- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-日志功能典型配置举例
本章节下载 (720.20 KB)
目录
本文档介绍设备的日志功能配置举例,包括日志的记录、外发和管理。
设备共有五种类型日志,分别为系统日志、操作日志、安全日志、审计日志、终端日志,可以分别记录如下类型日志:
· 系统日志:记录系统状态变化信息,如接口状态变化、HA状态变化、管理员登录登出日志等。
· 操作日志:记录管理员对系统的操作和修改日志。
· 安全日志:记录的日志包括入侵防御日志、病毒防护日志、WEB防护日志、工控安全日志以及异常包攻击日志、Flood攻击日志、行为模型日志等安全防护日志。
· 审计日志:记录的日志类型包括访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志和其它应用日志。
· 终端日志:记录了用户终端相关的日志,如用户上下线日志、DDI终端日志等。
设备的日志级别表示日志的重要性,用户可以手工设置日志级别。目前设备的支持的日志级别从高到低,共有紧急、告警、严重、错误、警告、通知、信息和调试八种,当审计日志中配置的日志级别高于日志过滤中配置的发送级别时,日志方可被发送给第三方日志服务器。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解设备日志特性。
· 设备的的审计日志和控制日志存储位置为硬盘,操作日志和系统日志存储位置为Flash芯片,其它日志(包括部分安全日志、终端日志)在设备有硬盘时存储到硬盘中,没有硬盘时存储在Flash芯片中。
· 当硬盘存储空间占用率达到95%后,设备开始按照时间顺序,从时间最早的文件开始删除硬盘内的日志和邮件缓存文件,直到硬盘存储空间占用率达到85%。
如图1所示,设备的以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· 设备的开启日志审计功能,设备的使用的IP地址为192.168.1.1/24,日志服务器的IP地址为192.168.1.73/24,日志使用默认的UDP 514端口发送。
· 需要审计的日志为:应用审计日志、网站访问日志、安全防护日志和系统日志,上述日志的日志级别分别为信息、信息、警告、通知。
· 设备在本地记录日志,同时将日志发送到日志服务器。
· 将设备上的日志支持导出到PC。
设备正确部署在网络中,内网用户可以正常上网。
· 设备的配置审计策略。
· 设备开启网络层攻击防护功能,安全防护日志会自动记录。
· 在日志过滤中选择需要记录的日志类型以及发送日志的级别。
本举例是在设备的的E6501版本上进行配置和验证的。
· 当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。
· 如果只需要在设备本地记录日志,则无需配置日志服务器。
· 导出文件形式为压缩包,当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
· 用户导出的最大日志大小为25万条左右(对应的文件大小在100M左右,存在一些误差),因此当数据量较大时,用户选择了近三月的数据,可能只导出了几天或十几天的数据。所以导出的日志数量为导出规格的先决条件,其次才是选择的时间范围。
· 不支持附件及附件内容的导出(例如:邮件附件内容及附件)。
· 导出文件存储格式为csv格式,文件内容编码格式为GBK,可直接使用excel打开,使用其它文本查看工具时请注意编码类型,以免中文内容显示为乱码。
(1) 配置审计策略
如图2所示,进入“策略配置>审计策略”,单击<新建>,基础配置保持默认的全any,接着配置“审计对象”。
图2 配置审计策略基础配置
(2) 配置审计对象
如图3所示,在审计策略的审计对象部分,勾选所有的应用分类。
(3) 配置高级配置
如图4所示,单击“高级配置”部分,选择时间为“always”,日志级别为“信息”,终端为“any”。最后提交配置。
图4 配置高级配置
如图5所示,创建成功的审计策略如下。
如下图所示,进入“策略配置>控制策略”,单击<新建>,在控制策略新建页面勾选“启用”,选择行为为“允许”,匹配条件保持默认即可。
图6 控制策略-匹配条件
选择URL过滤页面,在URL控制项中单击<新建>,在弹出的配置框中勾选“启用规则”,URL分了选择“全部”,处理动作选择“允许”,日志级别选择“信息”,然后单击<提交>,配置后如下图所示。
图7 控制策略-URL控制
在恶意URL项中勾选“过滤”选项,其它保持默认,最后提交配置。
图8 控制策略-恶意URL
如图9所示,进入“策略配置>安全设置>安全防护> ARP/ND攻击防护>防ARP欺骗”,勾选“主动防护”,并单击<提交>。
如图10所示,进入“策略配置>安全设置>安全防护> ARP/ND攻击防护> ARP/ND Flood攻击”,勾选“启用防ARP Flood”,单击<提交>。
如图11所示,进入“策略配置>安全设置>安全防护>异常包攻击防御”,在相应的选项上打钩,并单击<提交>。
如图12所示,进入“系统管理>日志设定>日志过滤”,在本地日志处单击“记录”,系统日志级别选择“通知”,安全日志发送级别选择“警告”,单击<提交>。
如图13所示,单击“高级配置”,配置记录和发送上网行为日志,选择级别为“信息”,单击<提交>。
如图14所示,进入“系统管理>日志设定>日志服务器”,配置服务器1的IP地址的为192.168.1.73,端口保持为默认的514,并打开启用开关,单击<提交>。
图14 配置日志服务器
(1) 验证本地日志
如图15所示,在设备的本地,进入“数据中心>日志中心>系统日志”,可以看到本地收集系统日志正常。
单击<导出>,可以导出CSV格式的日志,打开后可以看到和实际的日志一致。
图16 导出的日志
如图17所示,在设备的本地,进入“数据中心>日志中心>审计日志>IM聊天软件日志”,可以看到本地收集IM聊天软件日志正常。
图17 设备的本地记录IM聊天软件日志
单击<导出>,在弹出的过滤框中选择需要导出的日志的时间范围,单击<导出>,即可将对应时间段的日志压缩包下载到本地。解压缩后,可以看到带有日期信息的CSV文件。
CSV文件中的日志内容与实际日志内容一致。
图20 审计日志导出内容
如图21所示,,在设备的本地,进入“数据中心>日志中心>审计日志>访问网站日志”,可以看到本地收集网站访问日志正常。和IM聊天软件日志一样,该日志也支持选择时间范围进行导出,不再赘述。
(2) 验证本地日志查询
如图22所示,在上述访问网站日志页面单击查询,可根据多种条件进行过滤查询,将“URL”配置为baidu,单击<查询>。
如图23所示,可以看到日志正确返回URL均中含有baidu的日志。
图23 查询到URL中含有baidu的日志
在日志服务器上,可以查看设备发送到日志服务器的日志信息,如图24所示。
图24 日志服务器日志文件信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
