日志管理

本帮助主要介绍以下内容:

特性简介

日志信息是设备记录的对报文处理的相关信息。网络管理员利用这些信息即可以有效监控网络运行情况和诊断网络故障;也可以实时跟踪、记录、分析用户访问网络的情况,审计用户的上网行为。设备支持输出日志的方式包括:输出到本地、输出到日志主机(包含快速日志主机和系统日志主机)。

图-1 日志输出示意图

输出到本地

输出到本地即将业务日志信息发送到数据分析中心,DAC(Data Analysis Center,数据分析中心)提供了业务日志信息的数据挖掘和可视化展示服务。它支持日志信息存储与分析、流量监控和报表分析功能,可帮助用户清晰地了解业务流量分布情况以及网络安全现状,为用户制定各业务策略提供了有力的数据支持。用户可以在Web界面的“概览”和“监控”页面上查看到数据分析中心汇总、分析后的数据。

输出到日志主机

快速日志主机

输出到快速日志主机用于快速地将用户关心的日志发往快速日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。建议将业务类日志发送到快速日志主机,如NAT日志,AFT日志等。

系统日志主机

信息中心是设备的信息枢纽,它接收各模块生成的日志信息,能够按模块和等级将收到的日志信息输出到控制台、监视终端、日志主机等方向,为管理员监控设备运行情况和诊断网络故障提供了有力的支持。输出到系统日志主机即设备通过信息中心将各模块生成的日志信息按模块和等级输出到日志主机。建议将设备运行事件类日志发送到系统日志主机,如系统日志、配置日志等。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

配置限制和指导

设备支持通过系统日志和快速日志方式将某些业务模块的日志发送给日志主机,这些日志发送方式按优先级从高到低的顺序依次为:快速日志 > 系统日志。对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。

配置指南

配置思路

日志管理的配置思路如下图所示:

图-2 输出到本地配置思路图

图-3 输出到日志主机配置思路图

配置准备

在配置本特性之前,需要完成以下任务:

  • 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

  • 配置路由,保证路由可达。路由在“网络 > 路由”页面配置。

  • 创建安全域。安全域在“网络 > 安全域”页面配置。

  • 配置接口加入安全域。可在安全域页面添加接口,也可在接口页面选择接口所属的安全域。

  • 配置安全策略,放行业务流量。安全策略在“策略 > 安全策略”页面配置。

日志信息输出到本地

管理员可以自定义需要输出到本地数据中心的日志业务,并通过WEB监控的日志菜单下的展示页面查看到相关的日志信息。

日志信息输出到本地的具体配置步骤如下:

  1. 单击“系统 > 日志设置 > 日志管理”,进入“日志管理”页面。

  2. 在“日志管理”页面,选择“输出到本地”页签。

    图-4 输出到本地功能示意图

    表-1 输出到本地的基本信息配置

    参数

    说明

    输出业务

    配置输出到本地的日志类型,包括:

    • 全部:将定制部分的所有日志输出到本地

    • 定制:定制需要输出到本地的日志。单击“+”号添加定制,会同步到存储空间设置页面

  3. 单击<定制>按钮,单击“+”号添加输出到本地的业务日志。

    日志模块的支持情况与设备型号有关,请以页面的实际显示为准。

    图-5 定制输出到本地的业务

    图-6 日志本地存储定制

    表-2 定制输出到本地的日志配置

    安全类日志

    说明

    威胁日志

    威胁日志用来查看入侵防御和防病毒等网络威胁的检测和防御情况的记录,了解曾经发生和正在发生的威胁事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“威胁日志+统计”选项选中后,在web监控的威胁日志菜单下的展示页面,可以看到相关日志

    注意事项:

    • 威胁日志包含入侵防御日志和防病毒日志

    • 该功能开启后会同时开启监控下的威胁相关的统计功能

    沙箱日志

    沙箱日志用来查看沙箱检测的结果,包括报文基本信息、检测文件的基本信息以及检测文件是否携带威胁等

    将定制选项中的“沙箱日志”选项选中后,在web监控的沙箱日志菜单下的展示页面,可以看到相关日志

    注意事项:沙箱日志(检测详情)开启后,可在沙箱日志页面查看详情

    信誉日志

    信誉日志包括IP信誉日志、URL信誉日志和域名信誉日志

    将定制选项中的“信誉日志”选项选中后,在web监控的信誉日志菜单下的展示页面,可以看到相关日志

    黑名单日志

    黑名单日志用于查看增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时产生的相应日志

    将定制选项中的“黑名单日志”选项选中后,在web监控的黑名单日志菜单下的展示页面,可以看到相关日志

    URL过滤日志

    URL过滤日志用来查看用户访问URL产生的日志信息,方便管理员根据用户的访问情况调整URL过滤策略,规范用户的上网行为

    将定制选项中的“URL过滤日志+统计”选项选中后,在web监控的URL过滤日志菜单下的展示页面,可以看到相关日志

    注意事项:该功能开启后会同时开启监控下的URL过滤相关的统计功能

    数据过滤日志

    数据过滤日志用于查看用户通过文件传输、收发邮件、访问网站等涉及敏感信息传输时产生的日志信息,方便管理员根据数据传输的情况调整数据过滤配置文件,降低机密信息和用户敏感信息泄露的风险

    将定制选项中的“数据过滤日志”选项选中后,在web监控的数据过滤日志菜单下的展示页面,可以看到相关日志

    注意事项:该功能开启后会同时开启监控下的数据过滤相关的统计功能

    文件过滤日志

    文件过滤日志用于查看用户经由设备传输文件产生的日志信息,方便管理员根据文件传输的情况调整文件过滤策略,降低机密信息泄露和病毒文件进入公司内部网络的风险

    将定制选项中的“文件过滤日志+统计”选项选中后,在web监控的文件过滤日志菜单下的展示页面,可以看到相关日志

    注意事项:该功能开启后会同时开启监控下的文件过滤相关的统计功能

    Web应用防护日志

    Web应用防护日志用来查看Web应用层攻击的检测和防御情况的记录,了解曾经发生和正在发生的攻击事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“Web应用防护日志”选项选中后,在web监控的Web应用防护日志菜单下的展示页面,可以看到相关日志

    防篡改日志

    Web防篡改日志用来查看网页防篡改功能产生的日志记录,了解曾经发生和正在发生的网页内容篡改事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“防篡改日志”选项选中后,在web监控的Web防篡改日志菜单下的展示页面,可以看到相关日志

    DGA域名检测日志

    DGA域名检测日志用来查看DGA域名检测功能产生的日志信息,方便管理员根据检测结果调整相应的策略,防止用户遭到恶意网站的攻击

    将定制选项中的“DGA域名检测日志”选项选中后,在web监控的DGA域名检测日志菜单下的展示页面,可以看到相关日志

    异常流量日志

    异常流量日志记录了带宽管理中流量发生异常的日志信息

    将定制选项中的“异常流量日志”选项选中后,在web监控下终端日志页面的异常流量日志页签下的展示页面,可以看到相关日志

    应用审计日志

    应用审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为

    将定制选项中的“应用审计日志”选项选中后,在web监控的应用审计日志菜单下的展示页面,可以看到相关日志

    单包攻击日志

    单包攻击也称畸形报文攻击,主要包括以下三种类型:

    • 攻击者通过向目标系统发送带有攻击目的的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时出错、崩溃

    • 攻击者可以通过发送正常的报文,如ICMP报文、特殊类型的IP option报文,来干扰正常网络连接或探测网络结构,给目标系统带来损失

    • 攻击者还可通过发送大量无用报文占用网络带宽,造成拒绝服务攻击

    将定制选项中的“单包攻击日志”选项选中后,在web监控的单包攻击日志菜单下的展示页面,可以看到相关日志

    扫描攻击日志

    扫描攻击是指,攻击者运用扫描工具对网络进行主机地址或端口的扫描,通过准确定位潜在目标的位置,探测目标系统的网络拓扑结构和开放的服务端口,为进一步侵入目标系统做准备

    将定制选项中的“扫描攻击日志”选项选中后,在web监控的扫描攻击日志菜单下的展示页面,可以看到相关日志

    泛洪攻击日志

    泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求,导致目标系统疲于应付无用信息,从而无法为合法用户提供正常服务,即发生拒绝服务

    将定制选项中的“泛洪攻击日志”选项选中后,在web监控的泛洪攻击日志菜单下的展示页面,可以看到相关日志

    IP限速日志

    IP限速日志用于查看对新建会话速率进行限制所产生的日志信息

    将定制选项中的“IP限速日志”选项选中后,在web监控的IP限速日志菜单下的展示页面,可以看到相关日志

    连接数限制日志

    连接数限制日志用于展示设备上的连接数到达限制阈值后产生的日志信息

    将定制选项中的“连接数限制日志”选项选中后,在web监控的连接数限制日志菜单下的展示页面,可以看到相关日志

    物联网设备安全管理日志

    物联网设备安全管理日志用来查看设备检测到的物联网设备存在安全隐患的日志信息,方便管理员及时调整策略,防止信息泄露和网络攻击

    将定制选项中的“物联网设备安全管理日志”选项选中后,在web监控的物联网设备安全管理日志菜单下的展示页面,可以看到相关日志

    流量类日志

    说明

    安全策略日志

    安全策略日志用于查看设备上生成的所有安全策略日志信息,这些安全策略日志信息有利于管理员对用户行为进行审计或进行网络故障排查

    将定制选项中的“安全策略日志”选项选中后,在web监控的安全策略日志菜单下的展示页面,可以看到相关日志

    NAT转换日志

    NAT转换日志用于记录NAT会话的相关信息,包括IP地址和端口的转换信息、用户的访问信息以及用户的网络流量信息

    将定制选项中的“NAT转换日志”选项选中后,在web监控的NAT转换日志菜单下的展示页面,可以看到相关日志

    流量日志

    流量日志用于记录每条数据流产生的流量信息以及流量大小,管理员可通过流量日志信息制定合理、精确的带宽限速策略

    将定制选项中的“流量日志”选项选中并开启全局开关后,在web监控的流量日志菜单下的展示页面,可以看到相关日志

    事件类日志

    说明

    系统日志

    系统日志用于记录设备在运行过程中产生的相关日志信息,通过查看系统日志信息可以跟踪设备的运行过程、分析网络状况以及定位问题发生的原因,为进行故障诊断和维护提供依据

    将定制选项中的“系统日志”选项选中后,在web监控的系统日志菜单下的展示页面,可以看到相关日志

    配置日志

    配置日志用于记录管理员配置设备的过程,通过查看配置日志信息可以跟踪管理员对设备的操作,有利于对管理员操作设备的行为进行审计以及进行设备故障排查。

    将定制选项中的“配置日志”选项选中后,在web监控的配置日志菜单下的展示页面,可以看到相关日志

    用户接入日志

    当有SSL VPN用户登入登出设备时会有相应的日志输出。管理员可以通过查看用户接入日志,了解用户的历史登入登出记录,登录失败原因等信息,有利于管理员管理和维护设备

    将定制选项中的“用户接入日志”选项选中后,在web监控的SSLVPN用户接入日志菜单下的展示页面,可以看到相关日志

    资源访问日志

    当SSL VPN用户访问内网资源时会有相应的日志输出。管理员可以通过查看访问资源日志,了解用户访问内网资源的具体情况,方便管理员对用户访问的资源进行管理和控制

    将定制选项中的“资源访问日志”选项选中后,在web监控的SSLVPN资源访问日志菜单下的展示页面,可以看到相关日志

    策略日志

    零信任策略日志用于查看匹配零信任策略的流量产生的日志信息,当报文与零信任策略成功匹配后将输出日志到零信任策略日志页面。方便管理员查看实际的用户和资产风险状况,并根据用户和资产的风险状况调整访问动作

    将定制选项中的“策略日志”选项选中后,在web监控的零信任策略日志菜单下的展示页面,可以看到相关日志

    终端识别日志

    终端识别日志记录了在视频安全场景中系统所识别终端的详细信息。通过终端识别日志,管理员可实时掌握设备所接入终端的详细信息以及终端信息发生的变化

    将定制选项中的“终端识别日志”选项选中后,在web监控下终端日志页面的终端识别日志页签下的展示页面,可以看到相关日志

    DLP日志

    说明

    数据安全日志

    数据安全日志用于查看数据泄露事件产生的日志信息,方便管理员根据数据泄露情况调整相应的防范策略,降低机密信息泄露和病毒文件进入公司内部网络的风险

    将定制选项中的“数据安全日志+统计”选项选中后,在web监控的DLP日志菜单下展示的页面,可以看到相关日志

    该功能开启后会同时开启监控下的DLP相关的统计功能

    上传文件日志

    上传文件日志用于查看文件上传的相关信息

    将定制选项中的“上传文件日志+统计”选项选中后,在web监控的DLP日志菜单下展示的页面,可以看到相关日志

    该功能开启后会同时开启监控下的DLP相关的统计功能

    匹配摘要日志

    匹配摘要日志是用于查看DLP模块对数据进行匹配的结果摘要信息

    将定制选项中的“匹配摘要日志+统计”选项选中后,在web监控的DLP日志菜单下的展示页面,可以看到相关日志

    该功能开启后会同时开启监控下的DLP相关的统计功能

    匹配详情日志

    匹配详情日志是用于查看DLP模块对数据进行匹配的详细信息

    将定制选项中的“匹配详情日志+统计”选项选中后,在web监控的DLP日志菜单下的展示页面,可以看到相关日志

    该功能开启后会同时开启监控下的DLP相关的统计功能

    负载均衡日志

    说明

    智能DNS日志

    智能DNS日志用于查看经过本地智能DNS和全局智能DNS调度的流量产生的日志信息。当报文经过本地智能DNS和全局智能DNS调度后,将输出日志到智能DNS日志页面。方便管理员查看流量的调度信息,获取调度结果以及分析调度失败的原因

    将定制选项中的“智能DNS日志”选项选中后,在web监控的智能DNS日志页签下的展示页面,可以看到相关日志

    出链路负载均衡日志

    出链路负载均衡日志用于查看经过出链路负载均衡调度的流量产生的日志信息。当报文经过出链路负载均衡调度后,将输出日志到出链路负载均衡日志页面。方便管理员查看流量的调度信息,获取调度结果以及分析调度失败的原因

    将定制选项中的“出链路负载均衡日志”选项选中后,在web监控的出链路负载均衡日志页签下的展示页面,可以看到相关日志

    DNS透明代理日志

    DNS透明代理日志用于查看经过DNS透明代理调度的流量产生的日志信息。当报文经过DNS透明代理调度后,将输出日志到DNS透明代理日志页面。方便管理员查看流量的调度信息,获取调度结果以及分析调度失败的原因

    将定制选项中的“DNS透明代理日志”选项选中后,在web监控的DNS透明代理日志页签下的展示页面,可以看到相关日志

    防护告警日志

    防护告警日志用来记录匹配防护策略的流量信息

    将定制选项中的“防护告警日志”选项选中后,在web监控的负载均衡防护日志菜单下的展示页面,可以看到相关日志

  4. 单击<应用>按钮,完成输出到本地的基本信息配置。

日志信息输出到快速日志主机

配置日志信息输出到快速日志主机,可将指定的业务模块生成的日志,通过快速输出通道直接发送给日志主机,该方式可以更高效地发送日志信息,并且节省系统资源。

日志信息输出到快速日志主机的具体配置步骤如下:

  1. 单击“系统 > 日志设置 > 日志管理”,进入“日志管理”页面。

  2. 在“日志管理”页面,选择“输出到日志主机”页签。

  3. 在“输出到日志主机”页签,选择“快速日志主机”部分。

  4. 单击<新建>按钮,新建快速日志主机的基本信息。(如果快速日志主机需要配置的日志存在中国联通,中国移动,中国电信,中国电信_vi,国家电网格式,需要先关闭“Web界面定制”菜单下的“日志配置精简”开关才能展示和配置相关格式。)

    图-7 输出到快速日志主机功能示意图

    图-8 快速日志主机基本配置

    表-3 快速日志主机的基本信息配置

    参数

    说明

    日志主机

    快速日志主机的地址,可以为IPv4地址、IPv6地址或主机名

    日志主机不支持配置本机地址

    端口号

    快速日志主机接收日志信息的端口号,取值范围为1~65535,缺省值为514

    VRF

    快速日志主机所属的VPN实例,如果指定为公网,则表示快速日志主机位于公网中

    输出业务

    配置输出到快速日志主机的日志类型,包括:

    • 全部:将定制部分的所有日志输出到本地

    • 定制:定制需要输出到本地的日志

  5. 在“输出业务”单击<定制>按钮,单击“+”号添加输出到快速日志的业务模块。

    日志模块的支持情况与设备型号有关,请以页面的实际显示为准。

    图-9 定制输出到快速日志主机的业务

    图-10 快速日志输出业务定制

    表-4 定制输出到快速日志主机的日志配置

    事件类日志

    说明

    SSL VPN日志

    SSL VPN日志用于查看用户上下线、用户访问资源时记录的日志信息,便于管理员对用户行为进行监控,及时调整相应的访问授权;同时,日志中还记录了IP接入方式下,SSL VPN网关为客户端虚拟网卡分配和释放IP地址时记录的信息,以及IP接入建立的连接发生丢包时记录的信息,便于管理员及时调整网关配置

    将定制选项中的“SSLVPN日志”选项选中后,设备向指定的快速日志主机发送快速日志

    零信任鉴权日志

    零信任鉴权日志用来输出可信访问控制器的鉴权结果

    将定制选项中的“零信任鉴权日志”选项选中后,设备向指定的快速日志主机发送快速日志

    零信任策略通知日志

    零信任策略通知日志用来输出用户下线和用户权限变更等信息

    将定制选项中的“零信任策略通知日志”选项选中后,设备向指定的快速日志主机发送快速日志

    带宽管理日志

    带宽管理日志用于查看匹配带宽管理规则(比如报文命中动作为阻断的带宽管理规则)而产生的日志,方便管理员分析快速日志判断带宽管理规则配置是否正常,据此修改带宽管理规则,提高网络安全性

    将定制选项中的“带宽管理日志”选项选中后,设备向指定的快速日志主机发送快速日志

    终端识别日志

    终端识别日志用于在终端信息发生变更时(比如将原厂商的摄像头换为其他厂商的摄像头)向管理员发送日志,方便管理员对终端信息进行监控,提高网络安全性

    将定制选项中的“终端识别日志”选项选中后,设备向指定的快速日志主机发送快速日志

    心跳日志(国电格式)

    心跳日志用来确认设备的正常运行,开启心跳日志功能后,日志服务器将会接收此心跳日志。如果定期接收不到,则认为设备处于宕机状态

    将定制选项中的“心跳日志(国电格式)”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:心跳日志(国电格式)需要关闭“web界面定制”下的“日志配置精简”开关才能展示和配置

    安全类日志

    说明

    攻击防范日志

    攻击防范日志用于查看黑名单日志和单包攻击防范日志。其中,黑名单日志记录了黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等信息。单包攻击防范日志默认采用聚合输出方式以降低对系统资源的占用。有助于管理员高速过滤和有效屏蔽报文,及时发现和分析攻击行为,提高网络安全性

    将定制选项中的“攻击防范日志”选项选中后,设备向指定的快速日志主机发送快速日志

    服务器外联防护日志

    服务器外联防护日志用于查看服务器与非法外联地址建立的连接。方便管理员查看非法外联的协议类型、服务器IP地址、外联IP地址和端口号

    将定制选项中的“服务器外联防护日志”选项选中后,设备向指定的快速日志主机发送快速日志

    安全策略配置日志(国电格式)

    安全策略配置日志用于查看记录设备上安全策略的配置信息,方便管理员了解设备安全策略配置,从而掌握设备对报文的控制

    将定制选项中的“安全策略配置日志(国电格式)”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:安全策略配置日志(国电格式)需要关闭“web界面定制”下的“日志配置精简”开关才能展示和配置

    应用审计日志

    应用审计日志用于查看记录用户上网行为的日志,方便管理员了解应用的具体行为(比如IM聊天软件的用户登录、发消息等)和行为对象(比如IM聊天软件登录的行为对象是账号信息等),并据此对用户的上网行为进行审计,更好的防护网络安全

    将定制选项中的“应用审计日志”选项选中后,设备向指定的快速日志主机发送快速日志

    URL过滤日志

    URL过滤日志用来查看用户访问URL产生的日志信息,方便管理员根据用户的访问情况调整URL过滤策略,规范用户的上网行为。

    将定制选项中的“URL过滤日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:URL过滤日志支持标准格式和中国联通格式。默认发送标准格式。中国联通格式需要关闭“Web界面定制”下的“日志配置精简”开关才能展示和配置

    共享上网日志

    共享上网日志可以对共享上网行为进行记录并发送到指定的日志主机,方便管理员了解共享上网行为并冻结源IP地址,提高网络安全性

    将定制选项中的“共享上网日志”选项选中后,设备向指定的快速日志主机发送快速日志

    入侵防御日志

    入侵防御日志用于查看设备对入侵行为的检测和防御情况的记录,了解曾经发生和正在发生的入侵事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“入侵防御日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:

    • 入侵防御日志支持标准格式和国家电网格式。默认发送标准格式。国家电网格式需要关闭“Web界面定制”下的“日志配置精简”开关才能展示和配置

    • 点击选项右侧扩展按钮,可以同时配置输出邮件和中文日志功能

    入侵防御特征库升级日志

    入侵防御特征库升级日志用于查看入侵防御特征库的更新情况,方便管理员了解当前设备的特征库版本,并根据实际情况判断是否需要对特征库进行升级或回滚

    将定制选项中的“入侵防御特征库升级日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:入侵防御日志选择国家电网格式时,才可选择入侵防御特征库升级日志

    信誉日志

    信誉日志包括IP信誉日志、URL信誉日志和域名信誉日志

    将定制选项中的“信誉日志”选项选中后,设备向指定的快速日志主机发送快速日志

    Web应用防护日志

    Web应用防护日志用来查看Web应用层攻击的检测和防御情况的记录,了解曾经发生和正在发生的攻击事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“Web应用防护日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:点击选项右侧扩展按钮,可以同时配置输出邮件和中文日志功能

    沙箱日志

    沙箱日志用来查看沙箱检测的结果,包括报文基本信息、检测文件的基本信息以及检测文件是否携带威胁等

    将定制选项中的“沙箱日志”选项选中后,设备向指定的快速日志主机发送快速日志

    防病毒日志

    防病毒日志用于查看设备对病毒文件的检测和防御情况的记录,了解曾经发生和正在发生的威胁事件,方便管理员调整相应的策略,更好地防护内网安全

    将定制选项中的“防病毒日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:点击选项右侧扩展按钮,可以同时配置发送邮件功能

    数据过滤日志

    数据过滤日志用于查看用户通过文件传输、收发邮件、访问网站等涉及敏感信息传输时产生的日志信息,方便管理员根据数据传输的情况调整数据过滤配置文件,降低机密信息和用户敏感信息泄露的风险

    将定制选项中的“数据过滤日志”选项选中后,设备向指定的快速日志主机发送快速日志

    文件过滤日志

    文件过滤日志用于查看用户经由设备传输文件产生的日志信息,方便管理员根据文件传输的情况调整文件过滤策略,降低机密信息泄露和病毒文件进入公司内部网络的风险

    将定制选项中的“文件过滤日志”选项选中后,设备向指定的快速日志主机发送快速日志

    DGA域名检测日志

    DGA域名检测日志用来查看DGA域名检测功能产生的日志信息,方便管理员根据检测结果调整相应的策略,防止用户遭到恶意网站的攻击

    将定制选项中的“DGA域名检测日志”选项选中后,设备向指定的快速日志主机发送快速日志

    设备准入控制日志

    设备准入控制日志用于查看由于设备认证失败而产生的日志信息,方便管理员根据检查结果调整策略,从而有效地避免设备被篡改的情况

    将定制选项中的“设备准入控制日志”选项选中后,设备向指定的快速日志主机发送快速日志

    标准流量管控日志

    标准流量管控日志用于查看由于物联网设备大量发送请求或者短期内发送请求频率过高而产生的日志信息,方便管理员根据检查结果调整策略,从而有效的避免拒绝服务攻击

    将定制选项中的“标准流量管控日志”选项选中后,设备向指定的快速日志主机发送快速日志

    标准格式检查日志

    标准格式检查日志用于查看物联网设备流量不符合相关物联网标准而导致格式检查失败产生的日志信息,方便管理员根据检查结果调整策略,从而有效的避免非标准设备的接入

    将定制选项中的“标准格式检查日志”选项选中后,设备向指定的快速日志主机发送快速日志

    敏感信令控制日志

    敏感信令控制日志用于查看由于物联网设备流量含有敏感行为而产生的日志信息,方便管理员根据检查结果调整策略,从而有效的避免数据泄露和数据篡改

    将定制选项中的“敏感信令控制日志”选项选中后,设备向指定的快速日志主机发送快速日志

    流量类日志

    说明

    AFT日志

    AFT日志用于查看记录AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息的日志和端口块日志(当分配、回收端口块或端口块耗尽时会触发输出端口块日志),方便管理员进行安全审计,更好的防护网络安全

    将定制选项中的“AFT日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:

    • AFT日志支持标准格式和中国联通,中国移动,中国电信格式。默认发送标准格式。中国联通,中国移动,中国电信格式需要关闭“Web界面定制”下的“日志配置精简”开关才能展示和配置

    • 中国联通,中国移动,中国电信格式下配置的日志需要开启AFT日志功能选项和各日志子开关

    • 举例:开启中国电信格式的AFT端口块分配日志需要以下操作:(1)AFT日志选项为选中状态(2)点击左侧展开按钮(3)选择中国电信格式(4)勾选开启AFT日志功能选项(5)勾选AFT端口块分配开关

    • 在关闭“日志配置精简”开关后,如果关闭了标准格式下的AFT转换开关,那么在开启“日志配置精简”开关后,即使AFT日志选项选中也无法发送AFT日志

    NAT日志

    NAT日志用于查看记录NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息的日志、NAT444用户日志和NAT444资源用尽日志,方便管理员进行安全审计或溯源,更好的防护网络安全

    将定制选项中的“NAT日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:

    • NAT日志支持标准格式和中国联通,中国移动,中国电信,中国电信_vi格式。默认发送标准格式。中国联通,中国移动,中国电信,中国电信_vi格式需要关闭“Web界面定制”下的“日志配置精简”开关才能展示和配置

    • 中国联通,中国移动,中国电信,中国电信_vi格式下配置的日志需要开启NAT日志功能选项和各日志子开关

    • 举例:开启中国电信格式的新建NAT会话日志需要以下操作:(1)NAT日志选项为选中状态(2)点击左侧展开按钮(3)选择中国电信格式(4)勾选开启NAT日志功能选项(5)勾选新建NAT会话开关

    • 在关闭“日志配置精简”开关后,如果关闭了标准格式下的NAT转换开关,那么在开启“日志配置精简”开关后,即使NAT日志选项选中也无法发送NAT日志

    会话日志

    会话日志可用于记录会话的创建、删除等操作,也可以在达到阈值时或周期性发送会话日志。用于帮助管理员分析和定位问题,方便管理员进行运维管理

    将定制选项中的“会话日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:

    • 会话日志先需要配置生成的日志接口列表才能生效。点击选项左侧的展开按钮可以看到配置生成的日志接口列表的相关配置

    • 会话日志需要开启各日志子开关才能生效

    • 举例:开启会话新建日志需要以下操作:(1)会话日志选项为选中状态(2)点击左侧展开按钮(3)勾选开启新建会话开关(4)需要配置生成的日志接口

    安全策略日志

    安全策略日志用于查看记录与安全策略匹配成功的报文信息。管理员可以查看设备上生成的所有安全策略日志信息,这些安全策略日志信息有利于管理员对用户行为进行审计或进行网络故障排查

    将定制选项中的“安全策略日志”选项选中后,设备向指定的快速日志主机发送快速日志

    注意事项:安全策略日志支持标准格式和国家电网格式

    流量日志

    流量日志用于记录每条数据流产生的流量信息以及流量大小,管理员可通过流量日志信息制定合理、精确的带宽限速策略

    将定制选项中的“流量日志”选项选中并开启全局开关后,设备向指定的快速日志主机发送快速日志

    负载均衡日志

    说明

    全局负载均衡日志

    全局负载均衡日志用于查看经过全局负载均衡调度的流量产生的日志信息

    将定制选项中的“全局负载均衡日志”选项选中后,设备向指定的快速日志主机发送快速日志

    DNS透明代理日志

    DNS透明代理日志用于查看经过DNS透明代理调度的流量产生的日志信息

    将定制选项中的“DNS透明代理日志”选项选中后,设备向指定的快速日志主机发送快速日志

    智能DNS日志

    智能DNS日志用于查看经过智能DNS调度的流量产生的日志信息

    将定制选项中的“智能DNS日志”选项选中后,设备向指定的快速日志主机发送快速日志

    出链路负载均衡日志

    出链路负载均衡日志用于查看经过出链路负载均衡调度的流量产生的日志信息

    将定制选项中的“出链路负载均衡日志”选项选中后,设备向指定的快速日志主机发送快速日志

    应用负载均衡日志

    应用负载均衡日志用于查看经过应用负载均衡调度的流量产生的日志信息

    将定制选项中的“应用负载均衡日志”选项选中后,设备向指定的快速日志主机发送快速日志

  6. 单击<应用>按钮,完成输出到日志主机的基本信息配置。

日志信息输出到系统日志主机

通过配置日志信息输出到系统日志主机,各业务模块生成的日志信息将被发送到指定的日志主机中,以便于日志的统一管理和分析。

日志信息输出到系统日志主机的具体配置步骤如下:

  1. 单击“系统 > 日志设置 > 日志管理”,进入“日志管理”页面。

  2. 在“日志管理”页面,选择“输出到日志主机”页签。

  3. 在“输出到日志主机”页签,选择“系统日志主机”部分。

  4. 单击<新建>按钮,新建系统日志主机的基本信息。

    图-11 输出到系统日志主机功能示意图

    图-12 系统日志主机基本配置

    表-5 系统日志主机的基本信息配置

    参数

    说明

    日志主机

    系统日志主机的地址,可以为IPv4地址、IPv6地址或主机名

    端口号

    系统日志主机接收日志信息的端口号,取值范围为1~65535,缺省值为514

    VRF

    系统日志主机所属的VPN实例,如果指定为公网,则表示快速日志主机位于公网中

  5. 单击<应用>按钮,完成输出到日志主机的基本信息配置。

  6. 请前往指定业务模块的配置页面,开启日志功能。模块生成的日志信息将被输出到配置的系统日志主机中。