=deny;Content=;

日志说明

匹配到deny策略,且配置日志时发送。

处理建议

无。

 

3.3  NAT日志

日志内容

src_ip=[IPADDR];src_port=[UINT32];dst_ip=[IPADDR];dst_port=[UINT32];before_trans_ip=[IPADDR];after_trans_ip=[IPADDR];protocol=[STRING];before_trans_port=[UINT32]; after_trans_port=[UINT32]; typet=[STRING];

参数解释

$1:源IP

$2:源端口。

$3:目的IP

$4:目的端口。

$5:转换前的IP

$6:转换后的IP

$7:协议。

$8:转换前的端口。

$9:转换后的端口。

$10:类型。

日志等级

6

举例

src_ip=1.1.1.5;dst_ip=2.2.2.2;protocol=TCP;src_port=4056;dst_port=5006;in_interface=ge0;out_interface=ge1;policyid=2;action=deny;Content=;src_ip=1.1.1.5;src_port=2000;dst_ip=192.168.1.2;dst_port=80;before_trans_ip=1.1.1.5;after_trans_ip=192.168.1.1;protocol=TCP;before_trans_port=2000; after_trans_port=2000; typet=snat;

日志说明

匹配到NAT规则,且规则里和日志过滤中均配置发送日志。

处理建议

无。

 

4 网站访问日志

本节介绍网站访问产生的日志信息。

4.1  网站访问日志

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];src_ip=[STRING];dst_ip=[STRING];url_domain=[STRING];url=[STRING];url_cate_name=[STRING];handle_action=[UINT32];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:源IP地址。

$6:目的IP地址。

$7:网站域名。

$8:用户访问的完整URL

$9:网站分类名称。

$10:策略配置的处理动作。

$11:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=PC;src_ip=192.168.4.223;dst_ip=125.88.193.243;url_domain=www.haosou.com;url=http://www.haosou.com/brw?w=1&v=7.1.1.558&u=http%3A%2F%2Fchurch-group-discounts.com%2F;url_cate_name=其他;handle_action=0;msg=

日志说明

匹配到URL审计策略,且规则和日志过滤均配置发送日志。

处理建议

无。

 

5 恶意URL日志

本节介绍恶意URL产生的日志信息。

5.1  恶意URL日志

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRNG];;term_device=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];web_name=[STRING];url=[STRING];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:源IP地址。

$6:目的IP地址。

$7:网站域名。

$8:用户访问的完整URL

$9:信息。

日志等级

4

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=PC;src_ip=192.168.4.223;dst_ip=61.155.222.136;web_name=009blog.com;url=http://009blog.com/favicon.ico;msg=

日志说明

匹配到过滤恶意URL策略,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6 内容审计日志

本节介绍内容审计产生的日志信息。

6.1  IM上报内容

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING;pid=[UINT32];src_mac=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32;app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[UINT32];action_name=[STRING];content=[STRING];msg=.

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:聊天内容。

$16:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=pc;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=183.60.56.173;dst_port=8000;app_name=QQ;app_cat_name=即时通讯;handle_action=0;account=1107009634;action_name=发消息;content=;msg=

日志说明

匹配到七元组策略或(如:即时通讯)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.2  博客、微博、论坛、社区上报内容

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING;pid=[UINT32];src_mac=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32;app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[UINT32];action_name=[STRING];subject=[STRING];content=[STRING];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:主题。

$16:内容。

$17:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=PC;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=116.10.186.184;dst_port=80;app_name=猫扑论坛;app_cat_name=网络社区;handle_action=0;account=sradish_xiaoxiao;action_name=发表;subject=灌水;content=测试发帖灌水;msg=

日志说明

匹配到七元组策略或(如:网络社区)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.3  搜索引擎上报内容

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];pid=[UINT32 ];src_mac=[STRING ];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32];app_name=[STRING];app_cat_name=[STRING];handle_action=[ ];account=[STRING];action_name=[STRING];content=[STRING];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:内容。

$16:新息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=PC;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=125.88.193.243;dst_port=80;app_name=360好搜;app_cat_name=搜索引擎;handle_action=0;account=;action_name=搜索;content=456787;msg=

日志说明

匹配到七元组策略或(如:搜索引擎)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.4  邮件上报

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];pid=[UINT32];src_mac=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32];app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[STRING];action_name=[STRING];send_addr=[IPADDR];receive_addr=[IPADDR];subject=[STRING];content=[STRING];file_name=[STRING];file_size=[UINT32];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:发送地址。

$16:接收地址。

$17:主题。

$18:邮件内容。

$19:文件名称。

$20:文件大小。

$21:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=PC;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=220.181.15.149;dst_port=80;app_name=126邮箱;app_cat_name=电子邮件;handle_action=0;account=""殷枭""<sradish@126.com>;action_name=发送邮件;send_addr=""殷枭""<sradish@126.com>;receive_addr=""1107009634@qq.com""<1107009634@qq.com>;subject=12345;content=;file_name=;file_size=0;msg=

日志说明

匹配到七元组策略或(如:电子邮件)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.5  文件传输上报内容

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];pid=[UINT32];src_mac=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32];app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[STRING];action_name=[STRING];file_name=[STRING];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:文件名称。

$16:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=pc;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=180.149.132.99;dst_port=80;app_name=百度网盘;app_cat_name=文件传输;handle_action=0;account=;action_name=发送;file_name=百度.jpg;msg=

日志说明

匹配到七元组策略或(如:文件传输类)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.6  娱乐/股票上报内容

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];pid=[UINT32];src_mac=[STRING];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32];app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[STRING];action_name=[STRING];msg=

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=pc;pid=1;src_mac=00:21:45:c7:00:c4;src_ip=192.168.4.223;dst_ip=139.205.79.236;dst_port=9909;app_name=暴风影音;app_cat_name=流媒体;handle_action=0;account=;action_name=看视频;msg=

日志说明

匹配到七元组策略或(如:股票软件类,流媒体类)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

6.7  其他应用

日志内容

user_name=[STRING];user_group_name=[STRING];term_platform=[STRING];term_device=[STRING];pid=[UINT32];src_ip=[IPADDR];dst_ip=[IPADDR];dst_port=[UINT32];app_name=[STRING];app_cat_name=[STRING];handle_action=[UINT32];account=[STRING];action_name=[STRING];content=;msg=.

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:内容。

$16:信息。

日志等级

0~6

举例

user_name=192.168.4.223;user_group_name=root;term_platform=windows;term_device=pc;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip=192.168.4.223;dst_ip=101.227.131.50;dst_port=80;app_name=腾讯网;app_cat_name=网络社区;handle_action=0;account=;action_name=网页浏览;content=;msg=

日志说明

匹配到七元组策略或(如:其他应用类及各应用类的网页浏览行为)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

7 防攻击日志

本节介绍防攻击产生的日志信息。

7.1  防攻击日志

日志内容

user_name=[STRING];src_ip=[IPADDR];src_port=[UINT32];dst_ip=[IPADDR];dst_port=[UINT32];name=[STRING];type=[STRING];protocol=[STRING];mac=[MAC];count=[UINT32];level=[UINT32];in_if_name=[STRING];create_time=[UINT64];end_time=[UINT64];extend=;.

参数解释

$1:用户名称。

$2:源IP地址。

$3:源端口号。

$4:目的IP地址。

$5:目的端口号。

$6:名称。

$7:类型。

$8:协议名称。

$9MAC地址。

$10:计数。

$11:级别。

$12:入接口名称。

$13:创建时间。

$14:结束时间。

日志等级

4

举例

user_name=test;src_ip=20.1.1.5;src_port=0;dst_ip=30.1.1.2;dst_port=0;name=jolt2;type=abnormal-packet;protocol=ICMP;mac=00:40:01:55:24:34;count=8268;level=4;in_if_name=ge6;create_time=1406279692;end_time=1406279702;extend=;.

日志说明

检查到网络层攻击。

处理建议

无。

 

联系我们