威胁日志

本帮助主要介绍以下内容：

特性简介

威胁日志用来查看入侵防御和防病毒等网络威胁的检测和防御情况的记录，了解曾经发生和正在发生的威胁事件，方便管理员调整相应的策略，更好地防护内网安全。

威胁日志的展示功能需要在入侵防御配置文件和防病毒配置文件中开启日志功能后生效，当报文与入侵防御配置文件或防病毒配置文件成功匹配后将输出日志到威胁日志页面。

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

入侵防御功能需要购买并正确安装License后才能使用。License过期后，入侵防御功能可以采用设备中已有的入侵防御特征库正常工作，但无法升级到官方网站在过期时间后发布的新版本的特征库。关于License的详细介绍请参见“License联机帮助”。

防病毒功能需要购买并正确安装License才能使用。License过期后，防病毒功能可以采用设备中已有的病毒特征库正常工作，但无法升级特征库且云端查询功能、增强检测功能以及联动沙箱阻断功能无法使用。关于License的详细介绍请参见“License配置联机帮助”。

日志的导入、导出和清除操作，不能同时进行。同一时间只能选择一种操作方式。
同一时间，只能有一个用户对日志进行导入、导出或清除的操作。
当查询多天的日志时，页面默认展示第一天的日志，用户可单击<前一天>和<后一天>按钮，切换日期，查看指定日期的日志信息。
对于防病毒日志，威胁ID为4294967295，表示通过云端查询功能检测到的病毒；威胁ID为4294967294表示通过APT防御功能检测到的病毒；威胁ID为4294967293，表示通过增强检测功能检测到的病毒。
对于入侵防御日志，威胁ID为4294967290，表示通过语义分析检测功能检测到的攻击。

威胁日志中可查看日志详情，用户可单击指定日志前的详情按钮，在弹出的详情页面中查看日志的详细信息。其中，威胁名称和报文详情中部分字段显示内容可能较多，用户可以将鼠标移到对应字段，查看悬浮信息，也可通过单击<复制>按钮，在弹出的复制窗口中获取完整的内容。

当入侵防御功能执行捕获动作后，设备将生成捕获文件。当设备上安装了硬盘或U盘后，用户可通过单击指定日志右侧的<下载>按钮，获取捕获文件，方便用户分析威胁信息。

当发现入侵防御日志中存在误报的情况时，可单击指定日志右侧的<加入白名单>按钮，将误报日志中提取到的威胁ID（入侵防御特征ID）和URL加入白名单。设备将对匹配白名单的报文放行，可以减少误报。

日志支持导入功能，用户可单击<导入>按钮，在弹出的提示框中单击<确定>，进入导入界面。选择导入的日志文件并输入日志文件的密码，即可将日志导入设备中。

设备支持将日志导出到PC本地。具体步骤如下：

单击<导出>按钮，进入“导出日志”页面，配置日志导出参数，具体参数如下表所示：

表-1 日志导出参数表

参数	说明
设置密码	用于设置日志文件的密码，日志文件会被加密导出，导出后的文件需要输入设置的密码才可以查看
导出条数	用于设置每个日志文件中可以包含的日志条数当日志实际数量小于或等于配置的导出条数时，设备会将所有日志导出到一个文件中当日志实际数量大于配置的导出条数时，设备会按照配置的导出条数，将日志分批导出到多个文件中

参数

说明

设置密码

用于设置日志文件的密码，日志文件会被加密导出，导出后的文件需要输入设置的密码才可以查看

导出条数

用于设置每个日志文件中可以包含的日志条数

开启日志聚合功能后，设备将对指定聚合时间内采集到的满足相同聚合条件的业务日志进行聚合，可以减少Web界面中展示的日志条目，方便用户对日志进行查看。其中，日志聚合条件包括：源IP地址、目的IP地址、应用、源端口、目的端口、威胁ID、威胁名称和威胁类型。

具体配置步骤如下：