- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
26-日志
本章节下载: 26-日志 (942.76 KB)
目 录
日志功能记录并输出各种日志信息,分别是系统日志、安全防护日志、网站访问日志和应用审计日志。详细分类如表1-1所示。
|
日志分类 |
日志名称 |
描述 |
|
系统日志 |
系统日志 |
系统状态,如接口up、down事件 |
|
操作日志 |
系统操作信息,如对系统进行的命令操作 |
|
|
安全防护日志 |
网络层攻击日志 |
系统攻击日志查询和显示 |
|
网站访问日志 |
访问网站日志 |
访问网站日志查询和显示 |
|
恶意URL日志 |
恶意URL日志查询和显示 |
|
|
应用审计日志
|
IM聊天软件日志 |
IM聊天软件日志查询和显示 |
|
社区日志 |
社区日志查询和显示 |
|
|
搜索引擎日志 |
搜索引擎日志查询和显示 |
|
|
邮件日志 |
邮件日志查询和显示 |
|
|
文件传输日志 |
文件传输的日志查询 |
|
|
娱乐/股票日志 |
娱乐和股票类应用的日志查询 |
|
|
其它应用日志 |
其它应用日志查询和显示 |
日志信息是根据日志信息的严重程度区分的,根据严重程度不同,日志的严重等级可以分为7级,日志的级别如表1-2所示。
|
级别 |
级别号 |
描述 |
|
紧急(emergencies) |
0 |
系统不可用信息 |
|
告警(alerts) |
1 |
需要立即处理的信息,如设备收到攻击等 |
|
严重(critical) |
2 |
危机的信息,如硬件出错 |
|
错误(errors) |
3 |
错误信息 |
|
警告(warnings) |
4 |
报警信息 |
|
通知(notifications) |
5 |
非错误信息,但需要特殊处理 |
|
信息(informational) |
6 |
通知信息 |
日志信息可以输出到不同的目的地,支持以下几种日志信息输出目的地,用户可以根据自己的需要指定。具体的日志输出如表1-3所示。
|
目的地 |
描述 |
|
server |
系统可以将日志发向syslog服务器 |
|
local |
默认情况下,系统将日志记录在本地数据库 |
点击“系统管理 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,如图1-1所示。
日志服务器的详细配置表如表1-4所示:
|
配置项 |
说明 |
|
启用 |
是否启用日志服务器,只有当启用的情况下,日志服务器的配置才会生效 |
|
服务器1IP地址 |
第一台日志服务器的IP地址 |
|
服务器1端口 |
第一台日志服务器的端口号 |
|
服务器2IP地址 |
第二台日志服务器的IP地址 |
|
服务器3端口 |
第二台日志服务器的端口号 |
|
服务器3IP地址 |
第三台日志服务器的IP地址 |
|
服务器3端口 |
第三台日志服务器的端口号 |
|
加密 |
发送给日志服务器的内容是否加密 |
|
源IP地址 |
日志的源IP地址 |
· 日志加密是为了防止在传输过程中泄露信息,和外置数据中心配合使用,发送给标准的日志服务器时不要启用日志加密。
· 如果没有特殊需求,不要配置日志的源IP,让系统自动选择,在配置有VPN的情况的下,如果想让日志通过VPN隧道发送出去,可以指定源接口IP为tunnel接口的IP地址。
日志过滤的功能是对已经产生的日志进行过滤:
· 已经产生的日志是否记录在本地。
· 哪种级别以上的日志,发送给远端的日志服务器。
点击“系统管理 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,如图1-2所示:
日志过滤的详细配置如所示:
表1-5 日志过滤详细配置
|
配置项 |
说明 |
|
本地日志 |
配置是否记录本地日志 |
|
Server日志 |
配置日志是否发送到日志服务器 · 不发送表示不发送到日志服务器 · 发送,发送指定级别的日志到日志服务器,全部级别发送所有的日志到日志服务器 缺省情况下,本地不记录会话日志和NAT,其它类型的日志本地会记录,对发送到远端的日志不做过滤 |
系统日志记录系统的状态信息,比如接口的up/ down、管理的登录、退出等。点击“日志查询 > 系统日志 > 系统日志”,进入系统日志的查询界面,如图1-3所示。
系统日志的显示信息如表1-6所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 严重 · 告警 |
|
日志内容 |
系统日志的内容 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-4所示。
系统日志查询的详细信息如表1-7所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志级别 |
选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 告警 |
|
日志内容 |
系统日志的内容,支持模糊查询 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
操作日志记录着管理员对系统的操作,点击“日志查询 > 系统日志 > 操作日志”,进入操作日志的查询界面,如图1-5所示。
操作日志的显示信息如表1-8所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 严重 · 告警 |
|
操作管理员 |
进行操作的管理员的名称 |
|
操作员IP |
执行操作的管理员的IP,如果通过console操作设备,管理员IP是127.0.0.1 |
|
详细信息 |
管理员名称,操作的方式,操作的结果是成功还是失败 |
|
操作内容 |
管理员执行操作的内容 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-6所示。
操作日志查询的详细信息如表1-9所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
操作管理员 |
操作管理员的名称,支持模糊查询 |
|
操作员IP |
操作员的IP地址 |
|
日志的级别 |
选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 告警 |
|
日志内容 |
操作日志的内容,支持模糊查询 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
网络层攻击日志记录着针对网络层的攻击的日志。点击“日志查询 > 安全防护日志 > 网络层攻击日志”,进入网络层攻击日志的查询界面,如图1-7所示。
网络层攻击日志的显示信息如表1-10所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 严重 · 告警 |
|
源MAC |
攻击报文的源MAC地址 |
|
源IP |
攻击的源IP地址及端口 |
|
目的IP |
攻击的目的IP地址及端口 |
|
协议 |
攻击的协议类型 |
|
威胁名称 |
威胁的名称 |
|
威胁类型 |
威胁的类型。总共有4种类型: · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击 |
|
攻击次数 |
发生攻击的次数 |
|
接口 |
发生攻击的接口 |
|
开始时间 |
发生攻击的开始时间 |
|
结束时间 |
发生攻击的结束时间 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-8所示。
网络层攻击日志查询的详细信息如表1-11所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志的级别 |
选择一个或者多个级别的日志 · 信息 · 通知 · 警告 · 严重 · 告警 |
|
源IP地址 |
攻击的源IP地址 |
|
目的IP地址 |
攻击的目的IP地址 |
|
源MAC |
攻击的源MAC |
|
威胁名称 |
攻击的名称 |
|
威胁类型 |
威胁的类型。总共有4种类型: · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击 |
|
协议 |
攻击的协议类型,比如TCP、UDP、ICMP等 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
访问网站日志记录着所有访问网站的信息,点击“日志查询 > 网站访问日志 > 访问网站日志”,进入访问网站日志的查询界面,如图1-9所示。
访问网站日志的显示信息如表1-12所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac信息 |
|
URL分类 |
访问网站的URL类别 |
|
网页标题 |
访问网站的标题 |
|
处理动作 |
设备上对访问网站的动作是允许或者是阻断 |
|
级别 |
访问网站日志的级别 |
|
时间 |
访问网站的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-10所示。
访问网站日志查询的详细信息如表1-13所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
访问网站日志的源mac |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
URL分类 |
访问网站日志的URL分类 |
|
网页标题 |
访问网站日志的网页标题 |
|
URL |
访问网站日志的URL |
|
处理动作 |
访问网站人处理动作,可选的值有是:阻断、放行或者任何 |
|
级别 |
日志的级别 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
恶意URL日志记录着访问恶意网站的信息,点击“日志查询 > 访问网站日志 > 恶意URL日志”,进入恶意URL的查询界面,如图1-11所示。
图1-11 恶意URL日志查询页面
访问网站日志的显示信息如表1-14所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
访问网站的源mac地址 |
|
源地址 |
访问网站的源IP地址 |
|
目的地址 |
访问网站的目的IP地址 |
|
网站名 |
访问网站的域名 |
|
URL |
访问网站的URL |
|
系统 |
访问网站的操作系统及平台信息 |
|
终端 |
访问网站的终端类型,比如iPhone、iPad等 |
|
时间 |
访问网站的时间 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-12示。
图1-12 恶意URL日志查询界面
恶意URL日志查询的详细信息如表1-15所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户访问网站的mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
网站名 |
访问网站的域名,支持模糊搜索 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
IM聊天软件日志记录着IM聊天软件使用相关的信息,点击“日志查询 > 应用审计日志 > IM聊天软件日志”,进入IM聊天软件日志的查询界面,如图1-13所示。
图1-13 IM聊天软件日志查询页面
IM聊天软件日志的显示信息如表1-16所示:
表1-16 IM聊天软件日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,比如登录、注销、收消息、发消息、发文件等 |
|
帐号 |
聊天软件的帐号 |
|
系统 |
用户使用的操作系统 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
处理动作 |
设备的处理动作,放行或者阻断 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-14所示。
图1-14 IM聊天软件日志日志查询界面
IM聊天软件日志查询的详细信息如表1-17所示。
表1-17 IM聊天软件日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
帐号 |
应用的帐号 |
|
内容 |
聊天软件的内容 |
|
处理动作 |
日志的动作,放行或者阻断 |
|
日志级别 |
日志的级别 |
点击<查询>按钮之后,可以显示出符合设置的条件的日志。
社区日志记录着微博、BBS、博客等网络社区相关的信息,点击“日志查询 > 应用审计日志 > 社区日志”,进入社区日志的查询界面,如图1-15所示。
社区日志的显示信息如表1-18所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,登录、发表、注销等 |
|
帐号 |
社区的帐号 |
|
内容 |
社区的内容 |
|
系统 |
用户使用的操作系统以及使用平台 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-16所示。
社区日志查询的详细信息如表1-19所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
社区的行为 |
|
帐号 |
社区的帐号,支持模糊搜索 |
|
内容 |
社区的内容 |
|
日志级别 |
日志的级别 |
|
处理动作 |
日志的动作,放行或者阻断 |
搜索引擎日志记录着搜索引擎使用的信息,点击“日志查询 > 应用审计日志 > 搜索引擎日志”,进入搜索引擎日志的查询界面,如图1-17所示。
搜索引擎日志的显示信息如表1-20所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,搜索等 |
|
内容 |
搜索引擎的内容 |
|
系统 |
用户使用的操作系统以及平台信息 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-18所示。
搜索引擎日志查询的详细信息如表1-21所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
搜索引擎的行为 |
|
内容 |
搜索引擎的内容 |
|
处理动作 |
日志的动作,放行或者阻断 |
|
日志级别 |
日志的级别 |
邮件日志记录通过SMTP、IMAP、POP3收发邮件的信息,点击“日志查询 > 应用审计日志 > 邮件日志”,进入邮件日志的查询界面,如图1-19所示。
邮件日志的显示信息如表1-22所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
用户的mac信息 |
|
应用 |
应用的名称 |
|
发件人 |
邮件的发件人 |
|
收件人 |
邮件的接收人 |
|
主题 |
邮件主题 |
|
行为 |
邮件的行为 |
|
内容 |
邮件内容 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-20所示。
邮件日志查询的详细信息如表1-23所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户的mac地址 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
邮件的行为 |
|
发件人 |
邮件的发送者,支持模糊查询 |
|
收件人 |
邮件的接收者,支持模糊查询 |
|
主题 |
邮件的主题,支持模糊查询 |
|
日志级别 |
日志的级别 |
命令日志记录网盘和FTP、telnet使用的信息,点击“日志查询 > 应用审计日志 > 命令日志”,进入命令日志的查询界面,如图1-21所示。
命令日志的显示信息如表1-24所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
帐号 |
应用的帐号 |
|
行为 |
文件传输过程中的行为,如登录、下载文件等 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
文件 |
传输的文件名 |
|
系统 |
用户使用的操作系统 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-22所示。
命令日志查询的详细信息如表1-25所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户的mac地址 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
命令的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
文件 |
传输的文件名,支持模糊查询 |
|
处理动作 |
日志的动作,放行或者阻断 |
|
日志级别 |
日志的级别 |
娱乐/股票日志记录用户上网娱乐信息,如看视频、玩在线游戏、听音乐、炒股等行为,点击“日志查询 > 应用审计日志 > 娱乐/股票日志”,进入娱乐/股票日志的查询界面,如图1-23所示。
图1-23 娱乐/股票日志查询页面
娱乐/股票应用日志的显示信息如表1-26所示:
表1-26 娱乐/股票日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
系统 |
用户使用的操作系统 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-24所示。
图1-24 娱乐/股票日志查询界面
娱乐/股票日志查询的详细信息如表1-27所示。
表1-27 娱乐/股票日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户名称mac |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
其它应用的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
内容 |
应用的内容 |
|
处理动作 |
日志的动作,放行或者阻断 |
|
日志级别 |
日志的级别 |
其它应用日志是除了聊天软件、社区、邮件、搜索引擎、命令之外的应用审计日志,点击“日志查询 > 应用审计日志 > 其它应用日志”,进入其它应用日志的查询界面,如图1-25所示。
其它应用日志的显示信息如表1-28所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
系统 |
用户使用的操作系统 |
|
终端 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-26所示。
其它应用日志查询的详细信息如表1-29所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
其它应用的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
内容 |
应用的内容,支持模糊查询 |
|
处理动作 |
日志的动作,放行或者阻断 |
|
日志级别 |
日志的级别 |
· 配置一台日志服务器接收日志,IP地址是192.168.1.73,端口是9988。
· 配置本地不记录操作日志,并且将告警级别以上的操作日志发送到日志服务器。
图1-27 配置日志组网图
(1) 配置日志服务器,点击“系统管理 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,日志服务器的IP为192.168.1.73,端口为9988,并勾选启用,如图1-28所示。点击<提交>按钮,完成日志服务器的配置。
(2) 点击“系统管理 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,将操作日志后面的本地日志改为不记录,Server日志改为发送,告警,如图1-29所示。点击<提交>按钮,完成日志过滤的配置
执行告警级别以上的操作,不能从本地查询到操作日志,可以从日志服务器上查询到操作日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
