H3C SecPath ACG1000系列应用控制网关 Web配置指导(E6411 R6609)-6W106

25-日志

1 日志

1.1 日志概述

1.1.1 日志的类型

日志功能记录并输出各种日志信息，分别是系统日志、安全防护日志、网站访问日志和应用审计日志。详细分类如表1-1所示。

日志分类	日志名称	描述
系统日志	系统日志	系统状态，如接口up、down事件
系统日志	操作日志	系统操作信息，如对系统进行的命令操作
安全防护日志	IP-MAC日志	ARP攻击
	扫描攻击防御日志	扫描攻击
	Flood攻击防御日志	泛洪攻击
	异常报文攻击日志	异常报文
网站访问日志	URL日志	访问网站
网站访问日志	恶意URL日志	访问恶意网站
应用审计日志	IM聊天软件日志	IM 即时通讯信息，如QQ、MSN等
	社区日志	网络社区，微博、论坛等
	搜索引擎日志	搜索引擎产生的日志
	邮件日志	邮件信息
	文件传输日志	FTP等文件传输产生的日志
	娱乐/股票日志	娱乐股票等信息
	其它应用日志	其它类型的应用日志，如P2P、网银等使用

1.1.2 日志的等级

日志信息是根据日志信息的严重程度区分的，根据严重程度不同，日志的严重等级可以分为8级，日志的级别如表1-2所示。

表1-2 日志的级别

级别	级别号	描述
紧急（emergencies）	0	系统不可用信息
警报（alerts）	1	需要立即处理的信息，如设备收到攻击等
严重（critical）	2	危机的信息，如硬件出错
错误（errors）	3	错误信息
警告（warnings）	4	报警信息
通告（notifications）	5	非错误信息，但需要特殊处理
信息（informational）	6	通知信息
诊断(debug)	7	一般作为模块内部调试信息用

1.1.3 日志信息输出

日志信息可以输出到不同的目的地，支持以下几种日志信息输出目的地，用户可以根据自己的需要指定。具体的日志输出如表1-3所示。

表1-3 日志信息输出

目的地	描述
server	系统可以将日志发向syslog服务器
local	默认情况下，系统将日志记录在本地数据库

1.2 配置日志服务器

点击“系统管理 > 日志设定 > 日志服务器”，进入日志服务器的配置页面，如图1-1所示。

图1-1 日志服务器配置

日志服务器的详细配置表如表1-4所示：

表1-4 日志服务器的详细配置

配置项	说明
启用	是否启用日志服务器，只有当启用的情况下，日志服务器的配置才会生效
服务器1IP地址	第一台日志服务器的IP地址
服务器1端口	第一台日志服务器的端口号
服务器2IP地址	第二台日志服务器的IP地址
服务器3端口	第二台日志服务器的端口号
服务器3IP地址	第三台日志服务器的IP地址
服务器3端口	第三台日志服务器的端口号
加密	发送给日志服务器的内容是否加密
源IP地址	日志的源IP地址

· 日志加密是为了防止在传输过程中泄露信息，和外置数据中心配合使用，发送给标准的日志服务器时不要启用日志加密。

· 如果没有特殊需求，不要配置日志的源IP，让系统自动选择，在配置有VPN的情况的下，如果想让日志通过VPN隧道发送出去，可以指定源接口IP为tunnel接口的IP地址。

1.3 配置日志过滤

日志过滤的功能是对已经产生的日志进行过滤：

· 已经产生的日志是否记录在本地。

· 哪种级别以上的日志，发送给远端的日志服务器。

点击“系统管理 > 日志设定 > 日志过滤”，进入日志过滤的配置页面，如图1-2所示：

图1-2 日志过滤配置

日志过滤的详细配置如所示：

表1-5 日志过滤详细配置

配置项	说明
本地日志	配置是否记录本地日志
Server日志	配置日志是否发送到日志服务器 · 不发送表示不发送到日志服务器 · 发送，发送指定级别的日志到日志服务器，全部级别发送所有的日志到日志服务器缺省情况下，本地不记录会话日志和NAT，其它类型的日志本地会记录，对发送到远端的日志不做过滤

配置项

说明

本地日志

配置是否记录本地日志

Server日志

配置日志是否发送到日志服务器

· 不发送表示不发送到日志服务器

· 发送，发送指定级别的日志到日志服务器，全部级别发送所有的日志到日志服务器

缺省情况下，本地不记录会话日志和NAT，其它类型的日志本地会记录，对发送到远端的日志不做过滤

1.4 系统日志查询

1.4.1 系统日志查询

系统日志记录系统的状态信息，比如接口的up/ down、管理的登录、退出等。点击“日志查询 > 系统日志 > 系统日志”，进入系统日志的查询界面，如图1-3所示。

图1-3 系统日志查询页面

系统日志的显示信息如表1-6所示：

表1-6 系统日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	系统日志的内容

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-4所示。

图1-4 系统日志查询界面

系统日志查询的详细信息如表1-7所示。

表1-7 系统日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	系统日志的内容，支持模糊查询

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可导出所有系统日志。

图1-5 导出系统日志

1.4.2 操作日志查询

操作日志记录着管理员对系统的操作，点击“日志查询 > 系统日志 > 操作日志”，进入操作日志的查询界面，如图1-6所示。

图1-6 操作日志查询界面

操作日志的显示信息如表1-8所示：

表1-8 操作日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
操作管理员	进行操作的管理员的名称
操作员IP	执行操作的管理员的IP，如果通过console操作设备，管理员IP是127.0.0.1
详细信息	管理员名称，操作的方式，操作的结果是成功还是失败
操作内容	管理员执行操作的内容

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-7所示。

图1-7 操作日志查询界面

操作日志查询的详细信息如表1-9所示。

表1-9 操作日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
操作管理员	操作管理员的名称，支持模糊查询
操作员IP	操作员的IP地址
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	操作日志的内容，支持模糊查询

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可以下载所有操作日志到本地。

图1-8 导出操作日志

1.5 安全防护日志查询

1.5.1 网络层攻击日志查询

网络层攻击日志记录着针对网络层的攻击的日志。点击“日志查询 > 安全防护日志 > 网络层攻击日志”，进入网络层攻击日志的查询界面，如图1-9所示。

图1-9 网络层攻击日志查询页面

网络层攻击日志的显示信息如表1-10所示：

表1-10 网络层攻击日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
源MAC	攻击报文的源MAC地址
源IP	攻击的源IP地址及端口
目的IP	攻击的目的IP地址及端口
协议	攻击的协议类型
威胁名称	威胁的名称
威胁类型	威胁的类型。总共有4种类型： · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击
攻击次数	发生攻击的次数
接口	发生攻击的接口
开始时间	发生攻击的开始时间
结束时间	发生攻击的结束时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-10所示。

图1-10 网络层攻击日志查询界面

网络层攻击日志查询的详细信息如表1-11所示。

表1-11 网络层攻击日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
源IP地址	攻击的源IP地址
目的IP地址	攻击的目的IP地址
威胁名称	攻击的名称
威胁类型	威胁的类型。总共有4种类型： · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击
协议	攻击的协议类型，比如TCP、UDP、ICMP等

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可以导出所有网络层攻击日志到本地。

图1-11 导出网络层攻击日志

1.6 网站访问日志查询

1.6.1 访问网站日志

访问网站日志记录着所有访问网站的信息，点击“日志查询 > 网站访问日志 > 访问网站日志”，进入访问网站日志的查询界面，如图1-12所示。

图1-12 访问网站日志查询页面

访问网站日志的显示信息如表1-12所示：

表1-12 系统日志显示信息描述表

配置项	说明
用户	产生日志的用户
用户mac	产生日志的用户mac信息
URL分类	访问网站的URL类别
网页标题	访问网站的标题
处理动作	设备上对访问网站的动作是允许或者是阻断
级别	访问网站日志的级别
时间	访问网站的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-13所示。

图1-13 访问网站日志查询界面

访问网站日志查询的详细信息如表1-13所示。

表1-13 访问网站日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	访问网站日志的源mac
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
URL分类	访问网站日志的URL分类
处理动作	访问网站人处理动作，可选的值有是：阻断、放行或者任何
级别	日志的级别

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的访问网站日志到本地。

图1-14 导出访问网站日志

1.6.2 恶意URL日志

恶意URL日志记录着访问恶意网站的信息，点击“日志查询 > 访问网站日志 > 恶意URL日志”，进入恶意URL的查询界面，如图1-15所示。

图1-15 恶意URL日志查询页面

访问网站日志的显示信息如表1-14所示：

表1-14 系统日志显示信息描述表

配置项	说明
用户	产生日志的用户
用户mac	访问网站的源mac地址
源地址	访问网站的源IP地址
目的地址	访问网站的目的IP地址
网站名	访问网站的域名
URL	访问网站的URL
系统	访问网站的操作系统及平台信息
终端	访问网站的终端类型，比如iPhone、iPad等
时间	访问网站的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-16示。

图1-16 恶意URL日志查询界面

恶意URL日志查询的详细信息如表1-15所示。

表1-15 访问网站日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	用户访问网站的mac信息
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
网站名	访问网站的域名，支持模糊搜索

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的访问网站日志到本地。

图1-17 导出恶意URL日志

1.7 应用审计日志查询

1.7.1 IM聊天软件日志

IM聊天软件日志记录着IM聊天软件使用相关的信息，点击“日志查询 > 应用审计日志 > IM聊天软件日志”，进入IM聊天软件日志的查询界面，如图1-18所示。

图1-18 IM聊天软件日志查询页面

IM聊天软件日志的显示信息如表1-16所示：

表1-16 IM聊天软件日志显示信息描述表

配置项	说明
用户	产生日志的用户
用户mac	产生日志的用户mac
应用	应用的名称
行为	应用的行为，比如登录、注销、收消息、发消息、发文件等
帐号	聊天软件的帐号
系统	用户使用的操作系统
平台	用户使用的平台，比如windows、android、ios等
终端	使用的终端类型，比如iPhone、iPad等
处理动作	设备的处理动作，允许或者阻断
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-19所示。

图1-19 IM聊天软件日志日志查询界面

IM聊天软件日志查询的详细信息如表1-17所示。

表1-17 IM聊天软件日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	用户mac信息
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用分类	应用的分类名称
应用	应用的名称
行为	应用的行为
帐号	应用的帐号
内容	聊天软件的内容
处理动作	日志的动作，放行或者阻断
日志级别	日志的级别

点击<查询>按钮之后，可以显示出符合设置的条件的日志。

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的IM聊天软件日志到本地。

图1-20 导出IM聊天软件日志

1.7.2 社区日志

社区日志记录着微博、BBS、博客等网络社区相关的信息，点击“日志查询 > 应用审计日志 > 社区日志”，进入社区日志的查询界面，如图1-21所示。

图1-21 社区日志查询页面

社区日志的显示信息如表1-18所示：

表1-18 社区日志显示信息描述表

配置项	说明
用户	产生日志的用户
用户mac	产生日志的用户mac信息
应用	应用的名称
行为	应用的行为，登录、发表、注销等
帐号	社区的帐号
内容	社区的内容
系统	用户使用的操作系统以及使用平台
终端	使用的终端类型，比如iPhone、iPad等
处理动作	设备的处理动作，允许或者阻断
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-22所示。

图1-22 社区日志查询界面

社区日志查询的详细信息如表1-19所示。

表1-19 社区日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	用户mac信息
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用分类	应用的分类名称
应用	应用的名称
行为	社区的行为
帐号	社区的帐号，支持模糊搜索
内容	社区的内容
日志级别	日志的级别
处理动作	日志的动作，放行或者阻断

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的社区日志到本地。

图1-23 导出社区日志

1.7.3 搜索引擎日志

搜索引擎日志记录着搜索引擎使用的信息，点击“日志查询 > 应用审计日志 > 搜索引擎日志”，进入搜索引擎日志的查询界面，如图1-24所示。

图1-24 搜索引擎日志查询页面

搜索引擎日志的显示信息如表1-20所示：

表1-20 搜索引擎日志显示信息描述表

配置项	说明
用户	日志的用户
用户mac	日志的用户mac信息
应用	应用的名称
行为	应用的行为，搜索等
内容	搜索引擎的内容
系统	用户使用的操作系统以及平台信息
终端	使用的终端类型，比如iPhone、iPad等
处理动作	设备的处理动作，允许或者阻断
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-25所示。

图1-25 搜索引擎日志查询界面

搜索引擎日志查询的详细信息如表1-21所示。

表1-21 搜索引擎日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用分类	应用的分类名称
应用	应用的名称
行为	搜索引擎的行为
内容	搜索引擎的内容
处理动作	日志的动作，放行或者阻断
日志级别	日志的级别

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的搜索引擎日志到本地。

图1-26 导出搜索引擎日志

1.7.4 邮件日志

邮件日志记录通过SMTP、IMAP、POP3收发邮件的信息，点击“日志查询 > 应用审计日志 > 邮件日志”，进入邮件日志的查询界面，如图1-27所示。

图1-27 邮件日志查询页面

邮件日志的显示信息如表1-22所示：

表1-22 邮件日志显示信息描述表

配置项	说明
用户	日志的用户
用户mac	用户的mac信息
应用	应用的名称
发件人	邮件的发件人
收件人	邮件的接收人
主题	邮件主题
行为	邮件的行为
内容	邮件内容
处理动作	设备的处理动作，允许或者阻断
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-28所示。

图1-28 邮件日志查询界面

邮件日志查询的详细信息如表1-23所示。

表1-23 邮件日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用	应用的名称
行为	邮件的行为
发件人	邮件的发送者，支持模糊查询
收件人	邮件的接收者，支持模糊查询
主题	邮件的主题，支持模糊查询
日志级别	日志的级别

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的邮件日志到本地。

图1-29 导出邮件日志

1.7.5 文件传输日志

命令日志记录网盘和FTP、telnet使用的信息，点击“日志查询 > 应用审计日志 > 命令日志”，进入命令日志的查询界面，如图1-30所示。

图1-30 命令日志查询页面

命令日志的显示信息如表1-24所示：

表1-24 命令日志显示信息描述表

配置项	说明
用户	日志的用户
用户mac	日志的用户mac信息
应用	应用的名称
行为	应用的行为
帐号	应用的帐号
行为	文件传输过程中的行为，如登录、下载文件等
处理动作	设备的处理动作，允许或者阻断
文件	传输的文件名
系统	用户使用的操作系统
终端	使用的终端类型，比如iPhone、iPad等
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间
操作	点击这些链接，可以查看日志详情

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-31所示。

图1-31 文件传输日志查询界面

命令日志查询的详细信息如表1-25所示。

表1-25 命令日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用	应用的名称
行为	命令的行为
帐号	应用的帐号，支持模糊查询
文件	传输的文件名，支持模糊查询
处理动作	日志的动作，放行或者阻断
日志级别	日志的级别

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的文件传输日志到本地。

图1-32 导出文件传输日志

1.7.6 娱乐/股票日志

娱乐/股票日志记录用户上网娱乐信息，如看视频、玩在线游戏、听音乐、炒股等行为，点击“日志查询 > 应用审计日志 > 娱乐/股票日志”，进入娱乐/股票日志的查询界面，如图1-33所示。

图1-33 娱乐/股票日志查询页面

娱乐/股票应用日志的显示信息如表1-26所示：

表1-26 娱乐/股票日志显示信息描述表

配置项	说明
用户	日志的用户
用户mac	日志的用户mac信息
应用	应用的名称
行为	应用的行为
处理动作	设备的处理动作，允许或者阻断
系统	用户使用的操作系统
终端	使用的终端类型，比如iPhone、iPad等
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间
操作	点击这些链接，可以查看日志详情

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-34所示。

图1-34 娱乐/股票日志查询界面

娱乐/股票日志查询的详细信息如表1-27所示。

表1-27 其它应用日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	用户名称mac
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用	应用的名称
行为	其它应用的行为
帐号	应用的帐号，支持模糊查询
内容	应用的内容
处理动作	日志的动作，放行或者阻断
日志级别	日志的级别

点击<导出>按钮之后，可以选择下载今天、近三天、近一周、近一个月或者近三个月的娱乐/股票日志到本地。

图1-35 导出娱乐/股票日志

1.7.7 其它应用日志

其它应用日志是除了聊天软件、社区、邮件、搜索引擎、命令之外的应用审计日志，点击“日志查询 > 应用审计日志 > 其它应用日志”，进入其它应用日志的查询界面，如图1-36所示。

图1-36 其它应用日志查询页面

其它应用日志的显示信息如表1-28所示：

表1-28 其它应用日志显示信息描述表

配置项	说明
用户	日志的用户
用户mac	日志的用户mac信息
应用	应用的名称
行为	应用的行为
处理动作	设备的处理动作，允许或者阻断
系统	用户使用的操作系统
终端	使用的终端类型，比如iPhone、iPad等
级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 错误 · 严重 · 警告 · 紧急
时间	日志产生的时间
操作	点击这些链接，可以查看日志详情

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-37所示。

图1-37 其它应用日志查询界面

其它应用日志查询的详细信息如表1-29所示。

表1-29 其它应用日志查询详细信息

配置项	说明
开始时间	开始记录的时间点
结束时间	结束记录的时间点
用户	用户名称
用户mac	用户mac信息
源地址	访问网站日志的源地址
目的地址	访问网站日志的目的地址
应用	应用的名称
行为	其它应用的行为
帐号	应用的帐号，支持模糊查询
内容	应用的内容，支持模糊查询
处理动作	日志的动作，放行或者阻断
日志级别	日志的级别