07-威胁日志
本章节下载: 07-威胁日志 (279.72 KB)
· 特性简介
· 配置指南
○ 查看详情
○ 下载捕获文件
○ 加入白名单
○ 日志导入
○ 日志导出
○ 日志聚合
威胁日志用来查看入侵防御和防病毒等网络威胁的检测和防御情况的记录,了解曾经发生和正在发生的威胁事件,方便管理员调整相应的策略,更好地防护内网安全。
威胁日志的展示功能需要在入侵防御配置文件和防病毒配置文件中开启日志功能后生效,当报文与入侵防御配置文件或防病毒配置文件成功匹配后将输出日志到威胁日志页面。
· 日志的导入、导出和删除操作,不能同时进行。同一时间只能选择一种操作方式。
· 同一时间,只能有一个用户对日志进行导入、导出或删除的操作。
· 当查询多天的日志时,页面默认展示第一天的日志,用户可单击<前一天>和<后一天>按钮,切换日期,查看指定日期的日志信息。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
威胁日志中可查看日志详情,用户可单击指定日志前的详情按钮,在弹出的详情页面中查看日志的详细信息。其中,威胁名称和报文详情中部分字段显示内容可能较多,用户可以将鼠标移到对应字段,查看悬浮信息,也可通过单击<复制>按钮,在弹出的复制窗口中获取完整的内容。
当入侵防御功能执行捕获动作后,设备将生成捕获文件。当设备上安装了硬盘后,用户可通过单击指定日志右侧的<下载>按钮,获取捕获文件,方便用户分析威胁信息。其中,用户还需要在CLI界面中配置捕获报文时缓存的报文数量(即在系统视图下配置ips capture-cache number命令),仅当配置了该命令后,设备才对入侵防御捕获的报文进行缓存。
当发现入侵防御日志中存在误报的情况时,可单击指定日志右侧的<加入白名单>按钮,将误报日志中提取到的威胁ID(入侵防御特征ID)和URL加入白名单。设备将对匹配白名单的报文放行,可以减少误报。
日志支持导入功能,用户可单击<导入>按钮,在弹出的提示框中单击<是>,进入导入界面。在界面选择导入的日志文件并输入日志文件的密码,即可将日志导入设备中。
日志支持导出功能,具体步骤如下:
1. 单击<高级查询>按钮,配置日志的查询条件,筛选出需要导出的日志。
2. 单击<导出>按钮,进入“导出日志”页面。
3. 配置日志导出参数,具体参数如下表所示:
表-1 日志导出参数表
参数 |
说明 |
设置密码 |
日志文件会被加密导出,导出后的文件需要输入设置的密码才可以查看 |
导出范围 |
通过配置查询条件筛选出日志后,页面会按天显示对应的日志。用户可以选择导出指定范围内的日志 · 所有结果:表示导出所有筛选出的日志,页面中会显示出可导出的日志总条数 · 当天结果:表示仅导出当前显示的某一天的日志,用户可以选择导出 |
4. 完成日志导出参数的配置后,用户可以根据日志数量选择不同的导出方式,支持的方式如下:
○ 一键导出:一键导出是指一次性将日志导出到一个文件中,此方式适用于日志数量较少的场景。
○ 分批导出:分批导出是指分多个批次将日志导出到多个文件中,此方式适用于日志数量较多(大于65000条)的场景。
5. 当选择一键导出时,在弹出的提示框中单击<确认>按钮,即可一键导出日志。
6. 当选择分批导出时,需要在弹出的提示框中配置每个导出文件中可导出的日志条数,配置完成后,单击<确定>按钮,即可分批导出日志。当一个文件导出完成后,页面中将弹出提示框,确认是否继续导出余下的日志,可单击<是>按钮,继续导出日志。如果想要停止导出后续日志,可单击<否>按钮。
开启日志聚合功能后,设备将对指定聚合时间内采集到的满足相同聚合条件的业务日志进行聚合,可以减少Web界面中展示的日志条目,方便用户对日志进行查看。其中,日志聚合条件包括:源IP地址、目的IP地址、应用、源端口、目的端口、威胁ID、威胁名称和威胁类型。
具体配置步骤如下:
1. 单击<日志聚合配置>按钮,进入日志聚合配置页面。
2. 勾选开启复选框,并配置聚合时间。
3. 单击<确定>按钮,完成配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!