客户合规平台检查防火墙日志配置有风险,建议配置中命令 防火墙没有导致该告警无法消除,想确认下是否华三防火墙都存在此问题。
(0)
最佳答案
您好,涉及,配置以下日志源就可以了
一、web配置方式举例:
配置日志服务器
【系统>日志设置>基本配置】界面,仅需要在【快速日志】标签页进行如下配置:
1. 新建日志主机。
a) 日志主机:态势感知平台日志采集IP地址。
b) 端口号:缺省情况下,端口号为514。建议使用缺省配置。
c) VRF:缺省情况下为公网,使用缺省配置。
d) 日志类型:勾选入侵防御日志、防病毒日志。
2. 日志时间戳: a) 格林威治时间:设备默认选择格林威治时间,此时设备时区也为格林威治时 区,此时不用更改。
b) 设备本地时间:如果设备修改时区,不为格林威治时区,此时选用设备本地 时间。
威胁日志配置
【系统>日志设置>威胁日志】界面,配置入侵防御日志和防病毒日志。按照如下要 配置设备。
1. 入侵防御日志。
a) 输出快速日志。
b) 日志编码格式:IPS/防火墙设备默认输出gbk编码方式,因此默认情况下, 不论是否勾选输出中文日志,态势感知平台对应日志字符集配置均为gbk。
2. 防病毒日志。
a) 输出快速日志。
注意:配置记录 IPS 日志使用的语言为中文后,仅 IPS 日志的威胁名称字段使用中文描述, 其它日志信息仍然为英文。
二、命令行配置方式举例:
1) 配置发送日志信息到态势感知平台日志采集器。如日志采集器IP = 1.1.1.1,设备 通过514端口上报日志,配置如下:
customlog host 1.1.1.1 port 514 export dpi ips anti-virus
2) 配置应用层检测引擎的ips模块日志动作参数profile,开启记录IPS日志使用快速 日志,语言为中文,缺省情况下,记录IPS日志使用的语言为英文。
# inspect logging parameter-profile ips_logging_default_parameter
undo log syslog
log language chinese
3) 配置应用层检测引擎的av模块日志动作参数profile,开启记录AV日志使用快速日志。
# inspect logging parameter-profile av_logging_default_parameter
undo log syslog
4) 配置入侵防御、防病毒日志发送快速日志。
customlog format dpi ips
customlog format dpi anti-virus
5) (可选)配置字符编码:IPS/防火墙默认编码格式为gbk,可根据需要设置格式 为utf8,该项需版本支持。
customlog character-encoding utf-8
6) (可选)配置快速日志使用本地时间。
customlog timestamp localtime
注意:配置记录 IPS 日志使用的语言为中文后,仅 IPS 日志的威胁名称字段使用中文描述, 其它日志信息仍然为英文。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论