07-日志功能典型配置
本章节下载: 07-日志功能典型配置 (957.81 KB)
目录
本文档介绍设备的日志功能配置举例,包括日志的记录、外发和管理。
设备共有五种类型日志,分别为系统日志、操作日志、安全日志、审计日志、终端日志,可以分别记录如下类型日志:
· 系统日志:记录系统状态变化信息,如接口状态变化、HA状态变化、管理员登录登出日志等。
· 操作日志:记录管理员对系统的操作和修改日志。
· 安全日志:记录的日志包括异常包攻击日志、Flood攻击日志、恶意URL日志以及应用控制日志等。
· 审计日志:记录的日志类型包括访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志和其它应用日志。
· 终端日志:记录了用户终端相关的日志,如用户上下线日志、共享介入日志、移动终端日志等。
设备的日志级别表示日志的重要性,用户可以手工设置日志级别。目前设备的支持的日志级别从高到低,共有紧急、告警、严重、错误、警告、通知、信息和调试八种,当审计日志中配置的日志级别高于日志过滤中配置的发送级别时,日志方可被发送给第三方日志服务器。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解设备日志特性。
· 设备的审计日志和控制日志存储位置为硬盘,操作日志和系统日志存储位置为Flash芯片,其它日志(包括部分安全日志、终端日志)在设备有硬盘时存储到硬盘中,没有硬盘时存储在Flash芯片中。
· 当日志占用空间超过磁盘容量的85%时,凌晨4点触发删除日志后,日志可正常入库,但因为汇聚表被删除,安全分析模块不可用。超过磁盘的90%时,触发删除日志后,数据库状态为pending,所有模块日志均停止入库,不再记录日志,直到删除完成为止。
· 对于无硬盘设备,所有支持的日志的规格都是50万条。即:单日日志记录不能超过50万,累积日志记录也不能超过50万条。
· 对于有硬盘设备,系统日志和操作日志的规格是150万条。单日日志记录不能超过150万,累积日志记录也不能超过150万条。
· 对于有硬盘设备,除系统日志和操作日志外,没有规格限制。单日日志记录条数无限制,累积日志记录也无限制(但是会受制于磁盘容量限制)。
· 探针日志中,加密流量的TCP统计日志,目前只统计具备SSL/TLS 协议的TCP会话流。
· 探针功能开启后,会话日志、审计日志和安全日志的日志内容和格式将按探针日志格式发送,探针日志包括会话日志、加密流量TCP统计日志encrypted_traffic、访问网站日志,IM聊天日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、协议审计日志,其它应用日志(DNS日志、telnet日志、LDAP日志、ssl加密日志、login日志)、安全防护中的扫描行为、入侵检测日志、病毒防护日志、防暴力破解日志、弱密码防护日志、行为模型日志,非法外联日志。其中,会话日志和ssl日志会影响性能,系统默认为不发送,如需发送可在日志过滤页面进行设置。
如图1所示,设备的以透明模式串接在某公司网络的核心交换机和出口路由器之间,具体应用需求如下:
· 设备的开启日志审计功能,设备的使用的IP地址为192.168.1.1/24,日志服务器的IP地址为192.168.1.73/24,日志使用默认的UDP 514端口发送。
· 需要审计的日志为:应用审计日志、网站访问日志、安全防护日志和系统日志,上述日志的日志级别分别为信息、信息、警告、通知。
· 设备在本地记录日志,同时将日志发送到日志服务器。
· 将设备上的日志支持导出到PC。
设备正确部署在网络中,内网用户可以正常上网。
· 设备的配置审计策略。
· 设备的开启网络层攻击防护功能,安全防护日志会自动记录。
· 在日志服务器中填写日志分析与管理平台的IP地址。
· 在日志过滤中选择需要记录的日志类型以及发送日志的级别。
本举例是在设备的R6616版本上进行配置和验证的。
· 当需要将审计日志发送至外部日志服务器时,需要注意审计日志中配置的日志级别需要高于日志过滤中配置的发送级别。
· 如果只需要在设备本地记录日志,则无需配置日志服务器。
· 配合日志分析与管理平台收集日志时,可选择将日志加密,防止日志遭到窃取。
· 导出文件形式为压缩包,当导出日志中某一天无日志记录时不生成该日期的空内容导出文件。
· 不查询直接导出日志:导出的是所有日志。最多支持导出100万条数据(即如果日志量超过100万条,则导出最近的100万条日志),最多导出180天的数据(即如果日志量跨度超过180天,则导出最近的180天的日志)。
· 查询后导出日志:导出的是经过查询后的日志。最多支持导出100万条数据(最新的)。
· 不支持附件及附件内容的导出(例如:邮件附件内容及附件)。
· 导出文件存储格式为csv格式,文件内容编码格式为GBK,可直接使用excel打开,使用其它文本查看工具时请注意编码类型,以免中文内容显示为乱码。
(1) 配置审计策略
如图2所示,进入“策略配置>审计策略”,单击<新建>,基础配置保持默认的全any,接着配置“审计对象”。
图2 配置审计策略基础配置
(2) 配置审计对象
如图3所示,在审计策略的审计对象部分,勾选所有的应用分类。
(3) 配置高级配置
如图4所示,单击“高级配置”部分,选择时间为“always”,日志级别为“信息”,终端为“any”。最后提交配置。
图4 配置高级配置
如图5所示,创建成功的审计策略如下。
如下图所示,进入“策略配置>控制策略”,单击<新建>,在控制策略新建页面勾选“启用”,选择行为为“允许”,匹配条件保持默认即可。
选择URL过滤页面,在URL控制项中单击<新建>,在弹出的配置框中勾选“启用规则”,URL分了选择“全部”,处理动作选择“允许”,日志级别选择“信息”,然后单击<提交>,配置后如下图所示。
图6 控制策略-URL控制
在恶意URL项中勾选“过滤”选项,其它保持默认,最后提交配置。
图7 控制策略-恶意URL
配置完成后,控制策略列表显示如下。
图8 控制策略
如图9所示,进入“策略配置>安全设置>安全防护> ARP/ND攻击防护>防ARP欺骗”,勾选“主动防护”,并单击<提交>。
如图10所示,进入“策略配置>安全设置>安全防护> ARP/ND攻击防护> ARP/ND Flood攻击”,勾选“启用防ARP Flood”,单击<提交>。
如图11所示,进入“策略配置>安全设置>安全防护>异常包攻击防御”,在相应的选项上打钩,并单击<提交>。
如图12所示,进入“系统管理>日志设定>日志过滤”,在本地日志处单击“记录”,系统日志级别选择“通知”,安全日志发送级别选择“警告”,单击<提交>。
如图13所示,单击“高级配置”,配置记录和发送上网行为日志,选择级别为“信息”,单击<提交>。
如图14所示,进入“系统管理>日志设定>日志服务器”,配置服务器1的IP地址的为192.168.1.73,端口保持为默认的514,并打开启用开关,单击<提交>。
图14 配置日志服务器
(1) 验证本地日志
如图15所示,在设备的本地,进入“数据中心>日志中心>系统日志”,可以看到本地收集系统日志正常。
单击<导出>,可以导出CSV格式的日志,打开后可以看到和实际的日志一致。
图16 导出的日志
如图17所示,在设备的本地,进入“数据中心>日志中心>审计日志>IM聊天软件日志”,可以看到本地收集IM聊天软件日志正常。
图17 设备的本地记录IM聊天软件日志
根据查询条件查询后,单击<导出>,在弹出的过滤框中输入加密密码,单击<导出>,即可将对应查询条件的日志压缩包下载到本地。解压缩后,可以看到所有打的CSV文件。
CSV文件中的日志内容与实际日志内容一致。
图20 审计日志导出内容
如图21所示,在设备的本地,进入“数据中心>日志中心>审计日志>访问网站日志”,可以看到本地收集网站访问日志正常。和IM聊天软件日志一样,该日志也支持输入查询条件查询后进行导出,不再赘述。
(2) 验证本地日志查询
如图22所示,在上述访问网站日志页面单击查询,可根据多种条件进行过滤查询,将“URL”配置为baidu,单击<查询>。
如图23所示,可以看到日志正确返回URL均中含有baidu的日志。
图23 查询到URL中含有baidu的日志
在日志服务器上,可以查看设备发送到日志服务器的日志信息,如图24所示。
图24 日志服务器日志文件信息
如图25所示,设备以旁路模式部署在网络中,交换机配置端口端口镜像功能,将上联口的双向流量镜像到镜像口,ge2作为旁路接口,用于接收交换机上镜像过来的流量,ge1口作为管理口,IP地址为192.168.2.1/24,通过ge1口将探针日志发送到日志服务器,设备将访问网站日志以探针格式发送到日志服务器。
(1) 按照组网图组网。
(2) 配置管理口IP地址。
(3) 配置旁路部署。
(4) 配置应用识别。
(5) 配置审计策略。
(6) 开启探针模式。
(7) 配置发送日志服务器。
本举例是在R6616版本上进行配置和验证的。
(1) 配置管理口IP地址
在导航栏中选择“网络配置>接口配置>物理接口”,配置ge1管理口IP地址,如下图所示。
图26 配置管理口IP地址
(2) 配置旁路部署
在导航栏中选择“网络配置>基础网络>部署方式”,ge2口配置旁路部署,如下图所示。
图27 配置旁路部署
(3) 配置应用识别
在导航栏中选择“用户管理>认证管理>高级选项”,配置识别范围为any,识别模式为启发模式,如下图所示。
图28 配置识别范围
(4) 配置审计策略
在导航栏中选择“策略配置>审计策略”,进入审计策略页面,单击<新建>,选择审计对象,其它配置保持默认,如下图所示。
图29 配置HTTP类审计对象
(5) 开启探针模式
在导航栏中选择“系统管理>日志设定>日志过滤”,开启探针日志,配置网站访问日志本地记录,并将日志发送到日志服务器,如下图所示。
图30 开启探针模式
图31 网站访问日志本地记录,并将日志发送到日志服务器
(6) 配置日志服务器
导航栏中选择“系统管理>日志设定>日志服务器”,单击启用,配置日志服务器IP地址及服务器端口,如下图所示。
图32 配置日志服务器
下联口PC访问www.baidu.com,设备产生网站访问日志,如图33所示;并以探针日志格式发送到日志服务器,如图34所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!