H3C SecPath 运维审计系统 日志手册(E6704)-5W103

手册下载

H3C SecPath运维审计系统日志手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf



简介

本文档介绍H3C SecPath运维审计系统日志信息,为管理人员进行系统管理提供参考。

1.1  日志格式说明

表1 日志字段说明

字段

描述

时间

记录操作人员的操作时间

重要性

日志信息的重要等级

日志类型

表明日志所属的功能模块

用户

指明操作人员

操作

指明操作的行为名称

结果

操作成功或失败

 

日志信息的重要性可由管理员在系统配置页面进行配置。

表2 日志等级说明

级别

描述

表示通知一类的消息,不用引起注意,如登录成功

中低

表示需要留意的消息,如添加、删除用户

表示添加、删除资产或策略配置一类的消息

中高

表示审计一类的操作,如监控会话

表示操作会影响到系统管理配置,需要高度注意,如修改保存了系统配置

 

1.2  软件模块列表

3列出了所有可能生成系统日志信息的软件模块。

表3 软件模块列表

模块名

模块全称

用户

用户

认证

认证

资产

资产

策略

策略

审计

审计

系统管理

系统管理

运维

运维

 

1.3  文档使用说明

本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考4

表4 日志信息表内容说明

表项

说明

举例

日志内容

显示日志信息的具体内容

[DATE]  [STRING] [STRING] [STRING] [STRING] [STRING]

参数解释

按照参数在日志中出现的顺序对参数进行解释。

参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数。

 

$1:时间

$2:重要性

$3:日志类型

日志等级

根据配置来确定

举例

一个真实的日志信息举例。

 

日志说明

解释日志信息和日志生成的原因

某用户登录失败

处理建议

建议用户应采取哪些处理措施

系统正常运行时产生的信息,无需处理

 

认证

本节介绍认证模块输出的日志信息。

2.1  登陆日志

2.1.1  登录失败

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

举例

$1=2015-3-10 17:20:20”,$2=“低”,$3=“登录日志”

$4=admin 10.11.200.5”,$5=”登录系统,密码错误$6=”失败

日志说明

用户admin2015-3-10 17:20:20 登录系统失败,源ip10.11.200.5,重要程度为中低

处理建议

检查用户密码

 

2.1.2  登录成功

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

举例

$1=2015-3-10 17:20:20”,$2=“低”,$3=“登录日志”

$4=admin 10.11.200.5”,$5=”登录系统$6=”成功

日志说明

用户admin2015-3-10 17:20:20 登录系统成功,源ip10.11.200.5,重要程度为低

处理建议

 

用户

本节介绍用户模块输出的日志信息。

3.1  用户日志

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

中低

举例

$1=2015-3-10 17:20:20”,$2=“中低”,$3=“用户日志”

$4=admin 10.11.200.5”,$5=”修改密码$6=”成功

日志说明

用户admin2015-3-10 17:20:20 修改密码成功,源ip10.11.200.5,重要程度为中低

处理建议

 

资产

本节介绍资产模块输出的日志信息。

4.1  资产日志

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

中低

举例

$1=2015-3-10 17:20:20”,$2=“中低”,$3=“用户日志”

$4=admin 10.11.200.5”,$5=” 创建主机10.11.200.2(test)、协议SSH的帐户lqz”$6=”成功

日志说明

用户admin2015-3-10 17:20:20 创建ssh账户成功,该账户所在主机ip10.11.200.2,主机名为test,用户ip10.11.200.5,重要程度为中低

处理建议

 

审计

5.1  审计日志

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

举例

$1=2015-3-10 17:20:20”,$2=“中”,$3=“审计日志”

$4=admin 10.11.200.5”,$5=“下载会话1a82ff6a54f9059800003ea300000005”,$6=“成功”

日志说明

用户admin2015-3-10 17:20:20下载会话成功,该会话ID1a82ff6a54f9059800003ea300000005,用户ip10.11.200.5,重要程度为中

处理建议

 

系统管理

6.1  配置日志

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

中高

举例

$1=2015-3-10 17:20:20”,$2=“中高”,$3=“配置日志”

$4=admin 10.11.200.5”,$5=“配置协议端口”,$6=“成功”

日志说明

用户admin2015-3-10 17:20:20配置协议端口成功,用户ip10.11.200.5,重要程度为中高

处理建议

 

6.2  维护日志

日志内容

时间 重要性 日志类型 用户名称 操作 结果

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

中高

举例

$1=2015-3-10 17:20:20”,$2=“中高”,$3=“维护日志”

$4=admin 10.11.200.5”,$5=“导入许可证”,$6=“失败”

日志说明

用户admin2015-3-10 17:20:20导入许可证失败,用户ip10.11.200.5,重要程度为中高

处理建议

检查许可证信息

 

运维

7.1  运维日志

日志内容

时间 重要性日志类型 用户名称

参数解释

$1:时间

$2 重要性

$3 日志类型

$4 用户名称

$5 操作

$6 结果

日志等级

中高

举例

$1=2015-3-10 17:20:20”,$2=“中高”,$3=“运维日志”

$4=admin 10.11.200.5”,$5=“登录主机 USMshell@192.168.50.139:22 failed$6=“失败”

日志说明

用户admin2015-3-10 17:20:20登录主机失败,用户ip10.11.200.5,主机ip192.168.50.139,端口为22,主机账户为USMshell,重要程度为中高

处理建议

检查主机账户信息

 

联系我们