系统日志处理文档格式.docx
- 文档编号:20818022
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:18
- 大小:23.80KB
系统日志处理文档格式.docx
《系统日志处理文档格式.docx》由会员分享,可在线阅读,更多相关《系统日志处理文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
事件发生时已登录的用户的用户名。
∙计算机
发生事件的计算机的名称。
∙事件ID
标识事件类型的事件编号。
产品支持代表可以使用事件ID来帮助了解系统中发生的情况。
∙来源
事件的来源。
它可以是程序、系统组件或大型程序的单个组件的名称。
∙类型
事件的类型。
它可以是以下五种类型之一:
错误、警告、信息、成功审核或失败审核。
∙类别
按事件来源对事件进行的分类。
它主要用于安全日志。
事件类型
所记录的每个事件的说明取决于事件类型。
日志中的每个事件都可归类为以下类型之一:
∙信息
描述任务(如应用程序、驱动程序或服务)成功运行的事件。
例如,当网络驱动程序成功加载时将记录“信息”事件。
∙警告
不一定重要但可能表明将来有可能出现问题的事件。
例如,当磁盘空间快用完时将记录“警告”消息。
∙错误
描述重要问题(如关键任务失败)的事件。
“错误”事件可能涉及数据丢失或功能缺失。
例如,当启动过程中无法加载服务时将记录“错误”事件。
∙成功审核(安全日志)
描述成功完成受审核安全事件的事件。
例如,当用户登录到计算机上时将记录“成功审核”事件。
∙失败审核(安全日志)
描述未成功完成的受审核安全事件的事件。
例如,当用户无法访问网络驱动器时可能记录“失败审核”事件。
如何在日志中查找事件
事件日志的默认视图将列出其所有项。
如果您需要查找特定的事件或查看事件子集,则可以搜索日志,也可以对日志数据应用筛选器。
如何搜索特定的日志事件
要搜索特定的日志事件,请按照下列步骤操作:
3.在“查看”菜单上,单击“查找”。
4.在“查找”对话框中指定您要查看的事件的选项,然后单击“查找下一个”。
将在详细信息窗格中突出显示满足搜索条件的事件。
单击“查找下一个”可按照搜索条件的定义找到下一个事件匹配项。
如何筛选日志事件
要筛选日志事件,请按照下列步骤操作:
3.在“查看”菜单上,单击“筛选”。
4.单击“筛选”选项卡(如果尚未选择它)。
5.指定所需的筛选选项,然后单击“确定”。
详细信息窗格中将只显示满足筛选条件的事件。
要使视图重新显示所有日志项,请单击“查看”菜单上的“筛选”,然后单击“还原默认值”。
如何管理日志内容
默认情况下,日志的初始最大大小设置为512KB,当达到此大小时,新事件将根据需要覆盖旧事件。
您可以根据需要更改这些设置或清除日志内容。
如何设置日志大小和覆盖选项
要指定日志大小和覆盖选项,请按照下列步骤操作:
2.在控制台树中,展开“事件查看器”,然后右键单击要设置其大小和覆盖其选项的日志。
3.在“日志大小”下的“日志大小上限”框中键入所需的大小。
4.在“达到日志大小上限时”下,单击所需的覆盖选项。
5.如果您要清除日志内容,请单击“清除日志”。
6.单击“确定”。
如何将日志存档
如果您要保存日志数据,可以将事件日志存档为以下任何格式:
∙日志文件格式(.evt)
∙文本文件格式(.txt)
∙逗号分隔的文本文件格式(.csv)
要将日志存档,请按照下列步骤操作:
2.在控制台树中,展开“事件查看器”,右键单击要将其存档的日志,然后单击“另存日志文件”。
3.指定文件名和文件的保存位置。
在“保存类型”框中,单击所需格式,然后单击“保存”。
将以指定的格式保存日志文件。
防火墙日志
Syslog日志设置
Syslog日志设置模块用于设置信息中心日志管理的相关参数。
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
信息中心可以将日志信息输出到Web页面,以便用户进行查看。
同时,信息中心还可以根据用户的配置,将日志信息输出到指定的Syslog日志主机。
在导航栏中选择“日志管理>
Syslog日志”。
Syslog日志的详细配置如表1所示。
表1Syslog日志的详细配置
配置项
说明
日志缓冲区大小
设置日志缓冲区可存储的Syslog日志信息条数
<
清空日志>
单击该按钮可以清空日志缓冲区内的信息
日志主机1
设置Syslog日志主机的IP地址和端口号
信息中心可以使用Syslog格式将日志信息上报到指定的远程日志主机
最多可以指定4台不同的日Syslog志主机
日志主机2
日志主机3
日志主机4
刷新周期
设置日志报表Web页面的刷新周期,可选择手动或自动刷新:
●
手动刷新:
查看日志报表时需要用户手动刷新
自动刷新:
根据需要,可设置在查看日志报表时,每隔10秒、30秒、1分钟、5分钟或10分钟页面自动刷新一次
1.2
Userlog日志设置
Userlog日志有以下两种输出方式,目前防火墙设备只支持Flow日志格式:
以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。
以二进制格式封装成UDP报文输出到指定的Userlog日志主机。
1.2.1
Flow日志设置
Flow日志目前仅指会话日志。
要生成Flow日志,需要配置会话日志功能。
1.Flow日志简介
Flow日志是指用户访问外部网络流信息的相关记录。
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问外部网络的流进行分类统计,并生成用户流(Flow)日志。
Flow日志会记录报文的5元组和发送、接收的字节数等信息。
网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。
Flow日志有Flow1.0和Flow3.0两个版本。
两种Flow日志的格式稍有不同,具体差别请参见表2和表3。
表2Flow1.0日志信息
字段
描述
SourceIP
源IP地址
DestIP
目的IP地址
SrcPort
TCP/UDP源端口号
DestPort
TCP/UDP目的端口号
StartTime
流起始时间,以秒为单位,从1970/1/10:
0开始计算
EndTime
流结束时间,以秒为单位,从1970/1/10:
Prot
IP承载的协议类型
Operator
操作字,主要指流结束原因
Reserved
保留
表3Flow3.0日志信息
IpVersion
IP报文版本
TosIPv4
IPv4报文的Tos字段
SrcNatIP
NAT转换后的源IP地址
DestNatIP
NAT转换后的目的IP地址
SrcNatPort
NAT转换后的TCP/UDP源端口号
DestNatPort
NAT转换后的TCP/UDP目的端口号
流起始时间,以秒为单位,从1970/01/0100:
00开始计算
流结束时间,以秒为单位,从1970/01/0100:
InTotalPkg
接收的报文包数
InTotalByte
接收的报文字节数
OutTotalPkg
发出的报文包数
OutTotalByte
发出的报文字节数
Reserved1
对于0x02版本(FirewallV200R001)保留
对于0x03版本(FirewallV200R005)第一个字节为源VPNID,第二个字节为目的VPNID,第三、四个字节保留
Reserved2
Reserved3
2.配置Flow日志
Userlog日志”。
Flow日志的详细配置如表4所示。
表4Flow日志的详细配置
版本
设置Flow日志的版本。
包括1.0、3.0
请根据日志接收设备的实际能力配置Flow日志的版本,如果接收设备不支持某个版本的Flow日志,则收到日志后,它不能正确解析
报文源IP地址
设置Flow日志报文的源IP地址
指定源地址后,当设备A向设备B发送Flow日志时,就使用这个IP地址作为报文的源IP地址,而不使用报文出接口的真正地址。
这样,即便A使用不同的端口向B发送报文,B也可以根据源IP地址来准确的判断该报文是否由A产生。
而且该功能还简化了ACL规则和安全策略的配置,只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对Flow日志报文的过滤
建议使用Loopback接口地址作为日志报文的源IP地址
设置Userlog日志主机的VPN实例、IP地址和端口号,以便将Flow日志封装成UDP报文发送给指定的Userlog日志主机。
日志主机可以对Flow日志进行解析和分类显示,以达到远程监控的目的
集中式设备:
最多可以指定2台不同的Userlog日志主机
分布式或堆叠设备:
每个单板上最多可以指定2台不同的Userlog日志主机
为避免与通用的UDP端口号冲突,建议使用1025~65535的UDP端口号
日志输出到信息中心
设置将Flow日志以系统信息的格式输出到信息中心
启用此功能时,Flow日志将不会发往指定的Userlog日志主机
日志输出到信息中心会占用设备的存储空间,因此,建议在日志量较小的情况下使用该输出方向
3.查看Flow日志统计信息
当设置了将Flow日志封装成UDP报文发送给指定的Userlog日志主机时,可以查看相关的统计信息,包括设备向指定日志主机发送的Flow日志总数和包含Flow日志的UDP报文总数,以及设备缓存中的Flow日志总数。
在“Flow日志”的页面单击下方的“查看统计信息”扩展按钮,可以展开所示的内容进行查看。
单击<
清空>
按钮,可以清除设备上的所有Flow日志统计信息和缓存中的Flow日志。
按钮,可以清除相应单板上的所有Flow日志统计信息和缓存中的Flow日志。
1.3
会话日志(Nat日志)
1.3.1
会话日志简介
会话日志是为满足网络管理员做安全审计的需要,对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行记录的一种日志类型,可以通过一定的格式发给日志主机。
会话在满足一定的阈值条件时,即会以日志的形式进行记录并输出,阈值包括以下两种类型:
时间阈值:
当一个会话存在的时间达到设定的时间阈值时,输出会话日志。
流量阈值:
分为报文数阈值和字节数阈值两种。
当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志。
会话管理的详细介绍请参见“Web配置手册
会话管理”。
会话日志以Flow日志的格式输出。
要查看会话日志,需要同时配置Flow日志。
会话日志配置的推荐步骤如表5所示。
表5会话日志配置步骤
步骤
配置任务
1
1.3.2
配置日志输出策略
必选
配置会话日志的输出策略,包括会话日志的源域、目的域和日志输出的过滤规则
缺省情况下,不存在任何会话日志输出策略
2
1.3.3
配置日志输出阈值
配置输出会话日志的时间阈值和流量阈值
缺省情况下,时间阈值和流量阈值均为0,表示不发送任何会话日志
同时配置了时间阈值和流量阈值的情况下,只要有一个阈值首先到达,就会输出相应的会话日志,并将会话的所有统计信息清零
会话日志>
日志输出策略”,进入会话日志输出策略的显示页面。
新建>
按钮,进入新建会话日志输出策略的配置页面。
在导航栏中选择“日志管理>
全局设置”,进入会话日志输出阈值的配置页面。
会话日志输出阈值的详细配置如表7所示。
表7会话日志输出阈值的详细配置
时间阈值
设置输出会话日志的时间阈值
设置时间阈值之后,如果会话的存活时间达到了该阈值,就会输出会话日志
流量阈值
设置输出会话日志的流量阈值,可选择设置报文数阈值或字节数阈值
设置流量阈值之后,当会话收发的报文数或字节数达到阈值,就会输出会话日志
本配置项的支持情况与设备的型号有关,请以设备的实际情况为准
可点击返回“表5会话日志配置步骤”。
1.4
日志报表
日志报表模块用于查看设备上的日志报表信息,可以查看的日志种类包括以下几种:
系统日志
连接数限制日志
攻击防范日志
黑名单日志
域间策略日志
Userlog日志
1.4.1
查看系统日志
日志报表>
系统日志”。
系统日志列表中各项的详细说明如表8所示。
表8系统日志列表的详细说明
标题项
时间/日期
显示系统日志产生的时间和日期
信息来源
显示产生系统日志的模块名
信息级别
显示系统日志的严重程度,具体说明如表9所示
信息描述
显示系统日志的具体内容
表9系统日志严重程度
严重程度
含义
严重等级数值
Emergency
系统不可用信息
Alert
需要立刻做出反应的信息
Critical
严重信息
Error
错误信息
3
Warning
警告信息
4
Notification
正常出现但是重要的信息
5
Informational
需要记录的通知信息
6
Debugging
调试过程产生的信息
7
注:
严重等级数值越小表示严重程度越高。
1.4.2
查看连接数限制日志
连接数限制日志”。
连接数限制日志列表中各项的详细说明如表10所示。
表10连接数限制日志列表的详细说明
显示连接数限制日志产生的时间和日期
流量告警类型
显示流量告警的类型为基于源IP的连接数超过最大值或基于目的IP的连接数超过最大值
源域
显示连接的源域
显示连接的源IP地址
目的域
显示连接的目的域
显示连接的目的IP地址
当前速率
显示当前的连接速率
当前连接数
显示当前的连接总数
TCP报文百分率
显示TCP报文数占所有报文总数的百分比
UDP报文百分率
显示UDP报文数占所有报文总数的百分比
ICMP报文百分率
显示ICMP报文数占所有报文总数的百分比
1.4.3
查看攻击防范日志
攻击防范日志”。
攻击防范日志列表中各项的细说明如表11所示。
表11攻击防范日志列表的详细说明
攻击时间
显示检测到攻击的时间
攻击类型
显示攻击的类型
接收接口
显示接收到攻击报文的接口
攻击源IP地址
显示攻击报文的源IP地址
攻击源MAC地址
显示攻击报文的源MAC地址
攻击目的IP地址
显示攻击报文的目的IP地址
攻击目的MAC地址
显示攻击报文的目的MAC地址
攻击速率
显示攻击的连接速率
1.4.4
查看黑名单日志
黑名单日志”。
黑名单日志列表中各项的详细说明如表12所示。
表12黑名单日志列表的详细说明
显示黑名单项产生的时间和日期
操作方式
显示该黑名单项是新加的还是删除的
显示黑名单项的源IP地址
加入原因
显示加入黑名单的原因,包括自动添加和手动添加两种:
自动添加为发现攻击后自动将源IP添加到黑名单
手动添加为用户通过Web界面手动创建黑名单
保留时间
显示黑名单项的保留时间
1.4.5
查看域间策略日志
域间策略日志是指对匹配域间策略的流所记录的日志。
要记录域间策略日志,需在配置域间策略时开启Syslog日志功能,详细配置请参见“Web配置手册
域间策略”。
域间策略日志”。
域间策略日志列表中各项的详细说明如表13所示。
表13域间策略日志列表的详细说明
开始时间
显示流的创建时间
结束时间
显示流的删除时间
显示流的源域
显示流的目的域
策略ID
显示流匹配的域间策略的ID
动作
显示对流采取的动作类型,包括permitted和denied
协议类型
显示流的协议类型
流信息
显示流的信息
当协议类型为TCP或UDP时,显示的流信息为“源IP地址:
源端口-->
目的IP地址:
目的端口”,例如“1.1.1.2:
1026-->
1.1.2.10:
69”
当协议类型为ICMP时,显示的流信息为“源IP地址-->
目的IP地址,ICMP类型(ICMP码)”,例如“1.1.1.2-->
1.1.2.10,echo(8)”
当协议类型为其他协议时,显示的流信息为“源IP地址-->
目的IP地址”,例如“1.1.1.2-->
1.1.2.10”
1.4.6
查看Userlog日志
要通过Web查看Userlog日志,需要先配置将Userlog日志输出到信息中心。
1.查看Flow日志
Userlog日志”,进入Flow日志的显示页面。
选中版本“1.0”前的单选按钮,则显示的是Flow1.0的日志信息;
选中版本“3.0”前的单选按钮,则显示的是Flow3.0的日志信息。
Flow1.0日志信息的详细说明如表14所示;
Flow3.0日志信息的详细说明如表15所示。
表14Flow1.0日志信息的详细说明
显示Flow日志产生的时间和日期
流行为
显示流的操作字,主要指流结束原因
(1)Normalover:
正常流结束
(2)Agedfortimeout:
定时器超时老化
(3)Agedforresetorconfig-change:
配置变动引起的流老化
(4)Agedfornoenoughresource:
资源不足带来的流老化
(5)Agedforno-patofNAT
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统 日志 处理
![提示](https://static.bdocx.com/images/bang_tan.gif)