- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-日志
本章节下载: 03-日志 (1.55 MB)
日志
本章节主要介绍以下功能:
· 全文检索
· 实时监控
· 日志概览
· 溯源取证
该功能用于展示系统采集到的日志的分析结果,不同类别的日志展示的关键字段不同,以便用户根据不同的日志类型关注不同信息。
1. 选择“日志 > 全文检索”,进入全文检索页面。
2. 用户可根据实际需求,输入原始日志信息或原始日志的部分信息、配置源/目的IP等过滤条件。
3. 单击<查询>按钮,对展示的日志信息进行筛选。
4. 单击<重置>按钮可恢复默认查询条件。
5. 单击<导出>按钮,可导出日志。
图-1 全文检索页面
日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他日志”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。
新增过滤条件用于通过选择指定日志字段,输入字段值的方式检索日志。
1. 选择“日志 > 全文检索”,进入全文检索页面,选择要查询的日志类型。
2. 点击<新增过滤条件>按钮,选择需要过滤的字段、操作关系,并输入具体的值,点击<确认>按钮完成操作。例如,查看源IP为180.0.0.14的所有日志,查询方法如下图所示。
图-2 新增过滤条件
3. 如果需要添加多个过滤条件,可以单击输入框右侧的<+>按钮,添加新的过滤条件。多个过滤条件间可以选择AND(表示查询的日志必须同时满足多个过滤条件)或者OR(表示查询的日志只要满足任意一个过滤条件即可)的方式进行拼接,满足查询需求。(本功能在E1802版本及以上版本支持。)
· 字段值支持精确查询,也支持输入通配符进行模糊搜索,系统支持的通配符有以下两种:
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0,182.9.0.1……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0,182.9.0.1……182.9.0.255。
· 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段只支持精确查找。
· 最多仅支持新增10个过滤条件进行检索。
在搜索框中输入原始日志或原始日志中的部分字符串进行查询。
1. 选择“日志 > 全文检索”,进入全文检索页面,选择要查询的日志类型。
2. 选中搜索框,输入查询内容,点击<查询>按钮完成操作,如下图所示。
· 搜索框最多支持输入1000个字符。
· 搜索框检索支持模糊搜索。
· 原始日志内容可以通过单击日志列表中的
符号查看,如下图所示。
该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的三十万条日志。
1. 选择“日志 > 全文检索”,进入全文检索页面,按照需求检索出需要的日志,点击<导出>按钮,系统将满足条件的结果导出到excel表格中,导出字段包括页面列表表头字段和原始日志字段。
2. 点击页面右上角
按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。
该功能用于保存常用的查询条件,包括日志类型、查询框内容、过滤条件和可选字段。
1. 选择“日志 > 全文检索”,进入全文检索页面,填写或新增需要的查询条件。
2. 新增查询模板:点击页面左上角<新增查询模板>按钮,在弹出的模态框中填写模板名称,点击确认按钮,保存查询模板。
3. 使用查询模板:点击页面左上角<历史查询模板>下拉框,在下拉框中选择需要的模板名称,点击后保存的查询条件自动填入相关模块,并查询数据。
4. 查询模板详情:点击页面左上角<历史查询模板>下拉框,在下拉框中选择需要的模板名称,点击名称后的
按钮,查看模板详情。
5. 删除查询模板:点击页面左上角<历史查询模板>下拉框,在下拉框中选择需要的模板名称,点击名称后的
按钮,删除选中的模板。
该功能用于从设备类型、日志等级两个角度对日志进行分类展示,为用户提供多元化的日志信息展示。
该功能用于展示设备上报日志的趋势及丰富后的日志信息,用户可直观的了解每一条日志表达的信息。并提供日志导出功能,支持按原始日志和丰富后日志导出。日志信息展示方式包括:
· 日志上报趋势图:通过折线图展示统计周期内,设备日志上报趋势。
· 日志列表:通过列表展示统计周期内设备上报的日志信息,如日志类型、日志产生时间、日志等级等。
1. 选择“日志 > 实时监控 > 设备类型”进入设备类型页面。
图-3 实时监控页面
2. 查看日志信息详情:点击日志列表中操作列的详情按钮,可查看该日志丰富后的详细信息。
3. 查看某个设备的上报日志情况:点击目录树中的设备名称即可查看该设备在某段事件时间内的日志上报情况。
4. 按条件查询:支持按统计周期、日志类别筛选日志信息。
5. 日志导出:点击<导出>选择需要导出的日志(原始日志或丰富后的日志),即可导出满足查询条件的日志数据到txt文件并下载到本地,若无查询条件则导产生时间最早的10000条日志。
图-4 日志导出
该功能用于展示各个等级的日志上报趋势和丰富后的日志信息,为用户展现每种日志等级详细的日志信息。并提供日志导出功能,支持按原始日志和丰富后日志导出。日志信息展示方式包括:
· 日志上报趋势图:通过折线图展示统计周期内,各等级的日志上报趋势。
· 日志列表:通过列表展示统计周期内各个等级的日志信息,如日志类型、日志产生时间、日志等级等。
· 选择“日志 > 实时监控 > 日志等级”进入日志等级页面。
图-5 日志等级页面
· 查看日志信息详情:点击日志列表中操作列的详情按钮,可查看该日志丰富后的日志信息及原始日志。
· 查看某个等级的日志信息:单击目录树中的日志等级即可查看在一段时间内上报的该等级的日志丰富后的信息。
· 按条件查询:支持按统计周期内、日志类型筛选日志信息。
· 日志导出:点击<导出>选择需要导出的日志(原始日志或丰富后的日志),即可导出满足查询条件的日志数据,生成txt文件并下载到本地,若无查询条件则导出所有日志。
图-6 日志导出
该功能用于对日志源进行自定义分组展示,通过单击日志源名称可以查看该日志源上报的日志信息。日志信息展示方式包括:
· 日志上报趋势图:通过折线图展示统计周期内设备日志上报趋势。
· 日志列表:通过列表展示统计周期内设备上报的日志信息,如日志类型、日志产生时间、日志等级等。
同时,系统支持日志导出功能,用户可根据自身需求,选择导出原始日志或者丰富后日志。
图-7 自定义分组界面
1. 选择“日志 > 实时监控 > 自定义分组”进入自定义分组页面。
2. 编辑分组:单击“编辑分组”按钮,目录树中会显示出“新增”、“编辑”和“删除”按钮,用户可根据需要新增、编辑和删除节点。其中,编辑节点时,可以修改节点名称和关联日志源。完成配置后,需要单击“保存分组”按钮,保存配置。
3. 查询设备名称:通过在目录树的搜索框内输入设备名称,可以搜索对应的设备。
4. 查看日志信息详情:单击日志列表中操作列的 按钮, 可查看该日志丰富后的详细信息。
5. 查看设备上报日志情况:单击目录树中指定的设备名称,即可查看该设备在某段时间内的日志上报情况。
6. 按条件查询日志信息:通过配置统计周期和日志类型,可以查询符合条件的日志信息。
7. 日志导出:单击<导出>按钮,选择需要导出的日志(原始日志或丰富后的日志),系统将会以TXT文件形式导出满足查询条件的日志数据并下载到本地, 若未配置查询条件,系统将导出产生时间最新的10000条日志。
· 本功能仅在E1802版本及以上版本支持。
· 主动日志源不支持自定义分组。
该页面用于从多个维度展示统计周期内的平台接收的日志统计信息。系统默认展示操作日志设备IP分布、审计日志审计类型分布、威胁日志攻击类型分布、威胁日志设备名称分布、威胁日志严重级别分布和安全控制日志目的IP分布。用户可自定义需要统计的数据类型及呈现方式。
1. 选择“日志 > 日志概览”进入日志概览页面。
2. 选择统计周期,默认展示最近24小时的日志信息。
3. 自定义需要展示的数据及呈现方式:点击某个图表右上角的<自定义>按钮,在弹出的自定义图表窗口,配置以下参数后单击<确认>,页面将展示自定义的图表数据。
○ 图表名称:设置展示在每个图表左上角的名称。
○ 日志类型:选择需要统计的日志类型,日志类型不同其统计属性也不同。
○ 统计对象:选择需要统计的数据类型。
○ 图表类型:统计数据的呈现方式,包括折线图、饼图、柱状图。
图-8 自定义图表页面
该页面用于通过查询满足条件的NAT日志和定时维护的DHCP地址池信息,最终获取内网终端地址信息和溯源过程信息,以及内网终端在对应时间的安全事件信息。
1. 选择"日志 > 溯源取证"进入溯源取证页面。
图-9 溯源取证
2. 配置以下参数后单击<溯源>,页面等待一段时间后展示溯源业务链及联动安全日志信息。
参数说明:
○ NAT转换源IP:互联网出口NAT转换源IP。
○ 目的IP:访问目的IP。
○ 溯源时间:溯源时间点,实际溯源时间范围在其前后1分钟。
○ NAT转换源端口:互联网出口NAT转换源端口,可选。
○ 目的端口:访问目的端口,可选。
· 可在“配置 > 数据来源 > 日志源管理”页面下对被动采集日志源进行溯源配置来提升系统溯源分析准确性。
· 本功能仅在E1802及以上版本支持。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
