H3C SecPath数据库审计系统 日志手册(E6702)-5W101

手册下载

H3C SecPath数据库审计系统

日志手册

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf

 



简介

本文档介绍H3C SecPath数据库审计系统日志信息,包括系统日志类型及说明、系统日志的格式及参数介绍,以及处理建议等,为用户进行系统诊断和维护提供参考。

系统日志类型及说明

2.1  审计外送日志

审计日志是指对数据库的操作行为进行记录的日志信息。

审计外送日志有三种类型:一般审计日志、规则告警审计日志、关注行为审计日志。

审计日志可以发送到配置的Syslog服务器上。

2.2  系统外送日志

系统日志是记录硬件和系统问题的信息,同时还监视系统中发生的重要事件。

系统日志可以以Syslog、邮件、FTPSNMP、短信方式通知数据库管理员,以便他们能及时了解目前系统的情况,及时进行处理。

系统外送日志可以通过打开[日志/日志/系统日志]页面,较直观地查看所有的系统日志。

图1 系统日志页面

系统日志1.png

 

表1 系统日志格式说明

字段

描述

发生时间

发生时间记录了日志信息产生的时间,方便用户查看和定位系统事件。

探测器

生成该日志信息的设备的名称。

类型

生成该日志信息的类型

状态

该日志的处理状态。

事件级别

日志信息的等级,具体说明请参见2

内容

该日志的具体内容,包含事件或错误发生的详细信息。

 

系统日志信息按事件级别可划分为如2所示的三个等级。

表2 系统日志等级说明

严重程度

描述

致命告警

表示设备不可用的信息,如连接到数据库失败等

一般告警

表示严重信息,如受监探分区超出预警值等

一般事件

表示正常出现但是重要的信息,如手工备份当前系统信息等

 

2.3  告警外送日志

当检测到可疑攻击和违反审计规则的操作时,系统会产生告警日志。

告警日志可以以Syslog、邮件、FTPSNMP、短信方式通知数据库管理员,以便他们能及时收到告警信息,并进行处理。

2.4  系统后台日志

系统后台日志是记录审计系统后台程序的操作行为。

审计日志格式说明

3.1  审计日志外送配置

1. 开启审计日志外送功能

登录系统,打开[探测器/探测器相关配置/探测器]页面,在业务主机群中打开“审计外送功能”,如下图:

图2 审计外送页面

业务主机群新增2.png

 

2. 配置Syslog服务器

打开[配置/告警通知/发送配置]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。

图3 Syslog服务器配置

syslognew1.png

 

3.2  审计日志外送格式

3.2.1  一般审计日志外送

一般审计日志外送格式说明:

[$Time] senderind/[$senderind] logtype/[$logtype],accessid/[$accessid],apptype/[$apptype],

objtype/[$objtype],objval/[$objval],ope/[$ope],result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]

表3 一般审计日志字段说明

字段

描述

[$time]

审计日志外送时间

[$senderind]

日志发送者,在配置Syslog服务器时需要填入,默认显示为sender

[$logtype]

日志类型,一般日志为info

[$accessid]

审计日志ID

[$apptype]

应用类型名称,见表4应用类型名称表

[$objtype]

Web专用Domain,如非Webother

[$objval]

Web专用域信息,如非Webother

[$ope]

Web专用Http头信息,如非Webother

[$result]

审计结果

[$loginuser]

登录用户名

[$happentime]

审计日志发生的时间

[$sip]

IP

[$sport

源端口

[$dip

目的IP

[$dport

目的端口

[$payload

审计内容

 

表4 应用类型标识表

 类型标识

名称

0

UNKNOW

1

Oracle

2

Web

3

MSSQL

4

SYBASE

5

MYSQL

6

TELNET

7

FTP

8

SMTP

9

POP3

10

DB2

11

Informix

12

oscar

13

SSH

14

dmdb

15

dcom

 

3.2.2  告警审计日志外送

告警审计日志外送格式说明:

[$TIME] senderind/[$senderind] logtype/[$logtype],shgname/[$shgnme],alarmtype/[$alarmtype],

grade/[$grade],desc/[$desc],accessid/[$accessid],apptype/[$apptype],objtype/[$objtype],objval/[$objval],ope/[$ope],result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]

表5 告警审计日志字段说明

字段

描述

[$TIME]

审计日志外送时间

[$senderind]

日志发送者,在配置Syslog服务器时需要填入,默认显示为sender

[$logtype]

日志类型,告警审计日志为alarm

[$shgname]

业务主机群名

[$alarmtype]

告警类型,分为特征告警和规则告警

[$grade]

告警级别,分为高风险、中风险、低风险、关注行为

[$desc]

产生告警的特征名或规则名

[$accessid]

审计日志ID

[$apptype]

应用类型名称

[$Objtype]

Web专用Domain

[$objval]

Web专用域信息

[$ope]

Web专用Http头信息

[$result]

审计结果

[$loginuser]

登录用户名

[$happentime]

审计日志发生的时间

[$sip]

IP

[$sport]

源端口

[$dip]

目的IP

[$dport]

目的端口

[$payload]

审计内容

 

3.2.3  关注行为审计日志外送

关注行为审计日志格式说明:

[$TIME] senderind/[$senderind] logtype/[$logtype],shgname/[$shgnme],desc/[$desc],

accessid/[$accessid],apptype/[$apptype],objtype/[$objtype],objval/[$objval],ope/[$ope],

result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]

表6 关注行为审计日志字段说明

字段

描述

[$TIME]

审计日志外送时间

[$senderind]

日志发送者,在配置Syslog服务器时需要填入,默认显示为sender

[$logtype]

日志类型,关注行为审计日志为notice

[$shgname]

业务主机群名

[$desc]

产生关注行为的特征名或规则名

[$accessid]

审计日志ID

[$apptype]

应用类型名称

[$Objtype]

Web专用Domain

[$objval]

Web专用域信息

[$ope]

Web专用Http头信息

[$result]

审计结果

[$loginuser]

登录用户名

[$happentime]

审计日志发生的时间

[$sip]

IP

[$sport]

源端口

[$dip]

目的IP

[$dport]

目的端口

[$payload]

审计内容

 

系统日志格式说明

4.1  系统日志外送配置

系统日志支持通过Syslog、邮件、FTPSNMP、短信方式,将告警信息发送给相关人员,以便相关人员及时处理告警。

4.1.1  Syslog配置

1. Syslog服务器配置

打开[配置/告警通知/Syslog]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。

图4 Syslog服务器配置

syslognew1.png

 

表7 Syslog配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

IP

必填项。填写服务器IP

端口

必填项。填写端口。默认为514

发送者

必填项。填写发送者。默认为“sender”。

 

2. Syslog发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“Syslog”。

图5 Syslog发送配置

syslog.png

 

4.1.2  邮件配置

1. 邮件服务器配置

打开[配置/告警通知/邮件]页面,配置邮件服务器。

图6 邮件服务配置

mail.png

 

表8 邮件配置字段信息

选项

用途说明

发送邮件服务器

必选项。支持输入域名或IP地址。

点击<DNS服务器配置>,配置DNS服务器。

不需要SMTP验证

发送人邮箱

必填项。填写发送人的邮箱。

端口

必填项。发送邮件服务器的端口。默认为25

需要SMTP验证

发送人邮箱

必填项。填写发送人的邮箱。

密码

必填项。发送人邮箱对应的密码。

加密类型

选择加密类型。默认为“不加密”。

端口

必填项。发送邮件服务器的端口。

选择“不加密”,端口默认为25

选择“TLS”,端口默认为465

选择“SSL”,端口默认为587

单封邮件最多显示前

必填项。发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10500

发送统计信息

必选项。选择“是”,将发送统计信息;选择“否”,则不发送。

发送测试邮件

发送测试邮件可以验证此邮件服务器是否正常工作。

 

2. 邮件发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“邮件”、配置接收者邮件地址。

图7 邮件发送配置

mail2.png

 

4.1.3  FTP配置

1. FTP服务器配置

打开[配置/告警通知/ FTP]页面,配置FTP服务器。

图8 FTP服务器配置

ftp.png 

 

表9 FTP配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

IP

必填项。填写服务器IP

端口

必填项。填写端口。默认为21

用户名

必填项。访问FTP服务器的用户名。

密码

必填项。用户名对应的密码。

上传目录

告警信息文件上传到服务器的目录。

单个文件最多显示前

发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10500

发送统计信息

必选项。选择是否发送统计信息。

 

2. FTP发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“FTP”。

图9 FTP发送配置

ftp2.png

 

4.1.4  SNMP配置

1. SNMP服务器配置

打开[配置/告警通知/ SNMP]页面,配置SNMP服务器。

图10 SNMP服务器配置

snmp.png

 

表10 SNMP配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

服务器IP

必填项。输入SNMP服务器IP

端口

必填项。输入端口。默认为162

OID

系统默认值。默认值为“public”。

MIB

使用系统默认值。

发送类型

必选项。默认选择“发送单条”,在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择“发送统计信息”。

 

2. SNMP发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“SNMP”。

图11 SNMP发送配置

snmp2.png

 

4.1.5  短信配置

1. 短信服务器配置

打开[配置/告警通知/短信]页面,配置短信服务器。

图12 短信服务器配置

短信.png

 

表11 短信配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

服务器IP

必填项。填写服务器IP

端口

必填项。填写端口。

服务提供商号

短信服务提供商所提供的号。

信息类型

可根据实际需要填写相应值,默认为空。

发送格式

一般使用系统默认格式。

 

2. 短信发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“短信”、配置接收者手机号码。

图13 短信发送配置

短信2.png

 

4.2  系统日志外送格式

4.2.1  SysLog 方式

系统日志外送到Syslog格式如下:

[$TIME] [$sender] ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]

~[$DIP]:[$DPORT]~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表12 系统日志外送到Syslog字段说明

字段

描述

[$TIME]

审计日志外送时间

[$sender]

日志发送者,在配置服务器时需要填入,默认是sender

[$APPTYPE]

应用类型标识,系统日志为0

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型:系统告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

4.2.2  邮件方式

系统日志外送到邮件格式如下:

告警类型:[$ATTACKTYPE]~规则或特征名称:[$RULENAME]~发生时间:[$HAPPENTIME]~事件ID:[$ACCESSID]~来源IP:[$SIP]:[$SPORT]~目的IP:[$DIP]:[$DPORT]~登录名:[$LOGINUSER]~请求内容:[$PAYLOAD]

表13 系统日志外送到邮件字段说明

字段

描述

[$ATTACKTYPE]

告警类型:系统告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$HAPPENTIME]

日志发生时间

[$ACCESSID]

告警事件ID

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$LOGINUSER]

登录名

[$PAYLOAD]

告警日志内容

 

4.2.3  FTP方式

系统日志外送到FTP格式如下:

~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]

~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表14 系统日志外送到FTP字段说明

字段

描述

[$APPTYPE]

应用类型标识

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

4.2.4  SNMP方式

系统日志外送到SNMP格式如下:

[$MIB] = ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]

~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表15 系统日志外送到SNMP字段说明

字段

描述

[$MIB]

MIB信息

[$APPTYPE]

应用类型标识

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型:系统告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

4.2.5  短信方式

系统日志外送到短信格式如下:

针对探测器:[$LOCALIP]的业务探测器群[$SHGNAME],[$STARTTIME][$ENDTIME]期间,发生了[$COUNT][$ATTACKGRADE]级别的告警:审计规则告警:[$COUNTAUDIT],特征告警:[$COUNTSIG],特征加审计告警:[$COUNTSIGAUDIT],系统告警:[$COUNTSYSALARM],未知类型告警:[$COUNTUNKNOWN]

表16 系统日志外送到邮件字段说明

字段

描述

[$LOCALIP]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$SHGNAME]

业务主机群名

[$STARTTIME]

日志发生的某一段时间中开始时间

[$ENDTIME]

日志发生的某一段时间中结束时间

[$COUNT]

某一段时间内发生告警日志的次数

[$ATTACKGRADE]

告警级别

[$COUNTAUDIT]

审计规则发生的次数

[$COUNTSIG]

特征告警发生的次数

[$COUNTSIGAUDIT]

特征加审计告警发生的次数

[$COUNTSYSALARM]

系统告警发生的次数

[$COUNTUNKNOWN]

未知告警发生的次数

 

规则告警日志格式说明

5.1  规则告警日志外送配置

规则告警支持通过Syslog、邮件、FTPSNMP、短信方式,将告警信息发送给相关人员,以便相关人员及时处理告警。

5.1.1  Syslog配置

1. Syslog服务器配置

打开[配置/告警通知/Syslog]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。

图14 Syslog服务器配置

syslognew1.png

 

表17 Syslog配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

IP

必填项。填写服务器IP

端口

必填项。填写端口。默认为514

发送者

必填项。填写发送者。默认为“sender”。

 

2. Syslog发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“Syslog”。

图15 Syslog发送配置

syslog3.png

 

5.1.2  邮件配置

1. 邮件服务器配置

打开[配置/告警通知/邮件]页面,配置邮件服务器。

图16 邮件服务器配置

mail.png

 

表18 邮件配置字段信息

选项

用途说明

发送邮件服务器

必选项。支持输入域名或IP地址。

点击<DNS服务器配置>,配置DNS服务器。

不需要SMTP验证

发送人邮箱

必填项。填写发送人的邮箱。

端口

必填项。发送邮件服务器的端口。默认为25

需要SMTP验证

发送人邮箱

必填项。填写发送人的邮箱。

密码

必填项。发送人邮箱对应的密码。

加密类型

选择加密类型。默认为“不加密”。

端口

必填项。发送邮件服务器的端口。

选择“不加密”,端口默认为25

选择“TLS”,端口默认为465

选择“SSL”,端口默认为587

单封邮件最多显示前

必填项。发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10500

发送统计信息

必选项。选择“是”,将发送统计信息;选择“否”,则不发送。

发送测试邮件

发送测试邮件可以验证此邮件服务器是否正常工作。

 

2. 邮件发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“邮件”、配置接收者邮件地址。

图17 邮件发送配置

mail3.png

 

5.1.3  FTP配置

1. FTP服务器配置

打开[配置/告警通知/FTP]页面,配置FTP服务器。

图18 FTP服务器配置

ftp.png 

 

表19 FTP配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

IP

必填项。填写服务器IP

端口

必填项。填写端口。默认为21

用户名

必填项。访问FTP服务器的用户名。

密码

必填项。用户名对应的密码。

上传目录

告警信息文件上传到服务器的目录。

单个文件最多显示前

发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10500

发送统计信息

必选项。选择是否发送统计信息。

 

2. FTP发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“FTP”。

图19 FTP发送配置

ftp3.png

 

5.1.4  SNMP配置

1. SNMP服务器配置

打开[配置/告警通知/ SNMP]页面,配置SNMP服务器。

图20 SNMP服务器配置

snmp.png

 

表20 SNMP配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

服务器IP

必填项。输入SNMP服务器IP

端口

必填项。输入端口。默认为162

OID

系统默认值。默认值为“public”。

MIB

使用系统默认值。

发送类型

必选项。默认选择“发送单条”,在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择“发送统计信息”。

 

2. SNMP发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“SNMP”。

图21 SNMP发送配置

snmp3.png

 

5.1.5  短信配置

1. 短信服务器配置

打开[配置/告警通知/短信]页面,配置短信服务器。

图22 短信服务器配置

短信.png

 

表21 短信配置字段信息

选项

用途说明

状态

必选项。默认为“启用”。

服务器IP

必填项。填写服务器IP

端口

必填项。填写端口。

服务提供商号

短信服务提供商所提供的号。

信息类型

可根据实际需要填写相应值,默认为空。

发送格式

一般使用系统默认格式。

 

2. 短信发送配置

打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“短信”、配置接收者手机号码。

图23 短信发送配置

sms3.png

 

5.2  规则告警日志外送格式

5.2.1  Syslog 方式

规则告警日志外送到Syslog格式如下:

[$TIME] [$sender] ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]

~[$DIP]:[$DPORT]~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表22 规则告警日志外送到Syslog字段说明

字段

描述

[$TIME]

审计日志外送时间

[$sender]

日志发送者,在配置服务器时需要填入,默认是sender

[$APPTYPE]

应用类型标识

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

5.2.2  邮件方式

规则告警日志外送到邮件格式如下:

告警类型:[$ATTACKTYPE]~规则或特征名称:[$RULENAME]~发生时间:[$HAPPENTIME]~事件ID:[$ACCESSID]~来源IP:[$SIP]:[$SPORT]~目的IP:[$DIP]:[$DPORT]~登录名:[$LOGINUSER]~请求内容:[$PAYLOAD]

表23 规则告警日志外送到邮件字段说明

字段

描述

[$ATTACKTYPE]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$HAPPENTIME]

日志发生时间

[$ACCESSID]

告警事件ID

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$LOGINUSER]

登录名

[$PAYLOAD]

告警日志内容

 

5.2.3  FTP方式

规则告警日志外送到FTP格式如下:

~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]

~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表24 规则告警日志外送到FTP字段说明

字段

描述

[$APPTYPE]

应用类型标识

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

5.2.4  SNMP方式

规则告警日志外送到SNMP格式如下:

[$MIB] = ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]

~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]

表25 规则告警日志外送到SNMP字段说明

字段

描述

[$MIB]

MIB信息

[$APPTYPE]

应用类型标识

[$SHGNAME]

业务主机群名

[$HAPPENTIME]

日志发生时间

[$SIP]

IP

[$SPORT]

源端口

[$DIP]

目的IP

[$DPORT]

目的端口

[$ATTACKTYPE]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$RULENAME]

告警类型对应规则名称,系统告警时此内容为空

[$ATTACKGRADE]

告警等级

[$ACCESSID]

告警ID

[$PAYLOAD]

告警日志内容

 

5.2.5  短信方式

规则告警日志外送到短信格式如下:

针对探测器:[$LOCALIP]的业务探测器群[$SHGNAME],[$STARTTIME][$ENDTIME]期间,发生了[$COUNT][$ATTACKGRADE]级别的告警:审计规则告警:[$COUNTAUDIT],特征告警:[$COUNTSIG],特征加审计告警:[$COUNTSIGAUDIT],系统告警:[$COUNTSYSALARM],未知类型告警:[$COUNTUNKNOWN]

表26 规则告警日志外送到邮件字段说明

字段

描述

[$LOCALIP]

告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警

[$SHGNAME]

业务主机群名

[$STARTTIME]

日志发生的某一段时间中开始时间

[$ENDTIME]

日志发生的某一段时间中结束时间

[$COUNT]

某一段时间内发生告警日志的次数

[$ATTACKGRADE]

告警级别

[$COUNTAUDIT]

审计规则发生的次数

[$COUNTSIG]

特征告警发生的次数

[$COUNTSIGAUDIT]

特征加审计告警发生的次数

[$COUNTSYSALARM]

系统告警发生的次数

[$COUNTUNKNOWN]

未知告警发生的次数

 

系统后台引擎日志

6.1  系统后台引擎日志获取

打开[系统/系统管理/系统调试]页面,可以下载某一天的后台日志。下载后打开压缩包中的console.log文件即可。

6.2  系统后台引擎日志格式

系统后台引擎日志格式如下:

[$TIME] [$Content]

表27 系统后台引擎日志字段说明

字段

描述

[$TIME]

后台引擎日志发生的时间

[$Content]

后台引擎日志内容

 

举例说明

本文以表格的形式对日志内容进行举例说明。有关表中各项的含义请查看如下表:

表28 日志举例表内容说明

表项

说明

举例

日志举例

一个真实的日志信息举例。

March 19 17:01:43 2015 sender ~1~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~~53~受监控分区[/]已使用[82%],超过了设定的[80.0%]

日志说明

解释日志信息

2015-03-19 17:01:26有一条系统告警,说明根目录分区[/]大小超过预警值80%,只要超过预警值就会告警

处理建议

建议用户应采取哪些处理措施。

检查分区大小,并处理此告警

 

7.1  审计外送日志

表29 一般审计外送日志举例表:

日志举例

March 19 13:39:41 2015 senderind/sender logtype/info,accessid/1503191339350008301,

apptype/Oracle,objtype/other,objval/other,ope/other,result/fail,loginuser/system,happentime/2015-03-19 13:39:35,sip/192.168.21.98,sport/1232,dip/192.168.21.97,dport/1521,payload/select null from dba_synonyms

日志说明

2015-03-19 13:39:35时,IP192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select null from dba_synonyma

处理建议

可以查看此条审计日志是否正常操作,如异常,可以针对此条建立规则告警

 

表30 告警外送日志举例表:

日志举例

March 19 13:39:41 2015 senderind/sender logtype/alarm,shgname/tcq.oracle,

alarmtype/规则告警,grade/高风险,desc/敏感信息告警,

accessid/1503191339350007701,apptype/Oracle,objtype/other,objval/other,

ope/other,result/ok,loginuser/system,happentime/2015-03-1913:39:35,

sip/192.168.21.98,sport/1232,dip/192.168.21.97,dport/1521,payload/select  * from  system_user

日志说明

2015-03-1913:39:35时,有一条告警信息产生,操作人IP192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select  * from  system_user

处理建议

可以查看此条告警信息的相关审计日志信息,并决定是否处理此条审计日志

 

表31 告警外送日志举例表:

日志举例

March 19 13:39:42 2015 senderind/sender logtype/alarm,shgname/tcq.oracle,

,desc/访问统计表关注,accessid/1503191339350007791,apptype/Oracle,

objtype/other,objval/other,ope/other,result/ok,loginuser/system,

happentime/2015-03-19 13:39:36,sip/192.168.21.98,sport/1232,

dip/192.168.21.97,dport/1521,payload/select  * from  reports

日志说明

2015-03-1913:39:36时,有一条关注行为产生,操作人IP192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select  * from  reports

处理建议

可以查看此条关注行为的相关审计日志信息,并决定是否处理此条审计日志

 

7.2  系统外送日志

表32 Syslog方式系统外送日志表

日志举例

March 19 17:01:43 2015 sender ~0~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~~53~系统已经连续不断10分钟没有审计记录入库

日志说明

Syslog上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库

处理建议

检查审计系统是否正常,并处理该告警

 

表33 邮件方式系统外送日志表

日志举例

告警类型:系统告警~规则或特征名称: ~发生时间:2015-03-19 17:01:26~事件ID: 194401~来源IP: 127.0.0.1:0~目的IP: 127.0.0.1:0~登录名:~ 系统已经连续不断10分钟没有审计记录入库

日志说明

邮件收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库

处理建议

检查审计系统是否正常,并处理该告警

 

表34 FTP方式系统外送日志表

日志举例

~1~所有探测器.所有主机群~0~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~~53~系统已经连续不断10分钟没有审计记录入库

日志说明

FTP上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库

处理建议

检查审计系统是否正常,并处理该告警

 

表35 SNMP方式系统外送日志表

日志举例

1.3.6.1.2.3377.10.1.1.1.1 = ~0~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~~53~系统已经连续不断10分钟没有审计记录入库

日志说明

SNMP上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库

处理建议

检查审计系统是否正常,并处理该告警

 

表36 短信方式系统外送日志表

日志举例

针对探测器:tcq的业务探测器群ora,2015-03-19 17:01:262015-03-19 18:01:26期间,发生了1次高级别的告警:审计规则告警:0,特征告警:0,特征加审计告警:0,系统告警:1,未知类型告警:0

日志说明

短信上收到一条高级别的系统告警

处理建议

登录系统,查看此条系统告警并进行处理

 

7.3  规则告警外送日志

表37 Syslog告警外送日志表

日志举例

March 19 17:01:43 2015 sender ~1~tcq.oracle~1~2015-03-19 17:01:26

~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~~1503191701260009201~select * from test_user

日志说明

Syslog收到一条告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库

处理建议

检查此条告警是否是异常操作,是何人触发,并处理。

 

表38 邮件告警外送日志表

日志举例

告警类型:规则告警~规则或特征名称:敏感信息告警~发生时间:2015-03-19 17:01:26~事件ID: 1503191701260009201~来源IP: 192.168.21.98:1233~目的IP: 192.168.21.97:1521~登录名:~请求内容:select * from test_user

日志说明

邮件收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP192.168.21.98

处理建议

检查此条告警是否是异常操作,是何人触发,并处理。

 

表39 FTP告警外送日志表

日志举例

~1~tcq.oracle~1~2015-03-19 17:01:26~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~~1503191701260009201~select * from test_user

日志说明

FTP上收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP192.168.21.98

处理建议

检查此条告警是否是异常操作,是何人触发,并处理。

 

表40 SNMP告警外送日志表

日志举例

1.3.6.1.2.3377.10.1.1.1.1 = ~1~tcq.oracle~1~2015-03-19 17:01:26

~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~~1503191701260009201~select * from test_user

日志说明

SNMP上收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP192.168.21.98

处理建议

检查此条告警是否是异常操作,是何人触发,并处理。

 

表41 短信告警外送日志表

日志举例

针对探测器:tcq的业务探测器群ora,2015-03-19 17:01:262015-03-19 18:01:26期间,发生了1次高级别的告警:审计规则告警:1,特征告警:0,特征加审计告警:0,系统告警:0,未知类型告警:0

日志说明

短信上收到一条告警,表示在2015-03-19 18:01:26有一条高级别的审计规则告警

处理建议

登录系统,查看相关的告警信息,并处理

 

7.4  系统后台日志

表42 入库日志信息表

日志举例

[03-19 18:39:52] wdd_audit.150319183952021970 Records: 3  Deleted: 0  Skipped: 0  Warnings: 0 cost 0 sec rate: 3/s

日志说明

03-19 18:39:52时间段,有3条审计日志入库

处理建议

 

表43 检查时钟同步日志信息表

日志举例

[15-03-19 18:40:03].[checksys] [center] syn time with hwclock done

日志说明

03-19 18:40:03时间段,检查时钟同步信息

处理建议

 

联系我们