- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
51-日志
本章节下载: 51-日志 (2.01 MB)
目 录
日志是设备在运行过程中输出的信息,通过查看日志,管理员可以实时了解网络中各种业务的运行状态,掌握设备上各个功能模块的运行情况。
日志功能记录并输出各种日志信息,分别是系统日志、控制日志、审计日志、安全日志和终端日志。详细分类如表1-1所示。
|
日志分类 |
日志名称 |
描述 |
|
系统日志 |
系统日志 |
系统状态,如接口up、down事件 |
|
操作日志 |
系统操作信息,如对系统进行的命令操作 |
|
|
控制日志 |
应用控制日志 |
应用控制策略产生的日志 |
|
恶意URL日志 |
访问恶意网站产生的日志 |
|
|
审计日志 |
访问网站日志 |
访问网站产生的日志 |
|
IM聊天软件日志 |
IM 即时通讯信息产生的日志,如QQ、MSN等 |
|
|
社区日志 |
网络社区,微博、论坛等产生的日志 |
|
|
搜索引擎日志 |
搜索引擎产生的日志 |
|
|
邮件日志 |
通过SMTP、IMAP、POP3收发邮件的信息 |
|
|
文件传输日志 |
FTP等文件传输产生的日志 |
|
|
娱乐/股票日志 |
娱乐股票等信息 |
|
|
协议审计日志 |
基础协议审计产生的日志 |
|
|
其它应用日志 |
其它类型的应用日志,如P2P、网银等使用 |
|
|
安全日志 |
入侵防御日志 |
入侵检测策略产生的日志 |
|
安全防护日志 |
网络层攻击防护产生的日志 |
|
|
病毒防护日志 |
病毒防护策略产生的日志 |
|
|
WEB防护日志 |
WEB防护策略产生的日志 |
|
|
行为模型日志 |
行为模型策略产生的日志 |
|
|
防暴力破解日志 |
防暴力破解策略产生的日志 |
|
|
弱密码防护日志 |
弱密码防护策略产生的日志 |
|
|
非法外联防护日志 |
非法外联防护策略产生的日志 |
|
|
终端日志 |
共享接入日志 |
共享上网被惩罚阻断或限速的日志 |
|
用户上下线日志 |
认证用户上下线的日志 |
|
|
移动终端日志 |
移动终端接入的日志 |
|
|
流量限额日志 |
用户流量限额策略产生的日志 |
|
|
DDI终端用户日志 |
当开启DDI终端用户同步,DDI设备将终端上下线信息同步给设备后会产生DDI终端用户日志。 |
|
|
用户自注册日志 |
本地Web认证启用自注册后,终端用户在自注册页面提交注册申请产生的日志,以及管理员对自注册申请进行审批产生的日志。 |
|
|
终端审计日志 |
光驱刻录日志 |
记录终端客户使用刻录机刻录文件的日志,可以展示刻录驱动器名称、刻录盘名称、文件大小以及文件下载。 |
|
打印审计日志 |
记录终端客户使用打印的日志,可以展示终端客户的IP、MAC、打印时间、打印机名称、文件大小、文件名称、打印总页、打印分数以及文件下载。 |
|
|
USB设备识别日志 |
记录终端客户对USB设备识别的日志,可以展示终端客户的IP、MAC、事件类型、插拔时间、设备描述信息、设备类别以及设备类型。 |
|
|
蓝牙文件审计日志 |
记录终端客户使用蓝牙传输文件的日志,可以展示终端客户的IP、MAC、操作时间、文件名称、文件大小、操作类别以及文件下载。 |
|
|
蓝牙配对改变日志 |
记录终端客户使用蓝牙配对的日志,可以展示终端客户的IP、MAC、变更时间、设备地址、设备名称、设备类型以及变更类型。 |
|
|
网页浏览记录日志 |
记录终端客户浏览网页的日志,可以展示终端客户的IP、MAC、网页浏览时间、网页浏览URL、网站名称以及网页标题。 |
|
|
论坛发帖记录日志 |
记录终端客户论坛发帖的日志,可以展示终端客户的IP、MAC、发帖时间、帖子URL、帖子标题、作者以及文件下载。 |
|
|
邮件记录日志 |
记录终端客户邮件使用的日志,可以展示终端客户的IP、MAC、邮件接收/发送时间、邮件收发标志、邮件标题、邮件发送者、邮件接收者、邮件是否有附件、文件大小、文件名称、阅读标志以及文件下载。 |
|
|
聊天记录日志 |
记录终端客户使用聊天工具聊天的日志,可以展示终端客户的IP、MAC、消息时间、聊天会话信息、聊天记录类型、聊天工具类型、文件名称、文件大小以及文件下载。 |
|
|
应用程序使用日志 |
记录终端客户应用程序使用的日志,可以展示终端客户的IP、MAC、操作时间、日志类型、日志描述以及进程名称。 |
日志信息是根据日志信息的严重程度区分的,根据严重程度不同,日志的严重等级可以分为8级,日志的级别如表1-2所示。
|
级别 |
级别号 |
描述 |
|
紧急(emergencies) |
0 |
系统不可用信息 |
|
告警(alerts) |
1 |
需要立即处理的信息,如设备收到攻击等 |
|
严重(critical) |
2 |
危机的信息,如硬件出错 |
|
错误(errors) |
3 |
错误信息 |
|
警告(warnings) |
4 |
报警信息 |
|
通知(notifications) |
5 |
非错误信息,但需要特殊处理 |
|
信息(informational) |
6 |
通知信息 |
|
调试(debug) |
7 |
一般作为模块内部调试信息用 |
日志信息可以输出到不同的目的地,支持以下几种日志信息输出目的地,用户可以根据自己的需要指定。具体的日志输出如表1-3所示。
|
目的地 |
描述 |
|
server |
系统可以将日志发向syslog服务器 |
|
local |
默认情况下,系统将日志记录在本地数据库 |
点击“系统管理 > 系统设定 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,如图1-1所示。
日志服务器的详细配置表如表1-4所示:
|
配置项 |
说明 |
|
启用 |
是否启用日志服务器,只有当启用的情况下,日志服务器的配置才会生效。 |
|
服务器1IP地址 |
第一台日志服务器的IP地址,支持IPv4及IPv6地址。 |
|
服务器1端口 |
第一台日志服务器的端口号 |
|
服务器2IP地址 |
第二台日志服务器的IP地址,支持IPv4及IPv6地址。 |
|
服务器3端口 |
第二台日志服务器的端口号 |
|
服务器3IP地址 |
第三台日志服务器的IP地址,支持IPv4及IPv6地址。 |
|
服务器3端口 |
第三台日志服务器的端口号 |
|
蝶式交换算法 |
发送给日志服务器的内容是否通过蝶式交换算法进行传输,默认为不勾选。 |
|
源IP地址 |
日志的源IP地址 |
· 日志加密是为了防止在传输过程中泄露信息,和外置数据中心配合使用,发送给标准的日志服务器时不要启用日志加密。
· 如果没有特殊需求,不要配置日志的源IP,让系统自动选择,在配置有VPN的情况的下,如果想让日志通过VPN隧道发送出去,可以指定源接口IP为tunnel接口的IP地址。
日志过滤的功能是对已经产生的日志进行过滤:
· 已经产生的日志是否记录在本地。
· 哪种级别以上的日志,发送给远端的日志服务器。
点击“系统管理 > 系统设定 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,如图1-2所示:
日志过滤的详细配置如下表所示:
表1-5 日志过滤详细配置
|
配置项 |
说明 |
|
探针日志 |
配置是否发送探针格式日志: · 不开启表示syslog日志按照非探针格式发送到日志服务器 · 开启表示syslog日志按照探针预定义格式发送到日志服务器 缺省情况下,默认关闭探针日志,以非探针日志格式发送到日志服务器。 |
|
本地日志 |
配置是否记录本地日志 |
|
Server日志 |
配置日志是否发送到日志服务器 · 不发送表示不发送到日志服务器 · 发送,发送指定级别的日志到日志服务器,全部级别发送所有的日志到日志服务器 缺省情况下,本地不记录会话日志和NAT,其它类型的日志本地会记录,对发送到远端的日志不做过滤 |
选择“系统管理>系统设定>日志设定>日志保存期限”,可以设置日志保存的期限。
图1-3 日志保存期限设定
系统日志记录系统的状态信息,比如接口的up/ down、管理的登录、退出等。点击“数据中心 > 日志中心 > 系统日志”,进入系统日志的查询界面,如图1-4所示。
系统日志的显示信息如表1-6所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
日志内容 |
系统日志的内容 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-5所示。
系统日志查询的详细信息如表1-7所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志级别 |
选择一个或者多个级别的日志 · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
日志内容 |
系统日志的内容,支持模糊查询 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可导出所有系统日志。
图1-6 导出系统日志
操作日志记录着管理员对系统的操作,点击“数据中心 > 日志中心 > 操作日志”,进入操作日志的查询界面,如图1-7所示。
操作日志的显示信息如表1-8所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
操作管理员 |
进行操作的管理员的名称 |
|
操作员IP |
执行操作的管理员的IP,如果通过console操作设备,管理员IP是127.0.0.1 |
|
详细信息 |
管理员名称,操作的方式,操作的结果是成功还是失败 |
|
日志内容 |
管理员执行操作的内容 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-8所示。
操作日志查询的详细信息如表1-9所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
操作管理员 |
操作管理员的名称,支持模糊查询 |
|
操作员IP |
操作员的IP地址 |
|
日志的级别 |
选择一个或者多个级别的日志 · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
日志内容 |
操作日志的内容,支持模糊查询 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以下载所有操作日志到本地。
图1-9 导出操作日志
应用控制日志记录着应用控制策略产生的日志。点击“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,进入应用控制日志的查询界面,如图1-10所示。
应用控制日志的显示信息如表1-10所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac |
|
应用分类 |
应用的类别 |
|
应用 |
应用的名称 |
|
策略类型 |
控制策略的类型:应用控制、URL控制、搜索控制、邮件控制、虚拟账户控制等。 |
|
处理动作 |
设备的处理动作,允许或者阻断 |
|
终端类型 |
使用的终端类型,比如PC、iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
点击对应应用控制日志的<详细>按钮,可以查看日志的详细信息,如图1-11所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-12所示。
应用控制日志查询的详细信息如表1-11所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
用户 |
日志的用户 |
|
用户组 |
日志的用户所属的用户组 |
|
用户mac |
日志的用户mac信息 |
|
源地址 |
应用控制日志的源地址 |
|
目的地址 |
应用控制日志的目的地址 |
|
策略类型 |
控制策略的类型 |
|
应用 |
应用的名称 |
|
处理动作 |
设备的处理动作,放行或者阻断 |
|
日志级别 |
应用控制日志的级别 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以根据设定的日志开始、结束时间范围,导出相关的应用控制日志到本地。
恶意URL日志记录着访问恶意网站的信息,点击“数据中心 > 日志中心 > 控制日志 > 恶意URL日志”,进入恶意URL的查询界面,如图1-13所示。
图1-13 恶意URL日志查询页面
访问网站日志的显示信息如表1-12所示:
表1-12 恶意URL日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
访问网站的源mac地址 |
|
源地址 |
访问网站的源IP地址 |
|
目的地址 |
访问网站的目的IP地址 |
|
网站名 |
访问网站的域名 |
|
URL |
访问网站的URL |
|
终端类型 |
访问网站的终端类型,比如iPhone、iPad等 |
|
时间 |
访问网站的时间 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-14示。
图1-14 恶意URL日志查询界面
恶意URL日志查询的详细信息如表1-13所示。
表1-13 恶意URL日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户访问网站的mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
网站名 |
访问网站的域名,支持模糊搜索 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的访问网站日志到本地。
访问网站日志记录着所有访问网站的信息,点击“数据中心 > 日志中心 > 审计日志 > 访问网站日志”,进入访问网站日志的查询界面,如图1-15所示。
访问网站日志的显示信息如表1-14所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac信息 |
|
URL分类 |
访问网站的URL类别 |
|
网页标题 |
访问网站的标题 |
|
URL |
URL地址链接 |
|
级别 |
访问网站日志的级别 |
|
时间 |
访问网站的时间 |
点击对应访问网站日志的<详细>按钮,可以查看日志的详细信息,如图1-16所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-17所示。
访问网站日志查询的详细信息如表1-15所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
访问网站日志的源mac |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
URL分类 |
访问网站日志的URL分类 |
|
网页标题 |
访问网站的标题 |
|
URL |
URL地址链接 |
|
级别 |
日志的级别 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
IM聊天软件日志记录着IM聊天软件使用相关的信息,点击“数据中心 > 日志中心 > 审计日志 > IM聊天软件日志”,进入IM聊天软件日志的查询界面,如图1-18所示。
图1-18 IM聊天软件日志查询页面
IM聊天软件日志的显示信息如表1-16所示:
表1-16 IM聊天软件日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,比如登录、注销、收消息、发消息、发文件等 |
|
帐号 |
聊天软件的帐号 |
|
终端类型 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
点击对应IM聊天日志的<详细>按钮,可以查看日志的详细信息,如图1-19所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
图1-19 IM聊天软件日志详情
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-20所示。
图1-20 IM聊天软件日志日志查询界面
IM聊天软件日志查询的详细信息如表1-17所示。
表1-17 IM聊天软件日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
帐号 |
应用的帐号 |
|
日志级别 |
日志的级别 |
点击<查询>按钮之后,可以显示出符合设置的条件的日志。
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
社区日志记录着微博、BBS、博客等网络社区相关的信息,点击“数据中心 > 日志中心 > 审计日志 > 社区日志”,进入社区日志的查询界面,如图1-21所示。
社区日志的显示信息如表1-18所示:
|
配置项 |
说明 |
|
用户 |
产生日志的用户 |
|
用户mac |
产生日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,登录、发表、注销等 |
|
帐号 |
社区的帐号 |
|
内容 |
社区的内容 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
点击对应社区日志的<详细>按钮,可以查看日志的详细信息,如图1-22所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-23所示。
社区日志查询的详细信息如表1-19所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
社区的行为 |
|
帐号 |
社区的帐号,支持模糊搜索 |
|
内容 |
社区的内容 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
搜索引擎日志记录着搜索引擎使用的信息,点击“数据中心 > 日志中心 > 审计日志 > 搜索引擎日志”,进入搜索引擎日志的查询界面,如图1-24所示。
搜索引擎日志的显示信息如表1-20所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为,搜索等 |
|
内容 |
搜索引擎的内容 |
|
终端类型 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
点击对应日志的<详细>按钮,可以查看日志的详细信息,如图1-25所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-26所示。
搜索引擎日志查询的详细信息如表1-21所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
搜索引擎的行为 |
|
内容 |
搜索引擎的内容 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
邮件日志记录通过SMTP、IMAP、POP3收发邮件的信息,点击“数据中心 > 日志中心 > 审计日志 > 邮件日志”,进入邮件日志的查询界面,如图1-27所示。
邮件日志的显示信息如表1-22所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
用户的mac信息 |
|
应用 |
应用的名称 |
|
发件人 |
邮件的发件人 |
|
收件人 |
邮件的接收人 |
|
主题 |
邮件主题 |
|
行为 |
邮件的行为 |
|
内容 |
邮件内容 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-28所示。
邮件日志查询的详细信息如表1-23所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
邮件的行为 |
|
发件人 |
邮件的发送者,支持模糊查询 |
|
收件人 |
邮件的接收者,支持模糊查询 |
|
主题 |
邮件的主题,支持模糊查询 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
图1-29 导出邮件日志
命令日志记录网盘和FTP、telnet使用的信息,点击“数据中心 > 日志中心 > 审计日志 > 文件传输日志”,进入文件传输日志的查询界面,如图1-30所示。
文件传输日志的显示信息如表1-24所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
帐号 |
应用的帐号 |
|
行为 |
文件传输过程中的行为,如登录、下载文件等 |
|
文件 |
传输的文件名 |
|
终端类型 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击对应日志的<详细>按钮,可以查看日志的详细信息,如图1-31所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-32所示。
命令日志查询的详细信息如表1-25所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
命令的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
文件 |
传输的文件名,支持模糊查询 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
娱乐/股票日志记录用户上网娱乐信息,如看视频、玩在线游戏、听音乐、炒股等行为,点击“数据中心 > 日志中心 > 审计日志 > 娱乐/股票日志”,进入娱乐/股票日志的查询界面,如图1-33所示。
图1-33 娱乐/股票日志查询页面
娱乐/股票应用日志的显示信息如表1-26所示:
表1-26 娱乐/股票日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
终端类型 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-34所示。
图1-34 娱乐/股票日志查询界面
娱乐/股票日志查询的详细信息如表1-27所示。
表1-27 娱乐/股票日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户名称mac |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
其它应用的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
内容 |
应用的内容 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
协议审计日志记录基础网络协议的信息,如账号、文件名、命令操作等行为,点击“数据中心 > 日志中心 > 审计日志 >协议审计日志”,进入娱乐/股票日志的查询界面,如下图所示。
图1-35 娱乐/股票日志查询页面
协议审计日志的显示信息如下表所示:
表1-28 娱乐/股票日志显示信息描述表
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
账号 |
应用的账号 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击对应日志的<详细>按钮,可以查看日志的详细信息,在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
图1-36 协议审计日志详情
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如下图所示。
图1-37 协议审计日志查询界面
娱乐/股票日志查询的详细信息如下表所示。
表1-29 娱乐/股票日志查询详细信息
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户名称mac |
|
应用 |
应用的名称 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
其它应用日志是除了聊天软件、社区、邮件、搜索引擎、命令之外的应用审计日志,点击“数据中心 > 日志中心 > 审计日志 > 其它应用日志”,进入其它应用日志的查询界面,如图1-38所示。
其它应用日志的显示信息如表1-30所示:
|
配置项 |
说明 |
|
用户 |
日志的用户 |
|
用户mac |
日志的用户mac信息 |
|
应用 |
应用的名称 |
|
行为 |
应用的行为 |
|
终端类型 |
使用的终端类型,比如iPhone、iPad等 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
时间 |
日志产生的时间 |
|
操作 |
点击这些链接,可以查看日志详情 |
点击对应日志的<详细>按钮,可以查看日志的详细信息,如下图所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
图1-39 其它应用日志详情
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-40所示。
其它应用日志查询的详细信息如表1-31所示。
|
配置项 |
说明 |
|
开始时间 |
开始记录的时间点 |
|
结束时间 |
结束记录的时间点 |
|
用户 |
用户名称 |
|
用户mac |
用户mac信息 |
|
源地址 |
访问网站日志的源地址 |
|
目的地址 |
访问网站日志的目的地址 |
|
应用 |
应用的名称 |
|
行为 |
其它应用的行为 |
|
帐号 |
应用的帐号,支持模糊查询 |
|
内容 |
应用的内容,支持模糊查询 |
|
日志级别 |
日志的级别 |
点击<导出>按钮之后,可以根据设定的日志开始、结束时间范围,导出相关的日志到本地。
图1-41 导出其它应用日志
入侵防御日志记录着针对网络的IPS攻击的日志。点击“数据中心 > 日志中心 > 安全日志 > 入侵防御日志”,进入入侵防御日志的查询界面,如图1-42所示。
入侵防御日志的显示信息如表1-32所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
用户名称 |
用户名称 |
|
源地址 |
攻击的源IP地址 |
|
源端口 |
攻击的源端口 |
|
归属地 |
源地址所属归属地 |
|
目的地址 |
攻击的目的IP地址 |
|
目的端口 |
攻击的目的端口 |
|
X-Forwarded-For |
HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址 |
|
事件名称 |
IPS事件的名称 |
|
事件类型 |
IPS事件的类型 |
|
严重程度 |
IPS规则的严重程度,分为低、中、高和紧急 |
|
行为 |
设备的处理行为,分为允许和拒绝 |
|
抓包 |
如果IPS规则配置了抓包,则匹配到规则后进行抓包处理,点击<下载>可以下载抓包文件进行查看。 |
|
操作 |
点击<详细>,可以查看日志详情 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-43所示。
入侵防御日志查询的详细信息如表1-33所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志的级别 |
选择一个或者多个级别的日志 · 调试 · 信息 · 通知 · 警告 · 告警 |
|
事件名称 |
IPS事件的名称 |
|
用户名称 |
用户名称 |
|
事件类型 |
IPS事件的类型 |
|
严重程度 |
IPS规则的严重程度 |
|
行为 |
设备的处理行为 |
|
源地址 |
攻击的源IP地址及端口 |
|
目的地址 |
攻击的目的IP地址及端口 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有入侵日志到本地。
IPS入侵日志支持聚合,系统可将符合聚合规则(协议ID相同、特征规则ID相同)的日志信息进行聚合,从而减少日志数量,避免日志服务器接受冗余的日志信息。
点击“数据中心>日志中心>安全日志>入侵防御日志>日志聚合”进入日志聚合配置界面,可选择不聚合、按规则聚合、按源IP聚合、按目的IP聚合、按源目的IP聚合5种日志聚合方式。详细配置请参考“入侵防御”章节。
图1-44 日志聚合页面
告警规则主要针对记录IPS攻击的日志按照匹配条件进行syslog或者邮件告警。点击“数据中心 > 日志中心 > 安全日志 > 入侵防御日志>告警规则”,点击“新建”按钮进入告警规则的配置界面,如图1-45所示。
表1-34 入侵检测告警规则界面详细说明
|
配置项 |
说明 |
|
新建 |
新建入侵检测告警规则 |
|
删除 |
删除入侵检测告警规则 |
|
清除 |
清除入侵检测告警规则命中次数统计及日志 |
|
启用 |
启用入侵检测告警规则 |
|
禁用 |
禁用入侵检测告警规则 |
|
状态 |
显示告警规则启用或禁用状态 |
|
规则名称 |
自定义的告警规则名称 |
|
事件类型 |
IPS事件类型 |
|
动作 |
IPS事件处理行为,包括允许和拒绝 |
|
告警方式 |
支持syslog和邮件两种告警方式 |
|
级别 |
根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 告警 |
|
频率(秒) |
告警检测的时间阈值 |
|
日志条数 |
告警检测的IPS日志条数阈值 |
|
命中次数 |
告警检测命中次数统计 |
安全防护日志记录着针对网络层攻击的安全防护产生的日志。点击“数据中心 > 日志中心 > 安全日志 > 安全防护日志”,进入安全防护日志的查询界面,如图1-46所示。
安全防护日志的显示信息如表1-35所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
源MAC |
攻击报文的源MAC地址 |
|
源IP |
攻击的源IP地址及端口 |
|
源端口 |
攻击的源端口 |
|
归属地 |
攻击的归属地 |
|
目的IP |
攻击的目的IP地址 |
|
目的端口 |
攻击的目的端口 |
|
协议 |
攻击的协议类型 |
|
威胁名称 |
威胁的名称 |
|
威胁类型 |
威胁的类型。总共有4种类型: · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击 |
|
攻击次数 |
发生攻击的次数 |
|
接口 |
发生攻击的接口 |
|
开始时间 |
发生攻击的开始时间 |
|
结束时间 |
发生攻击的结束时间 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-47所示。
安全防护日志查询的详细信息如表1-36所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志的级别 |
选择一个或者多个级别的日志 · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
源IP地址 |
攻击的源IP地址 |
|
目的IP地址 |
攻击的目的IP地址 |
|
源MAC |
攻击报文的源MAC地址 |
|
威胁名称 |
攻击的名称 |
|
威胁类型 |
威胁的类型。总共有4种类型: · 异常包攻击 · 扫描攻击 · Flood攻击 · ARP攻击 |
|
协议 |
攻击的协议类型,比如TCP、UDP、ICMP等 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有安全防护日志到本地。
病毒防护日志记录着针对网络的AV攻击的日志。点击“数据中心 > 日志中心 > 安全日志 > 病毒防护日志”,进入病毒防护日志的查询界面,如图1-48所示。
病毒防护日志的显示信息如表1-37所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
用户名称 |
用户名称 |
|
源地址 |
攻击的源IP地址 |
|
源端口 |
攻击的源端口 |
|
目的地址 |
攻击的目的IP地址 |
|
目的端口 |
攻击的目的端口 |
|
归属地 |
攻击的源IP所属归属地 |
|
病毒名称 |
病毒的名称 |
|
文件名 |
包含病毒的文件名称 |
|
协议类型 |
协议类型,分为以下几个: · HTTP · FTP · IMAP · POP3 · SMTP |
|
行为 |
设备的处理行为,包括允许或阻断 |
|
病毒类型 |
攻击的病毒类型 |
|
操作 |
点击可查看日志详细信息 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-49所示。
病毒防护日志查询的详细信息如表1-38所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
病毒类型 |
病毒的类型 |
|
病毒名称 |
病毒的名称 |
|
文件名 |
包含病毒的文件名称 |
|
用户名称 |
用户名称 |
|
行为 |
设备的处理行为 |
|
源地址 |
攻击的源IP地址 |
|
目的地址 |
攻击的目的IP地址 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<重置>按钮之后,可以重置查询条件。
点击<导出>按钮后,可以导出所有病毒防护日志到本地。
WEB防护日志记录着针对网络的WEB攻击行为。点击“数据中心 > 日志中心 > 安全日志 > WEB防护日志”,进入WEB防护日志的查询界面,如图1-50所示。
规则防护日志的显示信息如表1-39所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 |
|
源地址 |
攻击的源IP地址 |
|
归属地 |
攻击的源IP地址所属归属地 |
|
请求方法 |
攻击的请求方法 |
|
请求URL |
攻击的请求URL |
|
事件类型 |
WEB防护事件的类型 |
|
事件描述 |
事件的描述 |
|
处理动作 |
事件的处理动作 |
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如图1-51所示。
规则防护日志查询的详细信息如表1-40所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
事件类型 |
WEB防护事件的类型 |
|
处理动作 |
事件处理的动作 |
|
规则ID |
规则防护策略ID |
|
事件描述 |
事件的描述 |
|
源地址 |
攻击的源IP地址 |
|
目的地址 |
攻击的目的IP地址 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有网络层攻击日志到本地。
图1-52 导出规则防护日志
WEB高级防护日志记录着针对网络的高级防护攻击行为。点击“数据中心 > 日志中心 > 安全日志 > WEB防护日志>高级防护日志”,进入高级防护日志的查询界面,如图1-53所示。
高级防护日志的显示信息如表1-41所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 |
|
源地址 |
攻击的源IP地址 |
|
归属地 |
攻击的源IP地址所属归属地 |
|
请求方法 |
攻击的请求方法 |
|
请求URL |
攻击的请求URL |
|
事件类型 |
WEB防护事件的类型 |
|
事件描述 |
事件的描述 |
|
处理动作 |
事件的处理动作 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-54所示。
高级防护日志查询的详细信息如表1-42所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
事件类型 |
高级防护事件的类型 |
|
处理动作 |
事件处理的动作 |
|
源地址 |
攻击的源IP地址 |
|
目的地址 |
攻击的目的IP地址 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有高级防护日志到本地。
图1-55 导出高级防护日志
行为模型日志记录着针对网络的行为模型攻击行为。点击“数据中心 > 日志中心 > 安全日志 > 行为模型日志”,进入行为模型日志的查询界面,如图1-56所示。
行为模型日志的显示信息如表1-43所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
源地址 |
攻击的源IP地址 |
|
源端口 |
攻击的源端口 |
|
目的地址 |
攻击的目的IP地址 |
|
目的端口 |
攻击的目的端口 |
|
归属地 |
攻击的目的地址所属归属地 |
|
协议类型 |
协议类型,比如TCP、UDP、ICMP等 |
|
行为类型 |
行为类型,比如DNS隧道等 |
|
详细信息 |
行为模型攻击的详细信息 |
|
行为描述 |
行为模型攻击的描述 |
|
动作 |
设备处理动作 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-57所示。
行为模型日志查询的详细信息如表1-44所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 紧急 · 告警 · 严重 · 错误 · 警告 · 通知 · 信息 · 调试 |
|
动作 |
设备处理的行为 |
|
源IP地址 |
攻击的源IP地址 |
|
目的IP地址 |
攻击的目的IP地址 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有行为模型日志到本地。
防暴力破解日志记录着针对网络的防暴力破解攻击行为。点击“数据中心 > 日志中心 > 安全日志 > 防暴力破解日志”,进入防暴力破解日志的查询界面,如图1-59所示。
防暴力破解日志的显示信息如表1-45所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
源地址 |
攻击的源IP地址 |
|
归属地 |
攻击的源IP地址所属的归属地 |
|
目的地址 |
攻击的目的IP地址 |
|
服务 |
防暴力破解服务类型 |
|
破解成功 |
破解是否成功 |
|
破解账号 |
破解的账号名称 |
|
防御动作 |
设备处理的行为 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-60所示。
防暴力破解日志查询的详细信息如表1-46所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
源IP地址 |
攻击的源IP地址 |
|
目的IP地址 |
攻击的目的IP地址 |
|
服务 |
防暴力破解服务类型 |
|
破解成功 |
破解是否成功 |
|
破解账号 |
破解的账号名称 |
|
防御动作 |
设备处理的行为 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有防暴力破解日志到本地。
图1-61 导出防暴力破解日志
弱密码防护日志记录着针对网络的弱密码防护行为。点击“数据中心 > 日志中心 > 安全日志 > 弱密码防护日志”,进入弱密码防护日志的查询界面,如图1-62所示。
弱密码防护日志的显示信息如表1-47所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
源地址 |
攻击的源IP地址 |
|
服务器地址 |
服务器IP地址 |
|
服务 |
防护的服务类型 |
|
用户名称 |
登录的用户名 |
|
弱密码类型 |
弱密码的类型 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-63所示。
弱密码防护日志查询的详细信息如表1-48所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
源地址 |
攻击的源IP地址 |
|
服务器地址 |
服务器的IP地址 |
|
服务 |
防护的服务类型 |
|
用户名称 |
登录的用户名 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有弱密码防护日志到本地。
非法外联防护日志记录着针对网络的非法外联防护攻击行为。点击“数据中心 > 日志中心 > 安全日志 >非法外联防护日志”,进入非法外联防护日志的查询界面,如图1-65所示。
非法外联防护日志的显示信息表1-49如所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
名称 |
非法外联防护策略名称 |
|
服务器地址 |
服务器IP地址 |
|
外联地址 |
服务器主动外联地址 |
|
归属地 |
服务器主动外联地址所属归属地 |
|
端口 |
服务器主动外联的端口 |
|
协议 |
服务器主动外联地址的协议,比如TCP、UDP、ICMP等 |
|
行为 |
设备处理动作 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-66所示。
非法外联防护日志查询的详细信息表1-50如所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
名称 |
非法外联防护策略名称 |
|
服务器地址 |
服务器IP地址 |
|
外联地址 |
服务器主动外联地址 |
|
行为 |
设备处理的动作 |
|
协议 |
服务器主动外联地址的协议,比如TCP、UDP、ICMP等 |
|
端口 |
服务器主动外联的端口 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可以导出所有非法外联防护日志到本地。
图1-67 导出非法外联防护日志
用户上下线日志记录认证用户上下线的日志信息,点击“数据中心 > 日志中心 > 终端日志 > 用户上下线日志”,进入用户上下线日志日志的查询界面,如图1-68所示。
用户上下线日志的显示信息如表1-51所示:
|
配置项 |
说明 |
|
时间 |
日志产生的时间 |
|
日志级别 |
根据严重程度的不同,日志分为以下几个级别: · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
日志内容 |
用户上下线日志的内容 |
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志,如图1-69所示。
用户上下线日志查询的详细信息如表1-52所示。
|
配置项 |
说明 |
|
开始时间 |
日志的最早发生时间 |
|
结束时间 |
日志的最晚发生时间 |
|
日志级别 |
选择一个或者多个级别的日志 · 调试 · 信息 · 通知 · 警告 · 错误 · 严重 · 告警 · 紧急 |
|
日志内容 |
用户上下线日志的内容,支持模糊查询 |
点击<查询>按钮之后,可以显示出符合设置条件的日志。
点击<导出>按钮后,可导出所有系统日志。
图1-70 导出用户上下线日志
通过菜单“数据中心 > 日志中心 > 终端日志 > 共享接入日志”,进入如图1-71所示页面。在该页面上可以查看设备监控共享上网被惩罚阻断或限速的日志。
共享接入日志各项参数含义如表1-53所示。
|
标题项 |
说明 |
|
用户名 |
显示设备存储ip地址对应的用户名。 |
|
所属组 |
显示设备存储用户加入的用户组。 |
|
IP |
显示终端IP地址。 |
|
用户mac |
显示终端MAC地址。 |
|
终端数量 |
共享设备下面的终端数量。 |
|
惩罚方式 |
惩罚方式只有阻断或限速两种。 |
|
发现时间 |
显示发现共享接入用户的时间。 |
|
操作 |
选择详细可查看共享终端用户的识别明细。 |
通过菜单“数据中心 > 日志中心 > 终端日志 > 移动终端日志”,进入如图1-72所示页面。在该页面上可以查看移动终端接入的日志信息。
移动终端日志各项参数含义如表1-54所示。
|
标题项 |
说明 |
|
用户名 |
设备记录的移动终端用户名。 |
|
IP地址 |
设备记录的移动终端IP地址。 |
|
所属组 |
移动终端用户所属用户组。 |
|
终端类型 |
设备记录的移动终端型号。 |
|
状态 |
移动终端状态: · 正常:只检测,不进行冻结; · 冻结:移动终端被冻结。 |
|
发现时间 |
移动终端检测发现的时间。 |
|
操作 |
选择详细可查看移动终端日志的明细。 |
通过菜单“数据中心 > 日志中心 > 终端日志 > 流量限额日志”,进入流量限额日志页面。在该页面上可以查看用户流量限额策略产生的日志信息。
图1-73 流量限额日志
移动终端日志各项参数含义如下表所示。
表1-55 移动终端日志含义表
|
标题项 |
说明 |
|
用户名 |
产生日志的终端用户名。 |
|
所属组 |
用户所属的用户组名称。 |
|
用户mac |
产生日志的用户MAC地址。 |
|
策略名称 |
匹配到的用户限额策略名称。 |
|
行为类别 |
行为类别,如违规行为等。 |
|
事件类型 |
流量限额事件的类型,如流量违规等。 |
|
动作 |
设备的处理动作 |
|
级别 |
日志的级别 |
|
时间 |
日志产生的时间。 |
|
操作 |
选择详细可查看日志的明细。 |
设备与EBM对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计。终端审计日志记录终端审计产生日志,包括光驱刻录日志、打印审计日志、USB设备识别日志、蓝牙文件审计日志、蓝牙配对改变日志、网页浏览记录日志、论坛发帖记录日志、邮件记录日志、聊天记录日志、应用程序使用日志。
图1-74 光驱刻录日志
点击“下载”可以将传送的文件和图片下载到本地。
点击“详细”进行查看聊天的内容,如下图所示。
点击<查询>按钮,可以根据设定的条件,查询关心的日志,如下图所示。
图1-76 日志过滤
日志支持导出功能,审计日志、应用控制日志、恶意URL日志等可以根据时间范围选择要导出的日志;系统日志、操作日志可以直接导出全部查询结果。
在导航栏中选择“数据中心>日志中心>系统日志”,进入系统日志页面,如图1-77所示。
表1-56 系统日志界面详细说明
|
项目 |
说明 |
|
查询 |
查询日志 |
|
导出 |
导出日志 |
单击<导出>,可以导出CSV格式的日志,如图1-78所示。
在导航栏中选择“数据中心>日志中心>审计日志>IM聊天软件日志”,进入IM聊天软件日志页面,如图1-79所示。
图1-79 IM聊天软件日志页面
表1-57 IM聊天软件日志界面详细说明
|
项目 |
说明 |
|
查询 |
查询日志 |
|
重置 |
重置到初始页面 |
|
导出 |
导出日志 |
单击<导出>,在弹出的过滤框中选择需要导出的日志的时间范围,单击<导出>,即可将对应时间段的日志压缩包下载到本地。解压缩后,可以看到带有日期信息的CSV文件。如图1-80、图1-81所示。
· 配置一台日志服务器接收日志,IP地址是192.168.1.73,端口是9988。
· 配置本地不记录操作日志,并且将告警级别以上的操作日志发送到日志服务器。
图1-82 配置日志组网图
(1) 配置日志服务器,点击“系统管理 > 系统设定 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,日志服务器的IP为192.168.1.73,端口为9988,并勾选启用,如图1-83所示。点击<提交>按钮,完成日志服务器的配置。
点击“系统管理 > 系统设定 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,将操作日志后面的本地日志改为不记录,Server日志改为发送,告警,如图1-84所示。点击<提交>按钮,完成日志过滤的配置
执行告警级别以上的操作,不能从本地查询到操作日志,可以从日志服务器上查询到操作日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
