H3C SecPath ACG1000系列应用控制网关 日志手册(R6611P06 E6401)-6W101

手册下载

H3C SecPath ACG1000系列应用控制网关

日志信息参考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

适用的软件版本R6611R6611P01R6611P02R6611P03R6611P04R6611P05R6611P06E6401

 

Copyright © 2020新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 


 

1 简介··· 1

1.1 日志格式说明·· 1

1.2 如何获取日志信息·· 2

1.2.1 将日志信息保存到日志文件·· 2

1.2.2 将日志信息发送到日志服务器·· 3

1.3 日志模块列表·· 3

1.4 文档使用说明·· 3

2 系统管理日志··· 4

2.1 用户上下线日志·· 4

2.1.1 Imc认证上下线通知·· 4

2.1.2 免认证上下线通知·· 5

2.1.3 APP认证上下线通知·· 6

2.1.4 微信认证上下线通知·· 7

2.1.5 本地WEB认证上下线通知·· 8

2.1.6 短信认证上下线通知·· 9

2.1.7 单点登录上下线通知·· 10

2.2 系统操作日志·· 11

2.3 系统状态日志·· 12

2.4 健康日志·· 12

2.5 整机转发流量日志·· 12

3 流量日志··· 13

3.1 流量日志·· 13

3.2 流阻断日志·· 14

3.3 NAT日志·· 14

3.3.1 Nat44日志·· 14

3.3.2 Nat日志·· 15

4 IPsecVPN日志··· 15

4.1 IPSec_traffic日志·· 15

4.2 VPN告警日志·· 16

5 策略匹配日志··· 17

5.1 策略匹配日志·· 17

6 恶意URL日志··· 17

6.1 恶意URL日志·· 18

7 应用控制日志··· 18

7.1 应用控制日志·· 19

8 内容审计日志··· 20

8.1 网站访问日志·· 21

8.2 IM上报内容·· 22

8.3 博客、微博、论坛、社区上报内容·· 23

8.4 搜索引擎上报内容·· 24

8.5 邮件上报·· 25

8.6 文件传输上报内容·· 26

8.7 娱乐/股票上报内容·· 27

8.8 其他应用·· 28

9 安全日志··· 28

9.1 防异常包攻击日志·· 29

9.2 防扫描攻击日志·· 30

9.3 DOS攻击日志·· 31

9.4 IP-MAC日志·· 32

9.5 IPS日志·· 33

9.6 AV日志·· 34

9.7 Web规则防护日志·· 35

9.8 Web高级防护日志·· 36

9.9 防暴力破解日志·· 37

9.10 弱密码日志·· 37

9.11 非法外联日志·· 38

9.12 行为模型日志·· 39

10 终端日志··· 40

10.1 移动终端日志·· 40

10.2 共享接入日志·· 41

 


1 简介

本文档介绍H3C SecPath ACG1000日志信息,包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。

本文假设您已具备数据通信技术知识,并熟悉H3C网络产品。

1.1  日志格式说明

缺省情况下,日志采用如下格式:

<pri>time name msg

表1-1 日志头字段说明

字段

描述

pri

PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来

time

时间紧跟在PRI后面,中间没有空格,格式必须是“Mmm dd hh:mm:ss”,不包括年份。“日”的数字如果是19,前面会补一个空格(也就是月份后面有两个空格),而“小时”、“分”、“秒”则在前面补“0”。月份取值包括:JanFebMarAprMayJunJulAugSepOctNovDec

name

设备名称或IP,注意,name字段一定要包含sn,格式是:

device_name;sn;ipversion;msgversion

Ipversion包括:ipv4,ipv6

msg

该日志的具体内容,包含事件或错误发生的详细信息。

 

日志信息按严重性可划分为如1-2所示的八个等级,各等级的严重性依照数值从07依次降低。

表1-2 日志等级说明

级别

严重程度

描述

0

Emergency

表示设备不可用的信息,如系统授权已到期

1

Alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

Critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

Error

表示错误信息,如接口链路状态变化,存储卡拔出等

4

Warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

Notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

Informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

Debug

表示调试过程产生的信息

 

本文使用1-3定义的方式表示日志描述字段中的可变参数域。

表1-3 可变参数域

参数标识

参数类型

INT16

有符号的16位整数

UINT16

无符号的16位整数

INT32

有符号的32位整数

UINT32

无符号的32位整数

INT64

有符号的64位整数

UINT64

无符号的64位整数

DOUBLE

有符号的双32位整数,格式为:[INT32].[INT32]

HEX

十六进制数

CHAR

字节类型

STRING

字符串类型

IPADDR

IP地址

MAC

MAC地址

DATE

日期

TIME

时间

 

1.2  如何获取日志信息

缺省情况下,设备的日志功能处于开启状态,并允许向控制台(console)、WEB页面、日志服务器(loghost)和本地日志文件(logfile)方向输出日志信息。您可以在WEB页面上实时看到系统输出的日志信息,也可以通过display log event命令查看事件日志信息。

通过log命令可以设置日志信息的输出规则,通过输出规则可以指定日志的输出方向以及对哪些特性模块或信息等级的日志信息进行输出。所有信息等级高于或等于设置等级的日志信息都会被输出到指定的输出方向。例如,输出规则中如果指定允许等级为6informational)的信息输出,则等级06的信息均会被输出到指定的输出方向。

说明

·     监视终端是指以AUXVTYTTY类型用户线登录的用户终端。

·     配置日志服务器后,日志服务器也可以实时监控日志信息。

·     本地日志文件可以记录日志信息,但仅能通过WEB页面查看。

 

1.2.1  将日志信息保存到日志文件

缺省情况下,系统根据通过log命令配置的日志过滤条件,将需要记录的日志实时记录到日志文件当中。日志文件中的内容可以通过WEB页面中的日志查询实时查看。

1.2.2  将日志信息发送到日志服务器

您可以通过配置日志服务器向指定的IP地址发送设备的日志信息,还可同时配置日志服务器接收日志信息的端口号(该值需要和日志主机侧的设置一致,缺省为514)。如果设备侧配置的日志服务器接收日志信息的端口号与日志服务器侧不一致,则日志服务器将无法接收日志信息。

您可以指定多个不同服务器同时接收设备产生的日志信息。但最多可指定3个。

1.3  日志模块列表

1-4列出了所有可能生成日志信息的日志模块。

表1-4 日志模块列表

模块名

说明

系统管理日志

包括系统操作日志和系统状态日志

流量日志

与流量相关的日志

IPsecVPN

IPsecVPN相关的日志

恶意URL日志

访问的恶意URL

应用控制日志

应用控制策略相关的日志

内容审计日志

审计出的流量的内容

安全日志

发生攻击的日志

终端日志

终端接入的日志

 

1.4  文档使用说明

本文将系统日志信息按照日志模块分类。

本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考1-5

表1-5 日志信息表内容说明

表项

说明

举例

日志内容

显示日志信息的具体内容

ACL [$1:UINT32] [$2:STRING] [$3:COUNTER64] packet(s).

参数解释

按照参数在日志中出现的顺序对参数进行解释。

参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数。

$1ACL编号

$2ACL规则的ID和内容

$3:与ACL规则匹配的数据包个数

日志等级

日志严重等级

6

举例

一个真实的日志信息举例。

operator_name=admin; operate_ip=192.168.1.105; create_time=2014-07-22 17:56:32;level=notice;reason=mod;result=success;managestyle=WEB;content=mod syslog configuration

日志说明

解释日志信息和日志生成的原因

匹配一条ACL规则的数据包个数。该日志会在数据包个数发生变化时输出。

处理建议

建议用户应采取哪些处理措施。级别为6的“Informational”日志信息是正常运行的通知信息,用户无需处理。

系统正常运行时产生的信息,无需处理。

 

2 系统管理日志

本节介绍系统管理输出的日志。

2.1  用户上下线日志

2.1.1  Imc认证上下线通知

1. IMC认证上线通知

日志内容

 [$1:Imc] [$2:login]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR)

参数解释

$1Imc认证。

$2:认证上线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

日志等级

5

举例

Imc login:logname=123 realname=321 groupname=test @1.1.1.1(8c:34:fd:26:0f:50)

日志说明

Imc认证上线通知。

处理建议

无。

 

2. IMC认证下线通知

日志内容

 [$1:Imc] [$2:logout]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR) login at [$8:TIME], logout at [$9:TIME], duration is [$10:TIME], reason is [$11:logout/kickoff]

参数解释

$1Imc认证。

$2:认证下线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

$8:登录时间。

$9:退出时间。

$10:登录时常。

$11logout/kickoff退出/强制下线。

日志等级

5

举例

Imc logout:logname=test realname=testabc groupname=test@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

Imc认证下线通知。

处理建议

无。

 

2.1.2  免认证上下线通知

1. 免认证上线通知

日志内容

[$1:Free] [$2:login]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR)

参数解释

$1 免认证方式。

$2:认证上线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

日志等级

5

举例

Free login: test@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

免认证上线通知。

处理建议

无。

 

2. 免认证下线通知

日志内容

[$1:Free] [$2:logout]: logname=[$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1 免认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

5

举例

Free logout:logname=123@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

APP认证下线通知。

处理建议

无。

 

2.1.3  APP认证上下线通知

1. APP认证上线通知

日志内容

 [$1:APP] [$2:login]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR)

参数解释

$1APP认证。

$2:认证上线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

日志等级

5

举例

APP login:logname=123 realname=321 groupname=APPgroup@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

APP认证上线通知。

处理建议

无。

 

2. APP认证下线通知

日志内容

 [$1:APP] [$2:logout]: logname=[$3:USERNAME] realname=[$4:REALNAME] groupname=[$5:GROUPNAME]@[$6:IPADDR]($7:MACADDR) login at [$8:TIME], logout at [$9:TIME], duration is [$10:TIME], reason is [$11:logout/kickoff]

参数解释

$1APP认证。

$2:认证下线。

$3:认证用户名字。

$4:用户真实名称。

$5:用户组名称。

$6:用户IP地址。

$7:用户MAC地址。

$8:登录时间。

$9:退出时间。

$10:登录时常。

$11logout/kickoff退出/强制下线。

日志等级

5

举例

APP logout:logname=test realname=testabc groupname=APPgroup@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

APP认证下线通知。

处理建议

无。

 

2.1.4  微信认证上下线通知

1. 微信认证上线通知

日志内容

[$1:Wechat] [$2:login]: [$3:USERNAME]@ [$4:IPADDR]($5:MACADDR)

参数解释

$1 微信认证方式。

$2:认证上线。

$3:认证用户名字。

$4:认证用户地址。

$5:用户MAC地址。

日志等级

5

举例

Wechat login: oWW9-t4_wnLcLNS2kgcQL09QJRfY@192.168.8.62(74:e5:43:16:cc:26)

日志说明

微信认证上线通知。

处理建议

无。

 

2. 微信认证下线通知

日志内容

[$1:Wechat] [$2:logout]: logname=[$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1 微信认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

5

举例

Wechat logout:logname=owIrqtxgUPUiaBntthMX5csEOr7c@192.168.6.69(80:ed:2c:8a:2d:be) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

微信认证下线通知。

处理建议

无。

 

2.1.5  本地WEB认证上下线通知

1. 本地WEB认证上线通知

日志内容

[$1: Local authentication] [$2:login]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR)

参数解释

$1:本地WEB认证方式。

$2:认证上线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

日志等级

5

举例

Local authentication login: test@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

本地WEB认证上线通知。

处理建议

无。

 

2. 本地WEB认证下线通知

日志内容

[$1: Local authentication] [$2:logout]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1 本地WEB认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff 退出/强制下线。

日志等级

5

举例

Local authentication logout: 123@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

本地WEB认证下线通知。

处理建议

无。

 

2.1.6  短信认证上下线通知

1. 短信认证上线通知

日志内容

[$1:Sms] [$2:login]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR)

参数解释

$1:短信认证方式。

$2:认证上线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

日志等级

5

举例

Sms login: test@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

短信认证上线通知。

处理建议

无。

 

2. 短信认证下线通知

日志内容

[$1:Sms] [$2:logout]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1:短信认证方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

5

举例

Sms logout: 123@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

短信认证下线通知。

处理建议

无。

 

2.1.7  单点登录上下线通知

1. 单点登录上线通知

日志内容

[$1:SSO] [$2:login]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR)

参数解释

$1:单点登录方式。

$2:认证上线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

日志等级

5

举例

SSO login: test@1.1.1.1(8c:34:fd:26:0f:50)

日志说明

单点登录上线通知。

处理建议

无。

 

2. 单点登录下线通知

日志内容

[$1:SSO] [$2:logout]: [$3:USERNAME]@[$4:IPADDR]($5:MACADDR) login at [$6:TIME], logout at [$7:TIME], duration is [$8:TIME], reason is [$9:logout/kickoff]

参数解释

$1:单点登录方式。

$2:认证下线。

$3:认证用户名字。

$4:用户IP地址。

$5:用户MAC地址。

$6:登录时间。

$7:退出时间。

$8:登录时常。

$9logout/kickoff退出/强制下线。

日志等级

5

举例

SSO logout: 123@1.1.1.1(8c:34:fd:26:0f:50) login at 2016-05-25 09:17:26, logout at 2016-05-25 09:18:52, duration is 85s, reason is logout

日志说明

单点登录下线通知。

处理建议

无。

 

2.2  系统操作日志

日志内容

operator_name=[$1:STRING];operate_ip=[$2:IPADDR];create_time=[$3:TIME];level=[$4:STRING];reason=[$5:STRING];result=[$6:STRING];managestyle=[$7:STRING];content=[$8:STRING]

参数解释

$1:操作员名字。

$2:操作IP地址。

$3:操作时间。

$4:事件级别。

$5:操作原因。

$6:操作结果。

$7:管理类型。

$8:操作内容。

日志等级

0~6

举例

<6>Nov 29 14:09:52 H3C;110103300117111310721344;ipv4;3; operate: operator_name=admin;operate_ip=172.16.0.2;create_time=2017-11-29 14:09:52;level=notice;reason=add;result=success;managestyle=WEB;content=add ipv6_policy configuration

日志说明

管理员执行操作。

处理建议

无。

 

2.3  系统状态日志

日志内容

[$1:STRING].

参数解释

$1:系统重启、接口UP/DOWN、升级版本、HA切换等系统状态信息。

日志等级

0~6

举例

<4>Nov 29 14:09:52 H3C;110103300117111310721344;ipv4;3; system_state: 健康检查 tcp 探测成功

日志说明

系统状态变化。

处理建议

无。

 

2.4  健康日志

日志内容

CPU使用=[$1:UINT32];内存使用=[$2:UINT32];磁盘使用=[$3:UINT32];温度=[$4:UINT32];会话数=[$5:UINT32]

参数解释

$1CPU使用率。

$2:内存使用率。

$3:硬盘使用率。

$4:温度。

$5:会话数。

日志等级

6

举例

<6>Nov 29 14:09:52 HOST;110103300117111310721344;ipv4;3; device_health: CPU使用=10;内存使用=57;磁盘使用=1;温度=0;会话数=79

日志说明

每分钟发送一次。

处理建议

无。

 

2.5  整机转发流量日志

日志内容

up=[$1:UINT64];down=[$2:UINT64]

参数解释

$1:设备一分钟内上行平均流速(bps)。

$2:设备一分钟内下行平均流速(bps)。

日志等级

6

举例

<6> Nov 29 14:09:52 H3C;110103300117111310721344;ipv4;3;device_traffic: up=167559;down=2258504

日志说明

每分钟发送一次。

处理建议

无。

 

3 流量日志

本节介绍系统流量产生的日志信息。

3.1  流量日志

日志内容

user_name=[$1:STRING];ugname=[$2:STRING];umac=[$3:MAC];uip=[$4:IPADDR];appname=[$5:STRING];appg_name=[$6:STRING];up=[$7:UINT64];down=[$8:UINT64];create_time=[$9:UINT64];end_time=[$10:UINT64]

参数解释

$1:用户名称。

$2:用户组名称。

$3:用户MAC地址。

$4:用户IP地址。

$5:应用名称。

$6:应用组名称。

$7:上行流量(单位为bit)。

$8:下行流量(单位为bit)。

$9:开始统计时间。

$10:结束统计时间。

日志等级

6

举例

<6> Nov 29 14:09:52 H3C;110103300117111310721344;ipv4;3;statistic_traffic: user_name=刘晓林;ugname=root;umac=60:0B:03:AD:12:14;uip=192.168.8.82;appname=UDP;appgname=网络协议;up=720;down=0;create_time=1511859600;end_time=1511859660

日志说明

每分钟发送一次。

处理建议

无。

 

3.2  流阻断日志

日志内容

src_ip=[$1:IPADDR];dst_ip=[$2:IPADDR];protocol=[$3:STRING];src_port= [$4:UINT32];dst_port=[$5:UINT32];in_interface=[$6:STRING];out_interface=  [$7:STRING];policyid=[$8:UINT32];action=[$9:STRING];Content=[$10:STRING];

参数解释

$1:源IP

$2:目的IP

$3:协议。

$4:源端口。

$5:目的端口。

$6:入接口。

$7:出接口。

$8:策略id

$9:动作。

$10:内容。

日志等级

6

举例

<6> Nov 29 14:09:52 H3C;110103300117111310721344;ipv4;3; policy_detail: src_ip=1.1.1.5;dst_ip=2.2.2.2;protocol=TCP;src_port=4056;dst_port= 5006;in_interface=ge0;out_interface=ge1;policyid=2;action=deny;Content=;

日志说明

匹配到deny策略,且配置日志时发送。

处理建议

无。

 

3.3  NAT日志

3.3.1  Nat44日志

日志内容

BIND:user [$1:IPADDR], nat_range:[$2:IPADDR] [$3:UINT32]-[$4:UINT32] ,ifdesc=[$5:STRING]

参数解释

$1:用户IP

$2:转换IP

$3:起始端口。

$4:终止端口。

$5:接口名字。

日志等级

6

举例

<6>Nov 28 16:46:03 H3C;110103300117111310721344;ipv4;3; nat: BIND:user 192.168.5.36, nat_range:220.249.52.178 12224-12323 ,ifdesc=ge16

日志说明

匹配到NAT44规则,且规则里和日志过滤中均配置发送日志。

处理建议

无。

 

3.3.2  Nat日志

日志内容

src_ip=[$1:IPADDR];src_port=[$2:UINT32];dst_ip=[$3:IPADDR];dst_port= [$4:UINT32];before_trans_ip=[$5:IPADDR];after_trans_ip=[$6:IPADDR];protocol= [$7:STRING];before_trans_port=[$8:UINT32];after_trans_port=[$9:UINT32]; type=[$10:STRING]

参数解释

$1:源IP

$2:源端口。

$3:目的IP

$4:目的端口。

$5:转换前的IP

$6:转换后的IP

$7:协议。

$8:转换前的端口。

$9:转换后的端口。

$10:类型。

日志等级

6

举例

<6> Dec  1 16:44:16 H3C;110103300117111310721344;ipv4;3; nat: src_ip=172.16.0.2;src_port=60081;dst_ip=140.207.119.140;dst_port= 80;before_trans_ip=172.16.0.2;after_trans_ip=192.168.3.9;protocol= TCP;before_trans_port=60081;after_trans_port=60081;type=snat

日志说明

匹配到NAT规则,且规则里和日志过滤中均配置发送日志。

处理建议

无。

 

4 IPsecVPN日志

4.1  IPSec_traffic日志

日志内容

本地vpn名字=[$1:STRING];上行带宽=[$2:INT64];下行带宽=[$3:INT64]

参数解释

$1:本地VPN名称

$2:上行带宽。

$3:下行带宽。

日志等级

6

举例

<6>Nov 28 16:46:13 H3C; 110102800119061466566513;ipv4;3; ipsec_traffic: 本地vpn名字=北京abt总部;上行带宽=68770;下行带宽=9163

日志说明

名称为“总部”的VPN上行带宽为68770,下行带宽为9163。单位:bit

处理建议

无。

 

4.2  VPN告警日志

日志内容

本地vpn名字=[$1:STRING64];远端vpn名字=[$2:STRING64];本地vpn ip地址=[$3:IPADDR];远端vpn ip地址=[$4:IPADDR];状态=[$5:UINT32];线路=[$6:STRING64]

参数解释

$1:本地VPN名称

$2:对端VPN名称

$3:本地VPN接口地址

$4:对端VPN接口地址

$5:状态,固定为0

$6:分支节点断开的线路名称,仅分支节点有。

日志等级

6

举例

<4>Nov 22 11:00:33 H3C;110102800119061466566513;ipv4;3; ipsec_state: 本地vpn名字=fenzhi;远端vpn名字=zongbu;本地vpn ip地址=192.168.8.30;远端vpn ip地址=192.168.8.30;状态=0;线路=

日志说明

因对端网络不可达造成IPsec VPN断开。

处理建议

无。

 

5 策略匹配日志

5.1  策略匹配日志

日志内容

src_ip=[$1:STRING];dst_ip=[$2:STRING];protocol=[$3:STRING];src_port= [$4:INT];dst_port=[$5:INT];in_interface=[$6:STRING];out_interface= [$7:STRING];policyid=[$8:INT];action=[$9:STRING];Content=[$10:STRING]

参数解释

$1:源IP

$2:目的IP

$3:协议。

$4:源端口。

$5:目的端口。

$6:内网接口。

$7:外网接口。

$8:策略ID

$9:策略动作。

$10:。

日志等级

6

举例

<6>Nov 28 16:45:18 H3C;110103300117111310721344;ipv4;3; policy_detail: src_ip=192.168.10.209;dst_ip=106.120.168.93;protocol=TCP;src_port= 60051;dst_port=80;in_interface=ge10;out_interface=ge17;policyid=11;action= permit;Content=

日志说明

匹配到NAT规则,且规则里和日志过滤中均配置发送日志。

处理建议

无。

 

6 恶意URL日志

本节介绍恶意URL产生的日志信息。

6.1  恶意URL日志

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRNG];term_device=[$4:STRING];src_ip=[$5:IPADDR];dst_ip= [$6:IPADDR];web_name=[$7:STRING];url=[$8:STRING];msg=[$9:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:源IP地址。

$6:目的IP地址。

$7:网站域名。

$8:用户访问的完整URL

$9:预留字段,不填充内容。

日志等级

4

举例

user_name=192.168.4.223;user_group_name=root;term_platform= windows;term_device=PC;src_ip=192.168.4.223;dst_ip= 61.155.222.136;web_name=009blog.com;url=http://009blog.com/favicon.ico;msg=

日志说明

匹配到过滤恶意URL策略,且规则和日志过滤均配置发送日志。

处理建议

无。

 

7 应用控制日志

本节介绍应用控制策略产生的日志信息。

7.1  应用控制日志

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform=[$3:STRING];term_device=[$4:STRING];src_mac=[$5:STRING];src_ip=[$6:STRING]";"dst_ip=[$7:STRING];src_port=[$8:UINT16];dst_port=[$9:UINT16];pid=[$10:UINT32];pname=[$11:STRING];log_level=[$12:UINT32];handle_action=[$13:UINT32];act_name=[$14:STRING];";"app_name=[$15:STRING];app_cat_name=[$16:STRING];url_cate_name=[$17:STRING];url=[$18:STRING];account=[$19:STRING];content=[$20:STRING];ptype_desc=[$21:STRING]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:源MAC地址。

$6:源IP地址。

$7:目的IP地址。

$8:源端口。

$9:目的端口。

$10:策略ID

$11:策略名称:具体含义是策略类别,策略ID,子策略类别,子策略ID。其中策略类别的具体含义如7-1所示。

$12:日志等级。

$13:处理动作。

$14:动作名称(接受还是拒绝)。

$15:应用名称。

$16:应用分类名称。

$17URL分类名称。

$18URL地址。

$19:账号。

$20:日志内容。

$21:策略描述。(包括应用控制、恶意URL控制、URL控制、邮件控制、搜索控制、HTTP上传控制、网页内容控制、虚拟帐号控制、应用审计)

日志等级

0~6

举例

Aug 31 16:11:28 10.0.53.205 Aug 31 16:17:36 HOST;110100200119081909113153;ipv4;3; app_filter: user_name=192.168.2.90;user_group_name=anonymous;term_platform=;term_device=未知类型;src_mac=00:21:cc:ca:39:25;src_ip=192.168.2.90;dst_ip=113.96.232.106;src_port=49908;dst_port=143;pid=1;pname=IPv4_policy_1_app_policy_1;log_level=0;

handle_action=0;act_name=accept;app_name=IMAP邮件协议;app_cat_name=电子邮件;url_cate_name=;url=;account=;content=;ptype_desc=应用控制

日志说明

用户192.168.2.90使用了邮件协议。

其中“pname=IPv4_policy_1_app_policy_1”的含义为:策略类别为“IPv4应用控制策略”,策略ID1,子策略为应用控制策略,子策略ID1

ptype_desc=应用控制”含义为:该策略类别为应用控制策略。

处理建议

接受放行

 

 

表7-1 策略类别详细说明

参数

含义

app_policy

应用控制

malware_policy

恶意URL控制

url_policy

URL控制

mail_policy

,邮件控制

search_policy

搜索控制

http_post_policy

HTTP上传控制

web_content_policy

网页内容控制

virtual_count_policy

虚拟帐号控制

Audit_policy

应用审计

 

8 内容审计日志

本节介绍内容审计产生的日志信息。

8.1  网站访问日志

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];src_ip=[$5:STRING];dst_ip= [$6:STRING];url_domain=[$7:STRING];url=[$8:STRING];url_cate_name= [$9:STRING];handle_action=[$10:UINT32];msg=[$11:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:源IP地址。

$6:目的IP地址。

$7:网站域名。

$8:用户访问的完整URL

$9:网站分类名称。

$10:策略配置的处理动作。

$11:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:55:48 H3C;110103300117111310721344;ipv4;3; web_access: user_name=192.168.4.223;user_group_name=root;term_platform= windows;term_device=PC;src_ip=192.168.4.223;dst_ip= 125.88.193.243;url_domain=www.haosou.com;url= http://www.haosou.com/brw?w=1&v=7.1.1.558&u= http%3A%2F%2Fchurch-group-discounts.com%2F;url_cate_name= 其他;handle_action=0;msg=

日志说明

匹配到URL审计策略,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.2  IM上报内容

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32];src_mac= [$6:STRING];src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port= [$9:UINT32];app_name=[$10:STRING];app_cat_name= [$11:STRING];handle_action=[$12:UINT32];account=[$13:UINT32];action_name= [$14:STRING];content=[$15:STRING];msg=[$16:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:聊天内容。

$16:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:45:28 H3C;110103300117111310721344;ipv4;3; im: user_name= 靖娟娟;user_group_name=root;term_platform=;term_device=PC;pid= 1;src_mac=68:91:d0:d0:0b:79;src_ip=192.168.1.69;dst_ip= 223.167.104.149;dst_port=8080;app_name=微信;app_cat_name= 即时通讯;handle_action=0;account=2743413360;action_name=收消息;content=;msg=

日志说明

匹配到七元组策略或(如:即时通讯)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.3  博客、微博、论坛、社区上报内容

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32];src_mac= [$6:STRING];src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port= [$9:UINT32;app_name=[$10:STRING];app_cat_name= [$11:STRING];handle_action=[$12:UINT32];account=[$13:UINT32];action_name= [$14:STRING];subject=[$15:STRING];content=[$16:STRING];msg=[$17:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:主题。

$16:内容。

$17:预留字段,不填充内容。

日志等级

0~6

举例

<5>Nov 28 17:00:29 H3C;110103300117111310721344;ipv4;3; social_log:user_name=192.168.4.223;user_group_name=root;term_platform= windows;term_device=PC;pid=1;src_mac=28:d2:44:37:6c:f0;src_ip= 192.168.4.223;dst_ip=116.10.186.184;dst_port=80;app_name= 猫扑论坛;app_cat_name=网络社区;handle_action=0;account=sradish_xiaoxiao;action_name= 发表;subject= 灌水;content=测试发帖灌水;msg=

日志说明

匹配到七元组策略或(如:网络社区)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.4  搜索引擎上报内容

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32 ];src_mac= [$6:STRING ];src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port= [$9:UINT32];app_name=[$10:STRING];app_cat_name=[$11:STRING];handle_action=[$12: UINT32 ];account=[$13:STRING];action_name=[$14:STRING];content= [$15:STRING];msg=[$16:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:内容。

$16:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:47:58 H3C;110103300117111310721344;ipv4;3; search_engine: user_name=车源;user_group_name=root;term_platform=;term_device=PC;pid= 13;src_mac=68:f7:28:a0:3d:3e;src_ip=192.168.8.13;dst_ip= 202.89.233.101;dst_port=443;app_name=必应;app_cat_name=搜索引擎;handle_action=0;account=;action_name=搜索;content= {_t_:1,_cl_:_w_,_v_:_th_,_id_:_C11913ED7902462E8DFB3F820252E2C1_,_fz_: 3210240,_q_:_houtianhu_,_app_:_*_,_kb_:_*_,_c_:5};msg=

日志说明

匹配到七元组策略或(如:搜索引擎)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.5  邮件上报

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32];src_mac= [$6:STRING];src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port= [$9:UINT32];app_name=[$10:STRING];app_cat_name= [$11:STRING];handle_action=[$12:UINT32];account=[$13:STRING];action_name= [$14:STRING];send_addr=[$15:IPADDR];receive_addr=[$16:IPADDR];subject= [$17:STRING];content=[$18:STRING];file_name=[$19:STRING];file_size= [$20:UINT32];msg=[$21:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:发送地址。

$16:接收地址。

$17:主题。

$18:邮件内容。

$19:文件名称。

$20:文件大小。

$21:预留字段,不填充内容。

日志等级

0~6

举例

<5>Nov 28 16:45:33 H3C;110103300117111310721344;ipv4;3; mail: user_name=10.0.50.4;user_group_name=anonymous;term_platform=; term_device=PC;pid=2;src_mac=68:91:d0:d0:05:bd;src_ip=10.0.50.4;dst_ip= 220.181.15.127;dst_port=1746;app_name=IMAP邮件协议;app_cat_name=电子邮件;handle_action=0;account=zhangqiang_zz@126.com;action_name= 接收邮件;send_addr=Amazon Web Services <aws-marketing-email-replies@amazon.com>; receive_addr=zhangqiang_zz@126.com;subject= Monday Announcements from AWS re:Invent 2017;content=;file_name=;file_size=0;msg=

日志说明

匹配到七元组策略或(如:电子邮件)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.6  文件传输上报内容

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32];src_mac= [$6:STRING];src_ip=[$7:IPADDR];dst_ip=$8: [IPADDR];dst_port=[$9:UINT32];app_name=[$10:STRING];app_cat_name= [$11:STRING];handle_action=[$12:UINT32];account=[$13:STRING];action_name= [$14:STRING];file_name=[$15:STRING];msg=[$16:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:文件名称。

$16:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:45:18 H3C;110103300117111310721344;ipv4;3; file_transfer: user_name=192.168.7.105;user_group_name=anonymous;term_platform=; term_device=Mac;pid=19;src_mac=7c:04:d0:c6:4f:22;src_ip= 192.168.7.105;dst_ip=180.97.34.136;dst_port=49771;app_name= 百度网盘;app_cat_name=文件传输;handle_action=0;account=;action_name= 接收;file_name=89006A2E.AutodeskSketchBook_1.7.0.0_x64__tf1gferkr813w.Appx; msg=

日志说明

匹配到七元组策略或(如:文件传输类)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.7  娱乐/股票上报内容

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32];src_mac=[$6:STRING]; src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port=[$9:UINT32];app_name= [$10:STRING];app_cat_name=[$11:STRING];handle_action=[$12:UINT32]; account=[$13:STRING];action_name=[$14:STRING]; parent_info=[$15:STRING];msg=[$16:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:父协议信息。

$16:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:45:38 H3C;110103300117111310721344;ipv4;3; relax_stock:user_name=张亮;user_group_name=root;term_platform=;term_device=PC;pid=1;src_mac= 84:7b:eb:29:8d:a5;src_ip=192.168.1.100;dst_ip=150.138.174.36;dst_port= 80;app_name=网络视频/语音;app_cat_name=流媒体; handle_action=0;account=;action_name=看视频;parent_info=;msg=parent_info=;

日志说明

匹配到七元组策略或(如:股票软件类,流媒体类)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

8.8  其他应用

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];term_platform= [$3:STRING];term_device=[$4:STRING];pid=[$5:UINT32]; src_mac=[$6:STRING];src_ip=[$7:IPADDR];dst_ip=[$8:IPADDR];dst_port= [$9:UINT32];app_name=[$10:STRING];app_cat_name=[$11:STRING]; handle_action=[$12:UINT32];account=[$13:STRING];action_name= [$14:STRING];content=[$15:STRING];msg=[$16:]

参数解释

$1:用户名称。

$2:用户组名称。

$3:终端平台。

$4:终端设备。

$5:策略id

$6:源MAC地址。

$7:源IP地址。

$8:目的IP地址。

$9:目的端口号。

$10:应用名称。

$11:应用分类名称。

$12:策略配置的处理动作。

$13:帐号。

$14:应用行为名称。

$15:内容。

$16:预留字段,不填充内容。

日志等级

0~6

举例

<6>Nov 28 16:45:18 H3C;110103300117111310721344;ipv4;3; other_app: user_name=192.168.10.209;user_group_name=anonymous;term_platform=; term_device=PC;pid=11;src_mac=28:56:5a:13:3f:ab;src_ip= 192.168.10.209;dst_ip=106.120.168.93;dst_port=80;app_name= 360安全中心;app_cat_name=软件更新;handle_action=0;account=;action_name= 网页浏览;content=;msg=

日志说明

匹配到七元组策略或(如:其他应用类及各应用类的网页浏览行为)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

无。

 

9 安全日志

本节介绍安全防护产生的日志信息。

9.1  防异常包攻击日志

日志内容

user_name=[$1:STRING];src_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_ip= [$4:IPADDR];dst_port=[$5:UINT32];name=[$6:STRING];type=[$7:STRING]; protocol=[$8:STRING];mac=[$9:MAC];count=[$10:UINT32];level=[$11:UINT32]; in_if_name=[$12:STRING];create_time=[$13:UINT64];end_time=[$14:UINT64]; extend=[$15];

参数解释

$1:用户名称。

$2:源IP地址。

$3:源端口号。

$4:目的IP地址。

$5:目的端口号。

$6:名称。

$7:类型。

$8:协议名称。

$9MAC地址。

$10:计数。

$11:级别。

$12:入接口名称。

$13:创建时间。

$14:结束时间。

$15:预留字段,不填充数据。

日志等级

4

举例

<4>Nov 28 16:47:38 H3C;110103300117111310721344;ipv4;3; security_abnormal_pkt: user_name=test;src_ip=20.1.1.5;src_port=0;dst_ip=30.1.1.2;dst_port= 0;name=jolt2;type=abnormal-packet;protocol=ICMP;mac=00:40:01:55:24:34; count=8268;level=4;in_if_name=ge6;create_time=1406279692;end_time= 1406279702;extend=;

日志说明

检查到网络层攻击。

处理建议

无。

 

9.2  防扫描攻击日志

日志内容

user_name=[$1:STRING];src_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_ip= [$4:IPADDR];dst_port=[$5:UINT32];name=[$6:STRING];type=[$7:STRING]; protocol=[$8:STRING];mac=[$9:MAC];count=[$10:UINT32];level=[$11:UINT32]; in_if_name=[$12:STRING];create_time=[$13:UINT64];end_time=[$14:UINT64]; extend=[$15];

参数解释

$1:用户名称。

$2:源IP地址。

$3:源端口号。

$4:目的IP地址。

$5:目的端口号。

$6:名称。

$7:类型。

$8:协议名称。

$9MAC地址。

$10:计数。

$11:级别。

$12:入接口名称。

$13:创建时间。

$14:结束时间。

$15:预留字段,不用填充数据。

日志等级

4

举例

<4>Nov 28 16:47:38 H3C;110103300117111310721344;ipv4;3; security_scan: user_name= ;src_ip=192.168.2.34;src_port=0;dst_ip=198.46.82.65;dst_port= 0;name=ipsweep;type=scan-attack;protocol=ICMP;mac=00:21:45:c0:fa:00;count= 1;level=4;in_if_name=ge2;create_time=1511858856;end_time=1511858856; extend=;

日志说明

检查到网络层攻击。

处理建议

无。

 

9.3  DOS攻击日志

日志内容

user_name=[$1:STRING];src_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_ip= [$4:IPADDR];dst_port=[$5:UINT32];name=[$6:STRING];type=[$7:STRING]; protocol=[$8:STRING];mac=[$9:MAC];count=[$10:UINT32];level=[$11:UINT32]; in_if_name=[$12:STRING];create_time=[$13:UINT64];end_time=[$14:UINT64]; extend=;

参数解释

$1:用户名称。

$2:源IP地址。

$3:源端口号。

$4:目的IP地址。

$5:目的端口号。

$6:名称。

$7:类型。

$8:协议名称。

$9MAC地址。

$10:计数。

$11:级别。

$12:入接口名称。

$13:创建时间。

$14:结束时间。

$15:预留字段,不用填充数据。

日志等级

4

举例

<4>Nov 28 16:47:55 H3C;110103300117111310721344;ipv4;3; security_flood: user_name= ;src_ip=192.168.5.95;src_port=1863;dst_ip=121.10.215.99;dst_port=1863;name=udpflood;type=flood-attack;protocol=UDP;mac=28:d2:44:7c:2e:51; count=1;level=4;in_if_name=ge5;create_time=1511858873;end_time= 1511858873;extend=;

日志说明

检查到网络层攻击。

处理建议

无。

 

9.4  IP-MAC日志

日志内容

user_name=[$1:STRING];src_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_ip=[$4:IPADDR];dst_port=[$5:UINT32];name=[$6:STRING];type=[$7:STRING];protocol=[$8:STRING];mac=[$9:MAC];count=[$10:UINT32];level=[$11:UINT32];in_if_name=[$12:STRING];create_time=[$13:UINT64];end_time=[$14:UINT64]; extend=[$15];

参数解释

$1:用户名称。

$2:源IP地址。

$3:源端口号。

$4:目的IP地址。

$5:目的端口号。

$6:名称。

$7:类型。

$8:协议名称。

$9MAC地址。

$10:计数。

$11:级别。

$12:入接口名称。

$13:创建时间。

$14:结束时间。

$15:预留字段,不用填充数据。

日志等级

4

举例

<4>Nov 28 16:47:55 HOST;110103300117111310721344;ipv4;3; security_ipmac: user_name= ;src_ip=192.168.5.95;src_port=1863;dst_ip=121.10.215.99;dst_port=1863;name=ip-mac-bind;type=arp-attack;protocol=UDP;mac=28:d2:44:7c:2e:51; count=1;level=4;in_if_name=ge5;create_time=1511858873;end_time= 1511858873;extend=;

日志说明

检查到网络层攻击。

处理建议

无。

 

9.5  IPS日志

日志内容

user_id=[$1:UINT32];user_name=[$2:STRING];policy_id=[$3:UINT32];src_mac=[$4:MACADDR];dst_mac=[$5:MACADDR];src_ip=[$6:IPADDR];dst_ip=[$7:IPADDR];src_port=[$8:UINT32];dst_port=[$9:UINT32];app_name=[$10:STRING];protocol=[$11:STRING];app_protocol=[$12:STRING];event_id=[$13:UINT32];event_name=[$14:STRING];event_type=[$15:STRING];level=[$16:STRING];ctime=[$17:STRING];action=[$18:STRING]

参数解释

$1:用户ID

$2:用户名称。

$3:策略id

$4:源MAC地址。

$5:目的MAC地址。

$6:源IP地址。

$7:目的IP地址。

$8:源端口。

$9:目的端口。

$10:应用名称。

$11:协议名称。

$12:应用协议名称。

$13:事件ID

$14:事件名称。

$15:事件类型。

$16:日志等级。

$17:日志时间。

$18:动作名称。

日志等级

1456

举例

<6>Nov 28 16:48:13 HOST;000000800117081400904797;ipv4;3; ips: user_id=2;user_name=192.168.8.90;policy_id=1;src_mac=00:01:7a:e1:63:0e;dst_mac=00:21:45:c7:00:c8;src_ip=192.168.8.90;dst_ip=119.147.194.95;src_port=19760;dst_port=8000;app_name=所有应用;protocol=UDP;app_protocol=UDP;event_id=1310936;event_name=Novell_ZENworks配置管理TFTPD远程代码执行漏洞;event_type=安全漏洞;level=info;ctime=2017-11-28 16:48:13;action=pass

日志说明

匹配到事件集下的某个事件,且规则和日志过滤均配置发送日志。

处理建议

建议去检查确认内网用户是否存在异常的网络行为。

 

9.6  AV日志

日志内容

virus_name=[$1:STRING64];file_name=[$2:STRING256];user_name=[$3:STRING32];user_id=[$4:UINT32];policy_id=[$5:UINT32];src_mac=[$6:MACADDR];dst_mac=[$7:MACADDR];src_ip=[$8:IPADDR];dst_ip=[$9:IPADDR];src_port=[$10:UINT32];dst_port=[$11:UINT32];app_name=[$12:STRING32];protocol=[$13:STRING32];app_protocol=[$14:STRING32];level=[$15:STRING];ctime=[$16:STRING];action=[$17:STRING]

参数解释

$1:病毒名称。

$2:文件名称。

$3:用户名称。

$4:用户ID

$5:策略ID

$6:源MAC

$7:目的MAC

$8:源IP

$9:目的IP

$10:源端口。

$11:目的端口。

$12:应用名称。

$13:协议类型。

$14:高层协议类型。

$15:日志级别。

$16:发生时间。

$17:策略动作。

日志等级

4

举例

<4>Nov 28 16:48:13 HOST;000000800117081400904797;ipv4;3; AV: virus_name=avvirus;file_name=0823bdf784007435fc0741b270866a3c; user_name=192.168.8.90;user_id=2; policy_id=1;src_mac=00:01:7a:e1:63:0e;dst_mac=00:21:45:c7:00:c8;src_ip=192.168.8.90;dst_ip=119.147.194.95;src_port=19760;dst_port=8000;app_name=SMTP邮件协议;protocol=TCP;app_protocol=SMTP; level=info;ctime=2017-11-28 16:48:13;action=pass

日志说明

检查到病毒。

处理建议

建议安装杀毒软件进行病毒查杀。

 

9.7  Web规则防护日志

日志内容

policy_name=[$1:STRING];url=[$2:STRING];waf_method=[$3:STRING];src_mac=[$4:STRING];dst_mac=[$5:STRING];src_ip=[$6:IPADDR];dst_ip=[$7:IPADDR];src_port=[$8:UINT32]; dst_port=[$9:UINT32];rule_id=[$10:STRING];defend_type=[$11:STRING];level=[$12:STRING];action=[$13:STRING];msg=[$14:STRING]

参数解释

$1web防护策略名称。

$2URL

$3HTTP请求方法。

$4:源MAC地址。

$5:目的MAC地址。

$6:源IP地址。

$7:目的IP地址。

$9:源端口号。

$9:目的端口号。

$10:规则ID

$11:规则防护类型。

$12:日志级别。

$13:处理动作。

$14:描述。

日志等级

0~6

举例

<6>Nov 28 16:45:18 网关HA; 190001100116050743717653; ipv4; 3;  waf_ruledefend: policy_name=56;url="http://CNZRHRbFWr/cgi-bin/activecalendar/data/m_4.php?css=%22%3e%3c%3c%3ciMg/S%20%22r%3d%27%3e%27%22%20%3d%22%3e%27%3e%22%20%27%27%20sRc%3d%22a%22%20%09OnErrOr%3d%22alert%28%27vhapgoixesdlf%27%29%22/a%3e%3e";waf_method=GET;src_mac=00:0c:29:3b:f0:e5;dst_mac=00:0c:29:3b:f0:ef;src_ip=1.1.192.214;dst_ip=1.2.212.107;src_port=24057;dst_port=80;rule_id=904027;defend_type="XSS攻击";level=warning;action=允许;msg="请求参数中包含常见XSS攻击关键字, 攻击字符串""alert('vhapgoixesdlf')"", 原始字符串""css=""><<<img/s""r='>'""="">'>""''src=""a""onerror=""alert('vhapgoixesdlf')""/a>>"""

日志说明

匹配到web防护策略的或(如:其他应用类及各应用类的网页浏览行为)应用过滤规则,且规则和日志过滤均配置发送日志。

处理建议

建议检查确认内网用户是否存在异常的网络行为。

 

9.8  Web高级防护日志

日志内容

policy_name=[$1:STRING];url=[$2:STRING];waf_method=[$3:STRING];src_mac=[$4:STRING];dst_mac=[$5:STRING];src_ip=[$6:IPADDR];dst_ip=[$7:IPADDR];src_port=[$8:UINT32]; dst_port=[$9:UINT32];defend_type=[$10:STRING];level=[$11:STRING];action=[$12:STRING];msg=[$13:STRING]

参数解释

$1web防护策略名称。

$2URL

$3HTTP请求方法。

$4:源MAC地址。

$5:目的MAC地址。

$6:源IP地址。

$7:目的IP地址。

$9:源端口号。

$9:目的端口号。

$10:高级防护类型。

$11:日志级别。

$12:处理动作。

$13:描述。

日志等级

0~6

举例

<6>Nov 28 16:45:18 网关HA; 190001100116050743717653; ipv4; 3; waf_advdefend: policy_name=56;url="http://139.224.37.118/dout.aspx?s=11052346&m=fast&id=972413703&client=DynGate&p=10000002";waf_method=POST;src_mac=a4:4c:c8:27:a6:fa;dst_mac=68:91:d0:d0:0c:d9;src_ip=192.168.1.65;dst_ip=139.224.37.118;src_port=36928;dst_port=80;defend_type="精确访问控制";level=warning;action=允许;msg="匹配中策略""56""中的精确访问控制规则1"

日志说明

匹配到web防护策略的精确访问控制、防盗链、CSRF攻击防护、CC攻击防护、应用隐藏、网页防篡改规则,且规则和日志过滤均配置发送日志。

处理建议

建议检查确认内网用户是否存在异常的网络行为。

 

9.9  防暴力破解日志

日志内容

occur_time=[$1:STRING];src=[$2:IPADDR];dst=[$3:IPADDR];service=[$4:STRING]; action=[$5:STRING];

参数解释

$1:发生时间。

$2:源IP地址。

$3:目的IP地址。

$4:服务。

$5:动作。

日志等级

0~6

举例

<6>Nov 28 16:45:18 网关HA; 190001100116050743717653; ipv4; 3; bfd: occur_time=2018-07-02 17:19:52;src=192.168.1.82;dst=192.168.1.65;service=pop3;action=blist

日志说明

匹配到防暴力破解规则。

处理建议

建议检查源地址对应用户是否存在异常行为。

 

9.10  弱密码日志

日志内容

src=[$1:IPADDR];dst=[$2:IPADDR];service=[$3:STRING];login=[$5:STRING]; pwd_type=[$6:STRING];

参数解释

$1:源IP地址。

$2:目的IP地址。

$3:服务。

$4:用户名。

$5:弱密码类型。

日志等级

0~6

举例

<6>Nov 28 16:45:18 网关HA; 190001100116050743717653; ipv4; 3; wpd: src=1.1.187.45;dst=1.2.93.151;service=pop3;login=VDvwcK;pwd_type=le8-let

日志说明

匹配到弱密码防护策略。

处理建议

建议用户更新服务器的密码。

 

9.11  非法外联日志

日志内容

time=[$1:STRING]; policy_name =[$2:STRING]; server_addr =[$3:IPADDR]; out_addr=[$4:IPADDR]; proto =[$5:STRING]; action=[$6:STRING];

参数解释

$1:发生时间。

$2:服务器非法外联策略名称。

$3:服务器IP地址。

$4:外联地址IP地址。

$5:协议。

$6:动作。

日志等级

1

举例

<1>Jul 12 14:59:18 D12;530000000119051342010751;ipv4;3; servconn_policy: time=2019-07-12 14:59:18;policy_name=out;server_addr=192.168.24.80;out_addr=192.168.24.255;proto=UDP;port=137;action=1

日志说明

匹配到非法外联防护策略。

处理建议

无。

 

9.12  行为模型日志

日志内容

src_ip=[$1:IPADDR];st_ip=[$2:IPADDR];src_port=[$3:UINT32];dst_port=[$4:UINT32];src_mac=[$5:MACADDR];dst_mac=[$6:MACADDR];protocol=[$7:STRING];behavior_name_cn=[$8:STRING];behavior_name_en=[$9:STRING];behavior_detail=[$10:STRING];behavior_desc=[$11:STRING];level=[$12:STRING];action=[$13:STRING];

参数解释

$1:源IP地址。

$2:目的IP地址。

$3:源端口。

$4:目的端口。

$5:源MAC地址。

$6:目的MAC地址。

$7:协议类型。

$8:行为中文名称。

$9:行为英文名称。

$10:行为详情。

$11:行为描述。

$12:日志等级。

$12:动作。

日志等级

0~6

举例

<4>Jul 11 19:03:49

日志说明

 2.208-2039-master;530000500119032974562668;ipv4;3; behavior_model:src_ip=172.16.22.61;dst_ip=172.17.1.95;src_port=21833;dst_port=53;src_mac=02:1a:c5:01:15:3b;dst_mac=68:91:d0:d5:7f:7d;protocol=UDP;behavior_name_cn=DNS 隧道;

处理建议

behavior_name_en=DNStunnel;behavior_detail=dnscat.27d5012b62965cbe1376c70aec84b1856d;behavior_desc=Dns traffic is too large,level=warning;action=拒绝

 

10 终端日志

10.1  移动终端日志

日志内容

user_name=[$1:STRING];group=[$2:STRING];src_ip=[$3:IPADDR];term_type_cn=[$4:STRING];term_type_en=[$5:STRING];probe_time=[$6:STRING];detail_cn=[$7:STRING];detail_en=[$8:STRING];state=[$9:UINT32];

参数解释

$1:用户名称。

$2:用户组名称。

$3:源IP地址。

$4:终端类型(中文)。

$5:终端类型(英文)。

$6:终端发现时间。

$7:终端发现原因(中文)。

$8:终端发现原因(英文)

$9:终端状态。

日志等级

举例

<6>Aug 31 17:34:30 100;530000000118011573318101;ipv4;3; term_mgt: user_name=192.168.24.45;group="anonymous";src_ip=192.168.24.45;term_type_cn=多终端(Windows,Android系统[SM-G900P]);term_type_en=multi terminal(Windows,Android Terminal[SM-G900P]);probe_time=2019-08-31 17:34:30;detail_cn=HTTP_GET;detail_en=HTTP_GET;state=1;

日志说明

发现移动终端的流量,用户名为:192.168.24.45,源IP192.168.24.45,终端类型为多终端(Windows,Android系统[SM-G900P]),发现终端原因为:发现了HTTP_GET的流量,用户当前状态为已冻结。

处理建议

无。

 

10.2  共享接入日志

日志内容

user_name=[$1:STRING];user_group_name=[$2:STRING];user_ip=[$3:STRING];user_mac=[$4:STRING]; terminal_count: [$5:UINT32];action=[$6:STRING];action_time=[$7:UINT32];

find_time=[$8:STRING]; timestamp_info=[$9:STRING];

ua_info=[$10:STRING];flash_info=[$11:STRING];

sig_info=[$12:STRING];wechat_info=[$13:STRING]

参数解释

$1:用户名称。

$2:用户组名称。

$3:用户IP地址。

$4:用户MAC地址。

$5:终端数量。

$6:惩罚方式。

$7:动作发生次数。

$8:发现时间。

$9:时间戳。

$10User Agent信息。

$11Flash 信息。

$12:签名信息。

$13:微信长链接信息。

日志等级

举例

Aug 31 17:19:17 192.168.4.83 Aug 31 17:01:01 HOST;190101800116050732047286;ipv4;3; network_share: user_name=192.168.4.80;user_group_name=anonymous;

user_ip=192.168.4.80;user_mac=54:76:54:32:10:32;terminal_count:2;action=deny;action_time=5;find_time=2019-08-31 17:01:04;timestamp_info=PC(1):-.;ua_info=PC(1):Windows:NT 10.0.Moblie(1):SM-G900P.;flash_info=;sig_info=;wechat_info=

日志说明

发现有两个终端共享接入,进行阻断。

处理建议

阻断。

 

联系我们