- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-攻击防范日志
本章节下载: 17-攻击防范日志 (264.49 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 黑名单日志
· 配置指南
○ 配置准备
○ 配置步骤
在单包攻击防范中,可以开启日志功能,使设备在检测到攻击发生时生成告警日志。但在单包攻击较为频繁的情况下,大量的日志生成与输出会占用较高的系统资源,此时可以通过开启“单包攻击防范日志聚合输出”功能,将在一定时间内,在同一个安全域上检测到的相同攻击类型、相同攻击防范动作、相同的源/目的地址以及属于相同VPN的单包攻击的所有日志聚合成一条日志输出,以降低对系统资源的占用。
开启黑名单日志功能后,当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出,日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。
设备可以为黑名单和攻击防范模块创建单独的日志缓冲区和日志文件,用来分别存储这些业务模块的日志。只有在基本配置页面的系统日志中开启将系统日志输出到日志缓冲区功能后,才能将各个业务模块的日志输出到各自独立的日志缓冲区和日志文件中。
日志在保存到日志文件前,先保存在日志文件缓冲区,系统将日志文件缓冲区的内容写入日志文件后,缓冲区里的内容会被清空。
日志文件有容量限制,当日志文件的大小达到设置的上限,系统会使用最新日志覆盖最旧日志。
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
配置本功能前,还需要完成如下配置:
· 开启攻击防范的记录日志功能。
· 如果选择使用系统日志方式发送日志,需要配置系统日志的日志主机。
· 如果选择使用快速日志方式发送日志,需要配置快速日志的日志主机,并在日志主机中勾选发送攻击防范日志。
有关攻击防范功能的详细介绍,请参见“攻击防范联机帮助”;有关系统日志和快速日志的日志主机的详细介绍,请参见“日志设置基本配置联机帮助”。
1. 单击“系统 > 日志设置 > 攻击防范日志”。
2. 在“攻击防范日志”页面的具体配置内容如下表所示:
表-1 攻击防范日志配置
|
参数 |
说明 |
|
日志类型 |
系统日志:业务模块生成的日志信息将发送到信息中心,由信息中心决定日志的输出方向 |
|
单包攻击防范日志聚合输出 |
单包攻击频繁的情况下,会输出大量的日志信息,开启此功能,可将相同类型的单包攻击日志聚合成一条输出,减少资源占用,一般情况下建议开启 |
|
开启黑名单日志功能 |
开启黑名单日志功能后,当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出 |
|
日志缓冲区上限 |
配置日志缓冲区可存储的信息条数 |
|
日志文件存储上限 |
配置单个日志文件最大能占用的存储空间的大小 |
|
日志文件使用率告警门限 |
表示日志文件使用率的告警门限。当使用率超过告警门限时,系统会生成日志提醒用户,取值为0时,表示关闭该模块日志文件的使用率告警功能 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
