- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-日志中心
本章节下载: 05-日志中心 (288.49 KB)
日志中心
该功能用于展示系统采集到的日志的分析结果,不同类别的日志展示的关键字段不同,以便用户根据不同的日志类型关注不同信息。
日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他类”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。
本章包含如下内容:
· 新增过滤条件检索
· 搜索框检索
· 日志导出
· 日志类型说明
新增过滤条件用于通过选择指定日志字段,输入字段值的方式检索日志。
· 除通配符外,仅支持查询字母和数字。
· 字段值支持精确查询,也支持输入通配符进行模糊搜索。系统支持如下两种通配符:
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0,182.9.0.1……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0,182.9.0.1……182.9.0.255。
· 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段,只支持精确查找。
· 日志产生时间、开始时间、结束时间、采集器接收日志时间、agent日志采集时间等字段需要输入unix时间戳进行搜索。
· 最多仅支持新增10个过滤条件进行检索。
1. 选择“分析中心 > 日志中心”进入日志检索页面,选择要查询的日志类型。
2. 点击<新增过滤条件>按钮,选择需要过滤的字段、操作关系,并输入具体的值,点击<查询>按钮完成操作。
3. 例如,查看源IP为10.123.53.57的所有日志,查询方法如下图所示。
在搜索框中输入字符串进行检索时,支持以下几种输入方式:
· 通配符搜索
· 系统支持的通配符有以下两种,其中数值类型的查找项(如端口号)不支持通配符搜索,必须填写精确值。
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0,182.9.0.1……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0,182.9.0.1……182.9.0.255。
· 不指定字段检索
· 不指定字段检索,搜索内容必须加双引号,如下图所示。
· 指定字段检索
○ 单字段检索,如下所示。
○ 支持多字段组合检索,多个字段间需输入AND(只支持大写,不支持小写)。如下图所示。
○ 指定字段检索,支持输入通配符检索,如下图所示。
· 除通配符外,仅支持查询字母和数字。
· 引号前后加*或?会查询出所有日志,例如,输入"193.0.100"? 或?"193.0.100" 点击查询将展示所有日志。
· 对某些特殊字段值进行检索时,建议通过新增过滤条件方式进行检索。例如,搜索动作类型为允许的日志时,查询方法如下图所示。
· 通过搜索框检索特殊字段值时,建议先通过JSON查看该字段对应的数值再查询。例如,搜索动作类型为允许的日志时,查询方法如下图所示。
· 系统包含的特殊字段如下表所示:
|
字段名称 |
字段名称 |
字段名称 |
字段名称 |
|
协议 |
动作类型 |
日志等级 |
源资产价值 |
|
目的资产价值 |
源对象类型 |
目的对象类型 |
拦截标识 |
|
文件hash值类型 |
源内外网标识 |
目的内外网标识 |
源资产配置标识 |
|
目的内外网标识 |
源资产配置标识 |
目的资产配置标识 |
源资产类型 |
|
目的资产类型 |
主机操作系统类型 |
严重级别 |
特征命中方向 |
|
终端类型 |
应用软件执行行为 |
搜索引擎 |
告警类型 |
|
告警级别 |
执行结果 |
会话登录类型 |
流量日志分类 |
|
日志子分类 |
接入用户的行为 |
操作介质 |
操作分类 |
|
操作结果 |
操作子分类 |
性能监控类别 |
数据库类型 |
|
服务运行状态 |
操作动作类型 |
是否允许远程协助 |
远程桌面策略 |
|
访问方式 |
中间件类型 |
日志类型 |
病毒处理类型 |
|
病毒处理结果 |
产生日志设备IP类型 |
采集器IP类型 |
目的IP类型 |
|
源IP类型 |
用户登录IP类型 |
威胁行为 |
软件类型 |
|
操作动作 |
该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的十万条日志。
1. 选择“分析中心 > 日志中心”进入日志检索页面,按照需求查询需要的日志,单击<导出>按钮,系统会将满足查询条件的日志导出到excel表格中。
2.
点击页面右上角
按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。
系统解析后展示的日志类型如下:
· 安全日志
安全日志记录了用户网络中曾经发生的各种攻击事件信息,如攻击源、攻击目的、攻击事件等。安全日志包括漏洞利用日志、扫描侦查日志、恶意文件日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 网络审计日志
网络审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。网络审计日志包括IM日志、邮件日志、社区访问日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 数据库审计日志
数据库审计日志记录了网络中的数据库活动及用户访问数据库行为信息。方便管理员根据数据库活动情况制定管理策略,加强内外部数据库网络行为记录,提高数据资产安全。数据库审计日志包括规则审计日志、告警审计日志、行为审计日志等子类型日志。
· SSL VPN日志
SSL VPN日志记录了远程用户通过SSL VPN访问内网资源时的登录、登出及资源访问情况。 SSL VPN日志包括登录日志、认证日志、资源访问日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· DLP审计日志
DLP审计日志包括网络DLP审计日志和终端DLP审计日志,其中网络DLP主要审计内网用户向外部发送的邮件是否违反管理员预设的审计规则, 终端DLP审计内网的终端上的是否文件拷贝、USB插入等行为。以便管理员进行信息安全管理。
· Citrix审计日志
Citrix审计日志记录了用户的行为信息,可用于审计用户的违规行为。
· 安全检查审计日志
安全检查审计日志记录了通过各类设备或软件系统记录用户的行为信息,可用于审计用户的违规行为。
· 应用审计日志
应用审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。
· 运维审计日志
运维审计日志即堡垒机审计日志,记录了用户访问其他资产时的相关信息。
· 网络流量日志
网络流量日志记录了每条数据流产生的流量信息以及流向,管理员可通过流量日志信息为每条流制定合理、精确的管理策略。
· 接入授权日志
接入授权日志记录了通过接入授权设备接入网络的用户接入情况。管理员可通过该日志跟踪网络中用户接入授权情况。
· 安全策略日志
报文与安全策略成功匹配后就会输出安全策略日志,安全策略日志有利于管理员对于用户行为进行审计或者进行网络故障排查。
· 网元操作日志
网元操作日志包括登录、配置、认证及其他操作行为,通过查看操作日志信息可以跟踪管理员对设备的操作,有利于对管理员操作设备的行为进行审计以及进行设备故障排查。
· 数据库日志
数据库日志记录了数据库的各类运行信息,数据库日志包括性能监控日志、SQL运行日志、慢查询日志、数据库登录日志、用户信息变更日志、定时任务日志、错误日志、连接数信息日志、运行时长日志、其他日志。 通过这些日志信息,管理员可监控数据库运行状态。
· 终端系统日志
终端系统日志记录了终端主机上发生过的行为信息,如性能监控、用户登录登出、文件操作、进程操作等,方便管理员管理终端主机。
· 中间件日志
中间件日志记录了主机中间件的各类信息,中间件日志包括中间件访问日志、中间件启动日志、中间件运行异常错误日志、运行日志。 通过这些日志信息,管理员可监控监控中间件运行状态。
· 网元系统日志
网元系统日志页面记录了设备在运行过程中产生的相关日志信息,通过查看系统日志信息可以跟踪设备的运行过程、分析网络状况以及定位问题发生的原因,为进行故障诊断和维护提供依据。
· 终端审计日志
终端审计日志记录了终端主机发生过的网络访问行为信息,方便管理员管理终端主机。
· 终端杀毒日志
终端杀毒日志记录了终端主机上杀毒软件监控到的病毒信息,方便管理员了解终端主机感染病毒情况。
· 应用软件日志
应用软件日志记录了SVN服务器的错误日志、访问日志等信息,方便管理员对SVN服务器的访问行为进行审计以及故障排查。
· 其他
日志成功上报后,不支持解析的设备上报的日志或解析异常的日志将在“其他类”日志中展示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
