27-日志

本章节下载 (778.33 KB)

27-日志

1 日志

1.1 日志概述

1.1.1 日志的类型

日志功能记录并输出各种日志信息，分别是系统日志和安全防护日志。详细分类如表1-1所示。

表1-1 日志分类

日志分类	日志名称	描述
系统日志	事件日志	系统状态，如接口up、down事件
系统日志	管理日志	系统操作信息，如对系统进行的命令操作
安全防护日志	IPS日志	记录着恶意或有害行为的日志
	AV日志	记录着病毒袭击的日志
	IP-MAC日志	ARP攻击
	扫描攻击防御日志	扫描攻击
	Flood攻击防御日志	泛洪攻击
	异常报文攻击日志	异常报文

1.1.2 日志的等级

日志信息是根据日志信息的严重程度区分的，根据严重程度不同，日志的严重等级可以分为8级，日志的级别如表1-2所示。

表1-2 日志的级别

级别	级别号	描述
紧急（emergencies）	0	系统不可用信息
警报（alerts）	1	需要立即处理的信息，如设备收到攻击等
严重（critical）	2	危机的信息，如硬件出错
错误（errors）	3	错误信息
警告（warnings）	4	报警信息
通告（notifications）	5	非错误信息，但需要特殊处理
信息（informational）	6	通知信息
诊断(debug)	7	一般作为模块内部调试信息用

1.1.3 日志信息输出

日志信息可以输出到不同的目的地，支持以下几种日志信息输出目的地，用户可以根据自己的需要指定。具体的日志输出如表1-3所示。

表1-3 日志信息输出

目的地	描述
server	系统可以将日志发向syslog服务器
local	默认情况下，系统将日志记录在本地数据库

1.2 配置日志服务器

点击“系统管理 > 日志设定 > 日志服务器”，进入日志服务器的配置页面，如图1-1所示。

图1-1 日志服务器配置

日志服务器的详细配置表如表1-4所示：

表1-4 日志服务器的详细配置

配置项	说明
启用	是否启用日志服务器，只有当启用的情况下，日志服务器的配置才会生效
服务器1IP地址	第一台日志服务器的IP地址
服务器1端口	第一台日志服务器的端口号
服务器2IP地址	第二台日志服务器的IP地址
服务器3端口	第二台日志服务器的端口号
服务器3IP地址	第三台日志服务器的IP地址
服务器3端口	第三台日志服务器的端口号
加密	发送给日志服务器的内容是否加密
源IP地址	日志的源IP地址

· 日志加密是为了防止在传输过程中泄露信息，和外置数据中心配合使用，发送给标准的日志服务器时不要启用日志加密。

· 如果没有特殊需求，不要配置日志的源IP，让系统自动选择，在配置有VPN的情况的下，如果想让日志通过VPN隧道发送出去，可以指定源接口IP为tunnel接口的IP地址。

1.3 配置日志过滤

日志过滤的功能是对已经产生的日志进行过滤：

· 已经产生的日志是否记录在本地。

· 哪种级别以上的日志，发送给远端的日志服务器。

点击“系统管理 > 日志设定 > 日志过滤”，进入日志过滤的配置页面，如图1-2所示：

图1-2 日志过滤配置

日志过滤的详细配置如所示：

表1-5 日志过滤详细配置

配置项	说明
本地日志	配置是否记录本地日志
Server日志	配置日志是否发送到日志服务器 · 不发送表示不发送到日志服务器 · 发送，发送指定级别的日志到日志服务器，全部级别发送所有的日志到日志服务器缺省情况下，本地不记录会话日志和NAT，其它类型的日志本地会记录，对发送到远端的日志不做过滤

配置项

说明

本地日志

配置是否记录本地日志

Server日志

配置日志是否发送到日志服务器

· 不发送表示不发送到日志服务器

· 发送，发送指定级别的日志到日志服务器，全部级别发送所有的日志到日志服务器

缺省情况下，本地不记录会话日志和NAT，其它类型的日志本地会记录，对发送到远端的日志不做过滤

1.4 系统日志查询

1.4.1 事件日志查询

事件日志记录系统的状态信息，比如接口的up/ down、管理的登录、退出等。点击“日志查询 > 系统日志 > 事件日志”，进入事件日志的查询界面，如图1-3所示。

图1-3 系统日志查询页面

事件日志的显示信息如表1-6所示：

表1-6 事件日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	系统日志的内容

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-4所示。

图1-4 事件日志查询界面

事件日志查询的详细信息如表1-7所示。

表1-7 事件日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	系统日志的内容，支持模糊查询

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可导出所有系统日志。

图1-5 导出事件日志

1.4.2 管理日志查询

管理日志记录着管理员对系统的操作，点击“日志查询 > 系统日志 > 管理日志”，进入管理日志的查询界面，如图1-6所示。

图1-6 管理日志查询界面

管理日志的显示信息如表1-8所示：

表1-8 管理日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
操作管理员	进行操作的管理员的名称
操作员IP	执行操作的管理员的IP，如果通过console操作设备，管理员IP是127.0.0.1
详细信息	管理员名称，操作的方式，操作的结果是成功还是失败
操作内容	管理员执行操作的内容

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-7所示。

图1-7 管理日志查询界面

管理日志查询的详细信息如表1-9所示。

表1-9 管理日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
操作管理员	操作管理员的名称，支持模糊查询
操作员IP	操作员的IP地址
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
日志内容	管理日志的内容，支持模糊查询

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可以下载所有管理日志到本地。

图1-8 导出管理日志

1.5 安全防护日志查询

1.5.1 IPS日志查询

IPS日志记录着针对IPS的日志，点击“日志查询>安全防护日志>IPS日志”，进入IPS日志的查询界面，如图1-9所示。

图1-9 IPS日志查询界面

IPS日志的显示信息如表1-10所示：

表1-10 IPS日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 告警 · 严重 · 警告
用户名称	用户的名称
事件名称	发生IPS日志事件的名称
事件类型	发生IPS日志事件的类型
行为	发生IPS日志事件的行为
源IP	发生IPS日志的源IP地址
目的IP	发生IPS日志的目的IP地址
协议类型	发生IPS日志的协议类型
操作	对IPS日志的操作

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-10所示。

图1-10 IPS日志查询界面

IPS日志查询的详细信息如表1-11所示。

表1-11 IPS日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 告警 · 严重 · 警告
日志内容	操作日志的内容，支持模糊查询
事件名称	发生IPS日志事件的名称
用户名称	用户的名称
事件类型	发生IPS日志事件的类型
行为	发生IPS日志事件的行为
源IP	发生IPS日志的源IP地址
目的IP	发生IPS日志的目的IP地址

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可以下载所有IPS日志到本地。

图1-11 导出IPS日志

1.5.2 AV日志查询

AV日志记录着针对AV日志的操作，点击“日志查询>安全防护日志>AV日志”，进入AV日志的查询界面，如图1-12所示。

图1-12 AV日志查询界面

AV日志的显示信息如表1-12所示：

表1-12 AV日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 告警 · 严重 · 警告
病毒名称	产生AV日志的病毒名称
文件名称	产生AV日志的文件名称
用户名称	产生AV日志的用户名称
行为	设备上对病毒的动作是任何、允许或者是阻断
源IP	产生AV日志的源IP
目的IP	产生AV日志的目的IP
协议类型	产生AV日志的协议类型
操作	对AV日志的操作

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如表1-13所示。

图1-13 AV日志查询界面

AV日志查询的详细信息如表1-13所示。

表1-13 AV日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 告警 · 严重 · 警告
病毒名称	产生AV日志的病毒名称
文件名称	产生AV日志的文件名称
用户名称	产生AV日志的用户名称
行为	设备上对病毒的动作是任何、允许或者是阻断
源IP	产生AV日志的源IP
目的IP	产生AV日志的目的IP

点击<查询>按钮之后，可以显示出符合设置条件的日志。

点击<导出>按钮后，可以下载所有AV日志到本地。

图1-14 导出AV日志

1.5.3 安全日志查询

安全日志记录着针对网络层的攻击的日志。点击“日志查询 > 安全防护日志 > 安全日志”，进入安全日志的查询界面，如图1-15所示。

图1-15 安全日志查询页面

安全日志的显示信息如表1-14所示：

表1-14 安全日志显示信息描述表

配置项	说明
时间	日志产生的时间
日志级别	根据严重程度的不同，日志分为以下几个级别： · 信息 · 通知 · 警告 · 严重 · 警告
源MAC	攻击报文的源MAC地址
源IP	攻击的源IP地址及端口
目的IP	攻击的目的IP地址及端口
协议	攻击的协议类型
威胁名称	威胁的名称
威胁类型	威胁的类型。总共有4种类型： · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击
攻击次数	发生攻击的次数
接口	发生攻击的接口
开始时间	发生攻击的开始时间
结束时间	发生攻击的结束时间

点击<查询>按钮，可以查看根据设定的条件，查询关心的日志，如图1-16所示。

图1-16 安全日志查询界面

安全日志查询的详细信息如表1-15所示。

表1-15 安全日志查询详细信息

配置项	说明
开始时间	日志的最早发生时间
结束时间	日志的最晚发生时间
日志的级别	选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 警告
源IP地址	攻击的源IP地址
目的IP地址	攻击的目的IP地址
威胁名称	攻击的名称
威胁类型	威胁的类型。总共有4种类型： · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击
协议	攻击的协议类型，比如TCP、UDP、ICMP等