- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
08-syslog日志外发典型配置举例
本章节下载: 08-syslog日志外发典型配置举例 (293.09 KB)
高级威胁检测产品支持配置以标准日志通道(比如syslog)外发事件日志到指定接收服务器(比如安全威胁发现与运营管理平台),日志格式支持JSON、WEIF、竖线分隔(“|”),支持基于TCP或UDP的日志外发。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解TCP/IP协议原理,以及syslog日志收发基本原理。
· 高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题;
· 日志外发功能当前仅支持网络攻击事件、恶意代码事件、威胁情报事件、自定义事件的外发;
(1) 用户希望将高级威胁产品的告警日志以syslog日志格式外发到指定日志服务器;
(1) 登录Web管理端。
(2) 配置将告警事件以基于UDP的syslog JSON日志格式外发到指定服务器。
(1) 登录Web管理端
如下图所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。
(2) 配置将告警事件以基于UDP的syslog JSON日志格式外发到指定服务器
通过页面上方菜单栏进入“策略 – 数据外发 – 日志外发配置”菜单页面,默认日志外发功能为关闭状态,需要用户手动开启日志外发功能并完善相应配置;
点击日志外发功能的开关,打开日志外发功能配置,如下图所示;
选择外发协议类型为“UDP”,日志传输格式为“JSON”,外发日志类型勾选当前支持的所有类型,IP地址配置日志接收服务器为“192.168.9.36”,端口配置为“514”(请确保高级威胁检测产品到该日志服务器的网络畅通,没有被诸如防火墙配置限制通信,且日志服务器的基于UDP的514端口正常监听),如下图所示;
点击<保存>按钮完成配置;
(1) 高级威胁检测产品正常接入端口镜像流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;
(2) 当高级威胁检测产品产生网络攻击事件、恶意代码事件、威胁情报事件、或者自定义事件,如下图所示,产生了恶意代码事件;
(3) 在日志接收服务器上查看是否成功收到来自高级威胁检测产品管理端IP地址的同步上报日志,如下图所示,新产生的恶意代码事件告警日志上报到了日志服务器;
图4-6 通过日志服务器192.168.9.36查看的接收到的syslog日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
