- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
整本手册
本章节下载 (367.26 KB)
H3C SecPath数据库审计系统
日志手册
|
Copyright © 2018新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍H3C SecPath数据库审计系统日志信息,包括系统日志类型及说明、系统日志的格式及参数介绍,以及处理建议等,为用户进行系统诊断和维护提供参考。
审计日志是指对数据库的操作行为进行记录的日志信息。
审计外送日志有三种类型:一般审计日志、规则告警审计日志、关注行为审计日志。
审计日志可以发送到配置的Syslog服务器上。
系统日志是记录硬件和系统问题的信息,同时还监视系统中发生的重要事件。
系统日志可以以Syslog、邮件、FTP、SNMP、短信方式通知数据库管理员,以便他们能及时了解目前系统的情况,及时进行处理。
系统外送日志可以通过打开[日志/日志/系统日志]页面,较直观地查看所有的系统日志。
图1 系统日志页面
表1 系统日志格式说明
|
字段 |
描述 |
|
发生时间 |
发生时间记录了日志信息产生的时间,方便用户查看和定位系统事件。 |
|
探测器 |
生成该日志信息的设备的名称。 |
|
类型 |
生成该日志信息的类型 。 |
|
状态 |
该日志的处理状态。 |
|
事件级别 |
日志信息的等级,具体说明请参见表2。 |
|
内容 |
该日志的具体内容,包含事件或错误发生的详细信息。 |
系统日志信息按事件级别可划分为如表2所示的三个等级。
|
严重程度 |
描述 |
|
致命告警 |
表示设备不可用的信息,如连接到数据库失败等 |
|
一般告警 |
表示严重信息,如受监探分区超出预警值等 |
|
一般事件 |
表示正常出现但是重要的信息,如手工备份当前系统信息等 |
当检测到可疑攻击和违反审计规则的操作时,系统会产生告警日志。
告警日志可以以Syslog、邮件、FTP、SNMP、短信方式通知数据库管理员,以便他们能及时收到告警信息,并进行处理。
系统后台日志是记录审计系统后台程序的操作行为。
登录系统,打开[探测器/探测器相关配置/探测器]页面,在业务主机群中打开“审计外送功能”,如下图:
图2 审计外送页面
打开[配置/告警通知/发送配置]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。
图3 Syslog服务器配置
一般审计日志外送格式说明:
[$Time] senderind/[$senderind] logtype/[$logtype],accessid/[$accessid],apptype/[$apptype],
objtype/[$objtype],objval/[$objval],ope/[$ope],result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]
表3 一般审计日志字段说明
|
字段 |
描述 |
|
[$time] |
审计日志外送时间 |
|
[$senderind] |
日志发送者,在配置Syslog服务器时需要填入,默认显示为sender |
|
[$logtype] |
日志类型,一般日志为info |
|
[$accessid] |
审计日志ID |
|
[$apptype] |
应用类型名称,见表4应用类型名称表 |
|
[$objtype] |
Web专用Domain,如非Web填other |
|
[$objval] |
Web专用域信息,如非Web填other |
|
[$ope] |
Web专用Http头信息,如非Web填other |
|
[$result] |
审计结果 |
|
[$loginuser] |
登录用户名 |
|
[$happentime] |
审计日志发生的时间 |
|
[$sip] |
源IP |
|
[$sport |
源端口 |
|
[$dip |
目的IP |
|
[$dport |
目的端口 |
|
[$payload |
审计内容 |
表4 应用类型标识表
|
类型标识 |
名称 |
|
0 |
UNKNOW |
|
1 |
Oracle |
|
2 |
Web |
|
3 |
MSSQL |
|
4 |
SYBASE |
|
5 |
MYSQL |
|
6 |
TELNET |
|
7 |
FTP |
|
8 |
SMTP |
|
9 |
POP3 |
|
10 |
DB2 |
|
11 |
Informix |
|
12 |
oscar |
|
13 |
SSH |
|
14 |
dmdb |
|
15 |
dcom |
告警审计日志外送格式说明:
[$TIME] senderind/[$senderind] logtype/[$logtype],shgname/[$shgnme],alarmtype/[$alarmtype],
grade/[$grade],desc/[$desc],accessid/[$accessid],apptype/[$apptype],objtype/[$objtype],objval/[$objval],ope/[$ope],result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]
表5 告警审计日志字段说明
|
字段 |
描述 |
|
[$TIME] |
审计日志外送时间 |
|
[$senderind] |
日志发送者,在配置Syslog服务器时需要填入,默认显示为sender |
|
[$logtype] |
日志类型,告警审计日志为alarm |
|
[$shgname] |
业务主机群名 |
|
[$alarmtype] |
告警类型,分为特征告警和规则告警 |
|
[$grade] |
告警级别,分为高风险、中风险、低风险、关注行为 |
|
[$desc] |
产生告警的特征名或规则名 |
|
[$accessid] |
审计日志ID |
|
[$apptype] |
应用类型名称 |
|
[$Objtype] |
Web专用Domain |
|
[$objval] |
Web专用域信息 |
|
[$ope] |
Web专用Http头信息 |
|
[$result] |
审计结果 |
|
[$loginuser] |
登录用户名 |
|
[$happentime] |
审计日志发生的时间 |
|
[$sip] |
源IP |
|
[$sport] |
源端口 |
|
[$dip] |
目的IP |
|
[$dport] |
目的端口 |
|
[$payload] |
审计内容 |
关注行为审计日志格式说明:
[$TIME] senderind/[$senderind] logtype/[$logtype],shgname/[$shgnme],desc/[$desc],
accessid/[$accessid],apptype/[$apptype],objtype/[$objtype],objval/[$objval],ope/[$ope],
result/[$result],loginuser/[$loginuser],happentime/[$happentime],sip/[$sip],sport/[$sport],dip/[$dip],dport/[$dport],payload/[$payload]
表6 关注行为审计日志字段说明
|
字段 |
描述 |
|
[$TIME] |
审计日志外送时间 |
|
[$senderind] |
日志发送者,在配置Syslog服务器时需要填入,默认显示为sender |
|
[$logtype] |
日志类型,关注行为审计日志为notice |
|
[$shgname] |
业务主机群名 |
|
[$desc] |
产生关注行为的特征名或规则名 |
|
[$accessid] |
审计日志ID |
|
[$apptype] |
应用类型名称 |
|
[$Objtype] |
Web专用Domain |
|
[$objval] |
Web专用域信息 |
|
[$ope] |
Web专用Http头信息 |
|
[$result] |
审计结果 |
|
[$loginuser] |
登录用户名 |
|
[$happentime] |
审计日志发生的时间 |
|
[$sip] |
源IP |
|
[$sport] |
源端口 |
|
[$dip] |
目的IP |
|
[$dport] |
目的端口 |
|
[$payload] |
审计内容 |
系统日志支持通过Syslog、邮件、FTP、SNMP、短信方式,将告警信息发送给相关人员,以便相关人员及时处理告警。
打开[配置/告警通知/Syslog]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。
图4 Syslog服务器配置
表7 Syslog配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。默认为514。 |
|
发送者 |
必填项。填写发送者。默认为“sender”。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“Syslog”。
图5 Syslog发送配置
打开[配置/告警通知/邮件]页面,配置邮件服务器。
图6 邮件服务配置
表8 邮件配置字段信息
|
选项 |
用途说明 |
|
|
发送邮件服务器 |
必选项。支持输入域名或IP地址。 点击<DNS服务器配置>,配置DNS服务器。 |
|
|
不需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱。 |
|
端口 |
必填项。发送邮件服务器的端口。默认为25。 |
|
|
需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱。 |
|
密码 |
必填项。发送人邮箱对应的密码。 |
|
|
加密类型 |
选择加密类型。默认为“不加密”。 |
|
|
端口 |
必填项。发送邮件服务器的端口。 选择“不加密”,端口默认为25。 选择“TLS”,端口默认为465。 选择“SSL”,端口默认为587。 |
|
|
单封邮件最多显示前 |
必填项。发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500。 |
|
|
发送统计信息 |
必选项。选择“是”,将发送统计信息;选择“否”,则不发送。 |
|
|
发送测试邮件 |
发送测试邮件可以验证此邮件服务器是否正常工作。 |
|
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“邮件”、配置接收者邮件地址。
图7 邮件发送配置
打开[配置/告警通知/ FTP]页面,配置FTP服务器。
图8 FTP服务器配置
表9 FTP配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。默认为21。 |
|
用户名 |
必填项。访问FTP服务器的用户名。 |
|
密码 |
必填项。用户名对应的密码。 |
|
上传目录 |
告警信息文件上传到服务器的目录。 |
|
单个文件最多显示前 |
发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500。 |
|
发送统计信息 |
必选项。选择是否发送统计信息。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“FTP”。
图9 FTP发送配置
打开[配置/告警通知/ SNMP]页面,配置SNMP服务器。
图10 SNMP服务器配置
表10 SNMP配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
服务器IP |
必填项。输入SNMP服务器IP。 |
|
端口 |
必填项。输入端口。默认为162。 |
|
OID |
系统默认值。默认值为“public”。 |
|
MIB |
使用系统默认值。 |
|
发送类型 |
必选项。默认选择“发送单条”,在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择“发送统计信息”。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“SNMP”。
图11 SNMP发送配置
打开[配置/告警通知/短信]页面,配置短信服务器。
图12 短信服务器配置
表11 短信配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
服务器IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。 |
|
服务提供商号 |
短信服务提供商所提供的号。 |
|
信息类型 |
可根据实际需要填写相应值,默认为空。 |
|
发送格式 |
一般使用系统默认格式。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。使用默认告警类型为“风险告警”、选择业务主机群、选择告警级别、选择通知类型为“短信”、配置接收者手机号码。
图13 短信发送配置
系统日志外送到Syslog格式如下:
[$TIME] [$sender] ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]
~[$DIP]:[$DPORT]~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表12 系统日志外送到Syslog字段说明
|
字段 |
描述 |
|
[$TIME] |
审计日志外送时间 |
|
[$sender] |
日志发送者,在配置服务器时需要填入,默认是sender |
|
[$APPTYPE] |
应用类型标识,系统日志为0 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型:系统告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
系统日志外送到邮件格式如下:
告警类型:[$ATTACKTYPE]~规则或特征名称:[$RULENAME]~发生时间:[$HAPPENTIME]~事件ID:[$ACCESSID]~来源IP:[$SIP]:[$SPORT]~目的IP:[$DIP]:[$DPORT]~登录名:[$LOGINUSER]~请求内容:[$PAYLOAD]
表13 系统日志外送到邮件字段说明
|
字段 |
描述 |
|
[$ATTACKTYPE] |
告警类型:系统告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$ACCESSID] |
告警事件ID |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$LOGINUSER] |
登录名 |
|
[$PAYLOAD] |
告警日志内容 |
系统日志外送到FTP格式如下:
~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]
~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表14 系统日志外送到FTP字段说明
|
字段 |
描述 |
|
[$APPTYPE] |
应用类型标识 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
系统日志外送到SNMP格式如下:
[$MIB] = ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]
~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表15 系统日志外送到SNMP字段说明
|
字段 |
描述 |
|
[$MIB] |
MIB信息 |
|
[$APPTYPE] |
应用类型标识 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型:系统告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
系统日志外送到短信格式如下:
针对探测器:[$LOCALIP]的业务探测器群[$SHGNAME],在[$STARTTIME]到[$ENDTIME]期间,发生了[$COUNT]次[$ATTACKGRADE]级别的告警:审计规则告警:[$COUNTAUDIT]次,特征告警:[$COUNTSIG]次,特征加审计告警:[$COUNTSIGAUDIT]次,系统告警:[$COUNTSYSALARM]次,未知类型告警:[$COUNTUNKNOWN]次
表16 系统日志外送到邮件字段说明
|
字段 |
描述 |
|
[$LOCALIP] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$SHGNAME] |
业务主机群名 |
|
[$STARTTIME] |
日志发生的某一段时间中开始时间 |
|
[$ENDTIME] |
日志发生的某一段时间中结束时间 |
|
[$COUNT] |
某一段时间内发生告警日志的次数 |
|
[$ATTACKGRADE] |
告警级别 |
|
[$COUNTAUDIT] |
审计规则发生的次数 |
|
[$COUNTSIG] |
特征告警发生的次数 |
|
[$COUNTSIGAUDIT] |
特征加审计告警发生的次数 |
|
[$COUNTSYSALARM] |
系统告警发生的次数 |
|
[$COUNTUNKNOWN] |
未知告警发生的次数 |
规则告警支持通过Syslog、邮件、FTP、SNMP、短信方式,将告警信息发送给相关人员,以便相关人员及时处理告警。
打开[配置/告警通知/Syslog]页面,点击<新增Syslog服务端>按钮,打开新增窗口配置Syslog服务器。
图14 Syslog服务器配置
表17 Syslog配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。默认为514。 |
|
发送者 |
必填项。填写发送者。默认为“sender”。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“Syslog”。
图15 Syslog发送配置
打开[配置/告警通知/邮件]页面,配置邮件服务器。
图16 邮件服务器配置
表18 邮件配置字段信息
|
选项 |
用途说明 |
|
|
发送邮件服务器 |
必选项。支持输入域名或IP地址。 点击<DNS服务器配置>,配置DNS服务器。 |
|
|
不需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱。 |
|
端口 |
必填项。发送邮件服务器的端口。默认为25。 |
|
|
需要SMTP验证 |
发送人邮箱 |
必填项。填写发送人的邮箱。 |
|
密码 |
必填项。发送人邮箱对应的密码。 |
|
|
加密类型 |
选择加密类型。默认为“不加密”。 |
|
|
端口 |
必填项。发送邮件服务器的端口。 选择“不加密”,端口默认为25。 选择“TLS”,端口默认为465。 选择“SSL”,端口默认为587。 |
|
|
单封邮件最多显示前 |
必填项。发送时,每一封邮件内容显示的告警信息条数,当告警信息条数超过所设置的数值时,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500。 |
|
|
发送统计信息 |
必选项。选择“是”,将发送统计信息;选择“否”,则不发送。 |
|
|
发送测试邮件 |
发送测试邮件可以验证此邮件服务器是否正常工作。 |
|
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“邮件”、配置接收者邮件地址。
图17 邮件发送配置
打开[配置/告警通知/FTP]页面,配置FTP服务器。
图18 FTP服务器配置
表19 FTP配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。默认为21。 |
|
用户名 |
必填项。访问FTP服务器的用户名。 |
|
密码 |
必填项。用户名对应的密码。 |
|
上传目录 |
告警信息文件上传到服务器的目录。 |
|
单个文件最多显示前 |
发送时,每一次发送的文件内容显示的告警信息条数,当告警信息条数超过所设置的数值,只显示统计信息,不显示单条告警信息。默认值为100,可设置值范围:10~500。 |
|
发送统计信息 |
必选项。选择是否发送统计信息。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“FTP”。
图19 FTP发送配置
打开[配置/告警通知/ SNMP]页面,配置SNMP服务器。
图20 SNMP服务器配置
表20 SNMP配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
服务器IP |
必填项。输入SNMP服务器IP。 |
|
端口 |
必填项。输入端口。默认为162。 |
|
OID |
系统默认值。默认值为“public”。 |
|
MIB |
使用系统默认值。 |
|
发送类型 |
必选项。默认选择“发送单条”,在周期内发送的告警信息,接收端接收后,显示每条告警信息;若需要在接收端显示告警统计信息,可选择“发送统计信息”。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“SNMP”。
图21 SNMP发送配置
打开[配置/告警通知/短信]页面,配置短信服务器。
图22 短信服务器配置
表21 短信配置字段信息
|
选项 |
用途说明 |
|
状态 |
必选项。默认为“启用”。 |
|
服务器IP |
必填项。填写服务器IP。 |
|
端口 |
必填项。填写端口。 |
|
服务提供商号 |
短信服务提供商所提供的号。 |
|
信息类型 |
可根据实际需要填写相应值,默认为空。 |
|
发送格式 |
一般使用系统默认格式。 |
打开[配置/告警通知/发送配置]页面,点击<新增>按钮配置告警发送信息。选择告警类型为“系统告警”、选择告警级别、选择通知类型为“短信”、配置接收者手机号码。
图23 短信发送配置
规则告警日志外送到Syslog格式如下:
[$TIME] [$sender] ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]
~[$DIP]:[$DPORT]~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表22 规则告警日志外送到Syslog字段说明
|
字段 |
描述 |
|
[$TIME] |
审计日志外送时间 |
|
[$sender] |
日志发送者,在配置服务器时需要填入,默认是sender |
|
[$APPTYPE] |
应用类型标识 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
规则告警日志外送到邮件格式如下:
告警类型:[$ATTACKTYPE]~规则或特征名称:[$RULENAME]~发生时间:[$HAPPENTIME]~事件ID:[$ACCESSID]~来源IP:[$SIP]:[$SPORT]~目的IP:[$DIP]:[$DPORT]~登录名:[$LOGINUSER]~请求内容:[$PAYLOAD]
表23 规则告警日志外送到邮件字段说明
|
字段 |
描述 |
|
[$ATTACKTYPE] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$ACCESSID] |
告警事件ID |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$LOGINUSER] |
登录名 |
|
[$PAYLOAD] |
告警日志内容 |
规则告警日志外送到FTP格式如下:
~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]
~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表24 规则告警日志外送到FTP字段说明
|
字段 |
描述 |
|
[$APPTYPE] |
应用类型标识 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
规则告警日志外送到SNMP格式如下:
[$MIB] = ~[$APPTYPE]~[$SHGNAME]~1~[$HAPPENTIME]~[$SIP]:[$SPORT]~[$DIP]:[$DPORT]
~[$ATTACKTYPE]~[$RULENAME]~[$ATTACKGRADE]~[$ACCESSID]~[$PAYLOAD]
表25 规则告警日志外送到SNMP字段说明
|
字段 |
描述 |
|
[$MIB] |
MIB信息 |
|
[$APPTYPE] |
应用类型标识 |
|
[$SHGNAME] |
业务主机群名 |
|
[$HAPPENTIME] |
日志发生时间 |
|
[$SIP] |
源IP |
|
[$SPORT] |
源端口 |
|
[$DIP] |
目的IP |
|
[$DPORT] |
目的端口 |
|
[$ATTACKTYPE] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$RULENAME] |
告警类型对应规则名称,系统告警时此内容为空 |
|
[$ATTACKGRADE] |
告警等级 |
|
[$ACCESSID] |
告警ID |
|
[$PAYLOAD] |
告警日志内容 |
规则告警日志外送到短信格式如下:
针对探测器:[$LOCALIP]的业务探测器群[$SHGNAME],在[$STARTTIME]到[$ENDTIME]期间,发生了[$COUNT]次[$ATTACKGRADE]级别的告警:审计规则告警:[$COUNTAUDIT]次,特征告警:[$COUNTSIG]次,特征加审计告警:[$COUNTSIGAUDIT]次,系统告警:[$COUNTSYSALARM]次,未知类型告警:[$COUNTUNKNOWN]次
表26 规则告警日志外送到邮件字段说明
|
字段 |
描述 |
|
[$LOCALIP] |
告警类型,分为特征告警、规则告警、系统告警、特征告警+审计告警 |
|
[$SHGNAME] |
业务主机群名 |
|
[$STARTTIME] |
日志发生的某一段时间中开始时间 |
|
[$ENDTIME] |
日志发生的某一段时间中结束时间 |
|
[$COUNT] |
某一段时间内发生告警日志的次数 |
|
[$ATTACKGRADE] |
告警级别 |
|
[$COUNTAUDIT] |
审计规则发生的次数 |
|
[$COUNTSIG] |
特征告警发生的次数 |
|
[$COUNTSIGAUDIT] |
特征加审计告警发生的次数 |
|
[$COUNTSYSALARM] |
系统告警发生的次数 |
|
[$COUNTUNKNOWN] |
未知告警发生的次数 |
打开[系统/系统管理/系统调试]页面,可以下载某一天的后台日志。下载后打开压缩包中的console.log文件即可。
系统后台引擎日志格式如下:
[$TIME] [$Content]
表27 系统后台引擎日志字段说明
|
字段 |
描述 |
|
[$TIME] |
后台引擎日志发生的时间 |
|
[$Content] |
后台引擎日志内容 |
本文以表格的形式对日志内容进行举例说明。有关表中各项的含义请查看如下表:
|
表项 |
说明 |
举例 |
|
日志举例 |
一个真实的日志信息举例。 |
March 19 17:01:43 2015 sender ~1~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~高~53~受监控分区[/]已使用[82%],超过了设定的[80.0%] |
|
日志说明 |
解释日志信息 |
2015-03-19 17:01:26有一条系统告警,说明根目录分区[/]大小超过预警值80%,只要超过预警值就会告警 |
|
处理建议 |
建议用户应采取哪些处理措施。 |
检查分区大小,并处理此告警 |
表29 一般审计外送日志举例表:
|
日志举例 |
March 19 13:39:41 2015 senderind/sender logtype/info,accessid/1503191339350008301, apptype/Oracle,objtype/other,objval/other,ope/other,result/fail,loginuser/system,happentime/2015-03-19 13:39:35,sip/192.168.21.98,sport/1232,dip/192.168.21.97,dport/1521,payload/select null from dba_synonyms |
|
日志说明 |
在2015-03-19 13:39:35时,IP为192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select null from dba_synonyma |
|
处理建议 |
可以查看此条审计日志是否正常操作,如异常,可以针对此条建立规则告警 |
表30 告警外送日志举例表:
|
日志举例 |
March 19 13:39:41 2015 senderind/sender logtype/alarm,shgname/tcq.oracle, alarmtype/规则告警,grade/高风险,desc/敏感信息告警, accessid/1503191339350007701,apptype/Oracle,objtype/other,objval/other, ope/other,result/ok,loginuser/system,happentime/2015-03-1913:39:35, sip/192.168.21.98,sport/1232,dip/192.168.21.97,dport/1521,payload/select * from system_user |
|
日志说明 |
在2015-03-1913:39:35时,有一条告警信息产生,操作人IP为192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select * from system_user |
|
处理建议 |
可以查看此条告警信息的相关审计日志信息,并决定是否处理此条审计日志 |
表31 告警外送日志举例表:
|
日志举例 |
March 19 13:39:42 2015 senderind/sender logtype/alarm,shgname/tcq.oracle, ,desc/访问统计表关注,accessid/1503191339350007791,apptype/Oracle, objtype/other,objval/other,ope/other,result/ok,loginuser/system, happentime/2015-03-19 13:39:36,sip/192.168.21.98,sport/1232, dip/192.168.21.97,dport/1521,payload/select * from reports |
|
日志说明 |
在2015-03-1913:39:36时,有一条关注行为产生,操作人IP为192.168.21.98,对数据库192.168.21.97进行操作,操作内容为:select * from reports |
|
处理建议 |
可以查看此条关注行为的相关审计日志信息,并决定是否处理此条审计日志 |
表32 Syslog方式系统外送日志表
|
日志举例 |
March 19 17:01:43 2015 sender ~0~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~高~53~系统已经连续不断10分钟没有审计记录入库 |
|
日志说明 |
Syslog上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库 |
|
处理建议 |
检查审计系统是否正常,并处理该告警 |
表33 邮件方式系统外送日志表
|
日志举例 |
告警类型:系统告警~规则或特征名称: ~发生时间:2015-03-19 17:01:26~事件ID: 194401~来源IP: 127.0.0.1:0~目的IP: 127.0.0.1:0~登录名:~ 系统已经连续不断10分钟没有审计记录入库 |
|
日志说明 |
邮件收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库 |
|
处理建议 |
检查审计系统是否正常,并处理该告警 |
表34 FTP方式系统外送日志表
|
日志举例 |
~1~所有探测器.所有主机群~0~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~高~53~系统已经连续不断10分钟没有审计记录入库 |
|
日志说明 |
FTP上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库 |
|
处理建议 |
检查审计系统是否正常,并处理该告警 |
表35 SNMP方式系统外送日志表
|
日志举例 |
1.3.6.1.2.3377.10.1.1.1.1 = ~0~所有探测器.所有主机群~1~2015-03-19 17:01:26~127.0.0.1:0~127.0.0.1:0~系统告警~~高~53~系统已经连续不断10分钟没有审计记录入库 |
|
日志说明 |
SNMP上收到一条系统告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库 |
|
处理建议 |
检查审计系统是否正常,并处理该告警 |
表36 短信方式系统外送日志表
|
日志举例 |
针对探测器:tcq的业务探测器群ora,在2015-03-19 17:01:26到2015-03-19 18:01:26期间,发生了1次高级别的告警:审计规则告警:0次,特征告警:0次,特征加审计告警:0次,系统告警:1次,未知类型告警:0次 |
|
日志说明 |
短信上收到一条高级别的系统告警 |
|
处理建议 |
登录系统,查看此条系统告警并进行处理 |
表37 Syslog告警外送日志表
|
日志举例 |
March 19 17:01:43 2015 sender ~1~tcq.oracle~1~2015-03-19 17:01:26 ~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~高~1503191701260009201~select * from test_user |
|
日志说明 |
Syslog收到一条告警,说明在2015-03-19 17:01:26检查系统已经连续不断10分钟没有审计记录入库 |
|
处理建议 |
检查此条告警是否是异常操作,是何人触发,并处理。 |
表38 邮件告警外送日志表
|
日志举例 |
告警类型:规则告警~规则或特征名称:敏感信息告警~发生时间:2015-03-19 17:01:26~事件ID: 1503191701260009201~来源IP: 192.168.21.98:1233~目的IP: 192.168.21.97:1521~登录名:~请求内容:select * from test_user |
|
日志说明 |
邮件收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP是192.168.21.98 |
|
处理建议 |
检查此条告警是否是异常操作,是何人触发,并处理。 |
表39 FTP告警外送日志表
|
日志举例 |
~1~tcq.oracle~1~2015-03-19 17:01:26~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~高~1503191701260009201~select * from test_user |
|
日志说明 |
FTP上收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP是192.168.21.98 |
|
处理建议 |
检查此条告警是否是异常操作,是何人触发,并处理。 |
表40 SNMP告警外送日志表
|
日志举例 |
1.3.6.1.2.3377.10.1.1.1.1 = ~1~tcq.oracle~1~2015-03-19 17:01:26 ~192.168.21.98:1233~192.168.21.97:1521~规则告警~敏感信息告警~高~1503191701260009201~select * from test_user |
|
日志说明 |
SNMP上收到一条告警,表示在2015-03-19 17:01:26对规则“敏感信息告警”触发了告警,对应的客户端IP是192.168.21.98 |
|
处理建议 |
检查此条告警是否是异常操作,是何人触发,并处理。 |
表41 短信告警外送日志表
|
日志举例 |
针对探测器:tcq的业务探测器群ora,在2015-03-19 17:01:26到2015-03-19 18:01:26期间,发生了1次高级别的告警:审计规则告警:1次,特征告警:0次,特征加审计告警:0次,系统告警:0次,未知类型告警:0次 |
|
日志说明 |
短信上收到一条告警,表示在2015-03-19 18:01:26有一条高级别的审计规则告警 |
|
处理建议 |
登录系统,查看相关的告警信息,并处理 |
表42 入库日志信息表
|
日志举例 |
[03-19 18:39:52] wdd_audit.150319183952021970 Records: 3 Deleted: 0 Skipped: 0 Warnings: 0 cost 0 sec rate: 3/s |
|
日志说明 |
在03-19 18:39:52时间段,有3条审计日志入库 |
|
处理建议 |
无 |
表43 检查时钟同步日志信息表
|
日志举例 |
[15-03-19 18:40:03].[checksys] [center] syn time with hwclock done |
|
日志说明 |
在03-19 18:40:03时间段,检查时钟同步信息 |
|
处理建议 |
无 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
