- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath工控防火墙系统
日志信息参考
Copyright © 2021-2024新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍工控防火墙系统日志信息,包含各个模块产生的告警信息。客户可以将产生的告警日志通过syslog的形式转发到自己的日志分析平台进行二次分析使用。
同时系统提供了通过邮件发送告警的功能。
表1-1 日志信息说明
|
分类 |
||
|
告警 |
CPU异常告警事件 |
当CPU使用率达到设定的阈值后,产生系统告警。 |
|
内存利用率异常告警事件 |
当内存使用率达到设定的阈值后,产生系统告警。 |
|
|
存储利用率异常告警事件 |
||
|
扫描防护事件 |
||
|
工控防护事件 |
||
|
应用防护事件 |
记录业务端通信命中入侵防护规则的日志。 |
|
|
黑白名单事件 |
记录业务端通信命中黑名单事件的日志。 |
|
|
DDOS攻击防护事件 |
记录业务端通信命中DOS防护规则的日志。 |
|
|
IP/MAC绑定事件 |
记录业务端通信命中IP/MAC绑定规则的日志。 |
|
|
病毒防护事件 |
记录业务端通信命中病毒防护规则的日志。 |
|
|
审计 |
系统事件 |
|
|
操作事件 |
||
|
安全事件 |
记录业务端通信的日志。 |
步骤1 通过web浏览器登录工控防火墙系统。
步骤2 选择系统>日志设置>日志服务器,点击启用,设置syslog服务器的ip地址,默认514端口,保存。
步骤3 选择系统>告警设置>事件告警设置,勾选syslog全选项,点击<确定>按钮,保存。
syslog日志格式如下:
<告警级别><空格>告警时间<空格>设备名称<空格>设备类型<空格>日志类型<空格>日志子类型<空格>内容描述
表2-1 日志字段说明
|
描述 |
|
|
告警级别 |
告警:1、高,2、中,3、低,4、非常低。 审计:1、紧急,2、错误,3、警告,4、信息、5,调试。 |
|
告警时间 |
告警发生日期和时间格式YYYY-MM-DD HH:MM:SS。 |
|
设备名称 |
防火墙设备支持修改设备名称,代发发送日志的设备名称。 |
|
设备类型 |
FW固定,代表防火墙设备。 |
|
日志类型 |
1固定,代表防火墙类型的日志 |
|
日志子类型 |
1:CPU异常告警事件、内存利用率异常告警事件、存储利用率异常告警事件 |
|
4:扫描防护事件 |
|
|
5:系统事件 |
|
|
6:操作事件 |
|
|
7:安全事件 |
|
|
8:工控防护事件 |
|
|
9:应用防护事件 |
|
|
10:黑白名单事件 |
|
|
11:抗拒绝防护事件 |
|
|
12:IPMAC绑定事件 |
|
|
13:病毒防护事件 |
|
|
内容描述 |
具体的日志内容。 |
日志举例:
<3> 2021-05-20 05:20:21 Firewall FW 1 1 CPU使用率达到设定的告警阈值,当前值99%
<3> 2021-05-20 05:20:21 Firewall FW 1 1 内存使用率达到设定的告警阈值,当前值99%
<3> 2021-05-20 05:20:21 Firewall FW 1 1 磁盘使用率达到设定的告警阈值,当前值99%
日志举例:
<3> 2021-05-20 05:20:21 Firewall FW 1 4 日志时间:2021-05-20 05:20:21,协议:TCP,方式:Nmap,源IP:12.12.12.12,目的IP:23.23.23.23,连接数:56, IP数:56, IP范围:23.23.23.1-23.23.23.254, 端口数:30, 端口范围:1-50000
日志举例:
<4> 2021-05-20 05:20:21 Firewall FW 1 5 日志时间:2021-05-20 05:20:21,级别:低,日志内容:网卡GE0_2状态发生改变油up变为down。
日志举例:
<3> 2021-05-20 05:20:21 Firewall FW 1 6 日志时间:2021-05-20 05:20:21,级别:中,类型:用户管理,操作IP:3.3.3.3,用户:admin,执行结果:成功,日志内容:用户登录。
日志举例:
<2> 2021-05-20 05:20:21 Firewall FW 1 7 日志时间:2021-05-20 05:20:21,级别:高,协议:TCP,源IP:1.1.1.1,源端口:5423,目的IP:1.1.2.1,目的端口:22,策略名:aaa,动作:阻断。
日志举例:
<2> 2021-05-20 05:20:21 Firewall FW 1 8 日志时间:2021-05-20 05:20:21,级别:高,ID:52152,事件名称:内存泄露,源IP:3.3.3.3,源端口:5269,目的IP:4.4.4.4,目的端口:5698,协议:TCP,源MAC:78:23:78:85:14:89,目的MAC:78:21:74:12:36:78,类型:modbus,动作:阻断
日志举例:
<4> 2021-05-20 05:20:21 Firewall FW 1 9 日志时间:2021-05-20 05:20:21,ID:52658,级别:低,事件名称:内存泄露,源IP:6.6.6.6,源端口:4587,目的IP:9.9.9.9,目的端口:5487,协议:TCP,源MAC:78:21:74:12:36:78,目的MAC:78:21:74:12:36:71,类型:aaa,动作:阻断
日志举例:
<2> 2021-05-20 05:20:21 Firewall FW 1 10 日志时间:2021-05-20 05:20:21,级别:高,类型:黑名单,源IP:9.9.6.12,目的IP:23.3.3.3,动作:告警
日志举例:
<1> 2021-05-20 05:20:21 Firewall FW 1 11 日志时间:2021-05-20 05:20:21,级别:非常高,类型:UDP Flood,协议:TCP,源IP:3.3.3.3,源端口:5648,目的IP:4.4.4.4,目的端口:5247,源MAC:78:21:74:12:36:71,目的MAC:78:21:74:12:36:72,动作:阻断
日志举例:
<1> 2021-05-20 05:20:21 Firewall FW 1 12 日志时间:2021-05-20 05:20:21,级别:非常高,源IP:6.6.6.6,源MAC:78:21:74:12:36:72,目的IP:6.6.6.7,目的MAC:78:21:74:12:36:71,动作:阻断
日志举例:
<1> 2021-05-20 05:20:21 Firewall FW 1 13 日志时间:2021-05-20 05:20:21,级别:非常高,源IP:9.9.9.9,源端口:8736,目的IP:12.12.12.12,目的端口:9651,病毒名:test,文件名:test,协议:TCP,动作:阻断
告警类型与syslog日志类型相同,参考表2-2。
步骤1 通过web浏览器登录工控防火墙系统。
步骤2 选择系统>告警设置>邮件告警设置。
步骤3 选择包含邮箱地址的系统用户或人工输入邮箱地址,点击<添加>按钮。
步骤4 点击<确定>按钮保存。
邮件告警功能依赖用户的邮箱服务器,需要对邮箱服务器进行配置。
步骤1 通过web浏览器登录工控防火墙系统。
步骤2 选择系统->告警设置->邮箱服务器设置。
步骤3 输入SMTP服务器地址、是否使用SSL发送、端口、发件人邮箱地址、发件人邮箱密码,点击<确定>按钮保存。
步骤4 点击发送测试邮件进行测试。
支持
