H3C SecPath ACG1000-ME 是否可以开启系统会话日志方式来记录源IP地址
- 0关注
- 0收藏,309浏览
问题描述:
H3C SecPath ACG1000-ME
请问是否可以通过开启系统会话日志方式来记录源IP地址的访问记录,会话日志需要如何配置?
请提供下对应文档;
- 2025-07-14提问
- 举报
-
(0)
最佳答案
在菜单栏选择“系统管理>系统设定>日志设定>会话日志设定”进入会话日志设定配置页面,勾选所要记录的会话日志类型,包括会话创建日志,会话结束日志、长连接会话日志及DNS会话日志;选择匹配条件,点击<提交>。
详细配置请参见下表。
配置项 | 说明 |
会话创建日志 | 勾选后记录会话创建日志。 |
会话结束日志 | 勾选后记录会话结束日志。 |
长连接会话日志 | 勾选后记录长连接会话日志。 |
长连接会话日志间隔 | 设置记录长连接会话日志的时间间隔,取值范围是1-60分钟,默认是5分钟。 |
DNS会话日志 | 勾选后记录DNS会话日志。 |
匹配条件 | 设置会话日志的匹配条件,根据匹配条件记录会话日志数据。匹配条件可以为源地址/端口、目的地址/端口及协议类型。 协议类型可以选择TCP、UDP、ICMP、ICMP6、IGMP等。 |
系统会话日志一般数量很大,易达到日志性能瓶颈,请配置条件记录所关注的会话日志。
1.6 日志信息查询
1.6.1 系统日志
系统日志记录系统的状态信息,比如接口的up/ down、管理的登录、退出等。点击“数据中心 > 日志中心 > 系统日志”,进入系统日志的查询界面,如图1-4所示。
1.6.2 操作日志
操作日志记录着管理员对系统的操作,比如操作管理员、操作员IP、操作详细信息等。点击“数据中心 > 日志中心 > 操作日志”,进入操作日志的查询界面,如图1-5所示。
1.6.3 控制日志查询
1. 应用控制日志
应用控制日志记录着应用控制策略产生的日志。通过“策略配置 > 控制策略”,创建“应用过滤”或者“URL控制”策略,且在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“应用控制日志”。当通过设备的流量匹配到应用控制策略时,将会产生应用控制日志信息。详细配置请参见“控制策略”章节。
点击“数据中心 > 日志中心 > 控制日志 > 应用控制日志”,进入应用控制日志的查询界面,如图1-6所示。
点击对应应用控制日志的<详细>按钮,可以查看日志的详细信息,如图1-7所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮,可以查看根据设定的条件,查询关心的日志。
2. 恶意URL日志
恶意URL日志记录着访问恶意网站的信息,包括用户IP、MAC,访问的源地址、目的地址、网站名称、URL名称以及用户的终端信息等。通过“策略配置 > 控制策略”,创建“恶意URL”过滤策略,且在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“恶意URL日志”。当通过设备的流量匹配到恶意URL策略时,将会产生应用控制日志信息。
点击“数据中心 > 日志中心 > 控制日志 > 恶意URL日志”,进入恶意URL的查询界面,如图1-8所示。
图1-8 恶意URL日志查询页面
点击<查询>按钮之后,可以查询符合设置条件的日志。
1.6.4 审计日志查询
审计日志主要记录用户访问各种网站的应用情况。根据应用类型的不同,将应用审计日志分为访问网站日志、IM聊天软件日志、社区日志、搜索引擎日志、邮件日志、文件传输日志、娱乐/股票日志、协议审计日志以及其他应用日志。
通过“策略配置 > 审计策略”,创建审计策略,通过“系统管理 >日志设定>日志过滤”,在“上网行为日志”中,配置记录或发送的审计日志类别。当通过设备的流量匹配到审计策略时,根据访问网站的应用类型,产生对应的审计日志信息。详细配置请参见“审计策略”章节。
1. 访问网站日志
访问网站日志记录用户访问合法网站的信息,包括访问网站的URL的分类、链接、标题、时间,以及用户的IP、MAC等信息。
点击“数据中心 > 日志中心 > 审计日志 > 访问网站日志”,进入访问网站日志的查询界面,如图1-9所示。
点击对应访问网站日志的<详细>按钮,可以查看日志的详细信息,如图1-10所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
点击<查询>按钮之后,可以查询符合设置条件的日志。
2. IM聊天软件日志
IM聊天软件日志记录着IM聊天软件使用相关的信息,点击“数据中心 > 日志中心 > 审计日志 > IM聊天软件日志”,进入IM聊天软件日志的查询界面,如图1-11所示。
图1-11 IM聊天软件日志查询页面
点击对应IM聊天日志的<详细>按钮,可以查看日志的详细信息,如图1-12所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
图1-12 IM聊天软件日志详情
点击<查询>按钮之后,可以查询符合设置的条件的日志。
3. 社区日志
社区日志记录着微博、BBS、博客等网络社区相关的信息,点击“数据中心 > 日志中心 > 审计日志 > 社区日志”,进入社区日志的查询界面,如图1-13所示。
点击对应社区日志的<详细>按钮,可以查看日志的详细信息,如图1-14所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
4. 搜索引擎日志
搜索引擎日志记录着搜索引擎使用的信息,点击“数据中心 > 日志中心 > 审计日志 > 搜索引擎日志”,进入搜索引擎日志的查询界面,如图1-15所示。
点击对应日志的<详细>按钮,可以查看日志的详细信息,如图1-16所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
5. 邮件日志
邮件日志记录通过SMTP、IMAP、POP3收发邮件的信息,点击“数据中心 > 日志中心 > 审计日志 > 邮件日志”,进入邮件日志的查询界面,如图1-17所示。
6. 文件传输日志
命令日志记录网盘和FTP、telnet使用的信息,点击“数据中心 > 日志中心 > 审计日志 > 文件传输日志”,进入文件传输日志的查询界面,如图1-18所示。
点击对应日志的<详细>按钮,可以查看日志的详细信息,如图1-19所示。在日志详情的下方,点击<上一条>、<下一条>可以切换到上一条或下一条日志的详情界面。
7. 娱乐/股票日志
娱乐/股票日志记录用户上网娱乐信息,如看视频、玩在线游戏、听音乐、炒股等行为,点击“数据中心 > 日志中心 > 审计日志 > 娱乐/股票日志”,进入娱乐/股票日志的查询界面,如图1-20所示。
图1-20 娱乐/股票日志查询页面
8. 协议审计日志
协议审计日志记录基础网络协议的信息,如账号、文件名、命令操作等行为,点击“数据中心 > 日志中心 > 审计日志 >协议审计日志”,进入娱乐/股票日志的查询界面,如下图所示。
图1-21 娱乐/股票日志查询页面
9. 其它应用日志
其它应用日志是除了聊天软件、社区、邮件、搜索引擎、命令之外的应用审计日志,点击“数据中心 > 日志中心 > 审计日志 > 其它应用日志”,进入其它应用日志的查询界面,如图1-22所示。
1.6.5 安全日志查询
1. 入侵防御日志
(1) 入侵防御日志查询
入侵防御日志记录着针对网络的IPS攻击的日志。通过“策略配置 > 控制策略”,配置“入侵防御”策略,选择规则模板,并勾选相应选项;在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“安全日志 > IPS日志”。当通过设备的流量命中了配置的入侵防御策略,将会产生入侵日志信息。详细配置请参见“入侵防御”章节。
点击“数据中心 > 日志中心 > 安全日志 > 入侵防御日志”,进入入侵防御日志的查询界面,如图1-23所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
(2) 日志聚合
IPS入侵日志支持聚合,系统可将符合聚合规则(协议ID相同、特征规则ID相同)的日志信息进行聚合,从而减少日志数量,避免日志服务器接受冗余的日志信息。系统仅支持聚合由IPS功能所产生的日志信息。聚合的前提条件是特征规则ID、应用必须相同,然后根据聚合方式进行聚合。该功能默认为关闭状态。
点击“数据中心>日志中心>安全日志>入侵防御日志>日志聚合”进入日志聚合配置界面,可选择不聚合、按规则聚合、按源IP聚合、按目的IP聚合、按源目的IP聚合5种日志聚合方式。详细配置请参考“入侵防御”章节。
图1-24 日志聚合页面
表1-6 日志聚合参数说明
参数 | 说明 |
不聚合 | 默认不聚合。 |
按照规则聚合 | 是指一段时间之内相同规则ID、相同应用的事件只会产生一条日志。 |
按源IP聚合 | 是指一段时间之内相同源IP、相同规则ID、相同应用的事件只会产生一条日志。 |
按目的IP聚合 | 是指一段时间之内相同目的IP、相同规则ID、相同应用的事件只会产生一条日志。 |
按源目IP聚合 | 是指一段时间之内相同源IP、相同目的IP、相同规则ID、相同应用的事件只会产生一条日志。 |
(3) 告警规则
告警规则主要针对记录IPS攻击的日志按照匹配条件进行syslog或者邮件告警。点击“数据中心 > 日志中心 > 安全日志 > 入侵防御日志>告警规则”,点击“新建”按钮进入告警规则的配置界面,如图1-25所示。
表1-7 入侵检测告警规则界面详细说明
配置项 | 说明 |
新建 | 新建入侵检测告警规则 |
删除 | 删除入侵检测告警规则 |
清除 | 清除入侵检测告警规则命中次数统计及日志 |
启用 | 启用入侵检测告警规则 |
禁用 | 禁用入侵检测告警规则 |
状态 | 显示告警规则启用或禁用状态 |
规则名称 | 自定义的告警规则名称 |
事件类型 | IPS事件类型 |
动作 | IPS事件处理行为,包括允许和拒绝 |
告警方式 | 支持syslog和邮件两种告警方式 |
级别 | 根据严重程度的不同,日志分为以下几个级别: · 信息 · 通知 · 警告 · 告警 |
频率(秒) | 告警检测的时间阈值 |
日志条数 | 告警检测的IPS日志条数阈值 |
命中次数 | 告警检测命中次数统计 |
2. 安全防护日志
安全防护日志记录着针对网络层攻击的安全防护产生的日志。在“策略配置 > 安全设置 > 安全防护”中,配置“ARP/ND攻击防护/异常包攻击防御/DOS攻击防护”,且在“系统管理> 系统设定 > 日志设定 > 日志过滤 > 安全日志”中,配置记录或发送对应的日志类别。当通过设备的流量命中了配置的安全防护策略,检测到网络攻击,将会产生对应的安全防护日志信息。详情请参见“安全防护”章节。
点击“数据中心 > 日志中心 > 安全日志 > 安全防护日志”,进入安全防护日志的查询界面,如图1-26所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
3. 病毒防护日志
病毒防护日志记录着针对网络的AV攻击的日志。通过“策略配置 > 控制策略”,启用“病毒防护”策略,选择防护项目,并勾选“日志”;在“系统管理> 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“安全日志 > AV日志”。当通过设备的流量命中了配置的病毒防护策略,检测到病毒攻击,将会产生病毒防护日志信息。详情请参见“病毒防护”章节。
点击“数据中心 > 日志中心 > 安全日志 > 病毒防护日志”,进入病毒防护日志的查询界面,如图1-27所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
4. WEB防护日志
(1) 规则防护日志
WEB防护日志记录着针对网络的WEB攻击行为。点击“数据中心 > 日志中心 > 安全日志 > WEB防护日志”,进入WEB防护日志的查询界面,如图1-28所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
(2) WEB高级防护日志
WEB高级防护日志记录着针对网络的高级防护攻击行为。点击“数据中心 > 日志中心 > 安全日志 > WEB防护日志>高级防护日志”,进入高级防护日志的查询界面,如图1-29所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
5. 防暴力破解日志
防暴力破解日志记录着针对网络的防暴力破解攻击行为。点击“数据中心 > 日志中心 > 安全日志 > 防暴力破解日志”,进入防暴力破解日志的查询界面,如图1-30所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
6. 弱密码防护日志
弱密码防护日志记录着针对网络的弱密码防护行为。点击“数据中心 > 日志中心 > 安全日志 > 弱密码防护日志”,进入弱密码防护日志的查询界面,如图1-31所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
7. 行为模型日志
行为模型日志记录着针对网络的行为模型攻击行为。在“策略配置 > 安全设置 > 安全防护 > 行为模型”中,配置,开启DNS隧道检测,且勾选“日志”。当检测出来隧道攻击后,设备将会产生行为模型日志。详情请参见“安全防护”章节。
点击“数据中心 > 日志中心 > 安全日志 > 行为模型日志”,进入行为模型日志的查询界面,如图1-32所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
8. 非法外联防护日志
非法外联防护日志记录着针对网络的非法外联防护攻击行为。点击“数据中心 > 日志中心 > 安全日志 >非法外联防护日志”,进入非法外联防护日志的查询界面,如图1-33所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
1.6.6 终端日志
1. 共享接入日志
通过“策略配置 > 共享接入管理”开启用户共享检测,并选择“发送日志”在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送“共享接入日志”。当设备检测到用户在PC启用共享上网功能,接入多个移动终端上网,达到共享接入移动终端阈值被阻断或限速时,将会产生对应的共享接入日志信息。详细配置请参见“共享接入管理”章节。
通过菜单“数据中心 > 日志中心 > 终端日志 > 共享接入日志”,进入如图1-34所示页面。在该页面上可以查看设备监控共享上网被惩罚阻断或限速的日志。
2. 用户上下线日志
用户上下线日志记录认证用户上下线的日志信息,如果配置了用户认证策略,且在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“用户上下线日志”。当用户通过对应的认证方式认证上线或下线时,将会产生相关的用户上下线日志信息。
点击“数据中心 > 日志中心 > 终端日志 > 用户上下线日志”,进入用户上下线日志日志的查询界面,如图1-35所示。
点击<查询>按钮之后,可以查询符合设置条件的日志。
3. 移动终端日志
通过“策略配置 > 移动终端管理 > 终端接入配置”配置启用移动终端管理,在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置发送或记录“移动终端日志”。当设备检测到用户上网流量中有移动终端流量时,将会产生相关的移动终端日志信息。详细配置请参见“移动终端管理”章节。
通过菜单“数据中心 > 日志中心 > 终端日志 > 移动终端日志”,进入如图1-36所示页面。在该页面上可以查看移动终端接入的日志信息。
4. 流量限额日志
流量限额日志是记录对用户流量或时长进行限制的日志。通过“策略配置 > 用户限额策略”配置限额策略,在“系统管理 > 系统设定 > 日志设定 > 日志过滤”中,配置记录或发送“流量限额日志”。当设备检测到用户上网的流量达到限额阈值时,将会产生相关的流量限额日志信息。详细配置请参见“限额策略”章节。
通过菜单“数据中心 > 日志中心 > 终端日志 > 流量限额日志”,进入流量限额日志页面。在该页面上可以查看用户流量限额策略产生的日志信息。
图1-37 流量限额日志
5. DDI终端用户日志
进入“用户管理 > 认证管理 > 高级选项 > 第三方用户同步 > 其它用户同步”,勾选DDI终端用户启用(此功能依赖于第三方DDI服务器,需要服务器将终端型号信息同步给设备),当开启DDI终端用户同步,DDI设备将终端上下线信息同步给设备后会产生DDI终端用户日志。
选择“数据中心 > 日志中心 > 终端日志 > DDI终端用户日志”,即可进入DDI终端用户日志。
图1-38 DDI终端用户日志
6. 用户自注册日志
用户自注册日志包括用户注册申请日志和用户注册审批日志,记录本地Web认证启用户自注册后,终端用户在自注册页面提交注册申请产生的日志,以及管理员对自注册申请进行审批产生的日志。
选择“数据中心 > 日志中心 > 终端日志 > 用户自注册日志”,即可进入用户自注册日志。
图1-39 用户自注册日志
1.6.7 客户端日志
设备与插件对接,通过给终端推送插件,让终端安装插件的方式,实现对用户终端的行为审计。客户端日志记录客户端审计产生日志,包括聊天日志、浏览器日志、邮件日志、USB事件日志、进程列表日志,如下图所示。详细配置请参见“客户端审计”章节。
图1-40 客户端聊天日志
点击“下载”可以将传送的文件和图片下载到本地。
点击“详细”进行查看聊天的内容。
点击<查询>按钮,可以根据设定的条件,查询关心的日志。
1.6.8 终端审计日志
设备与EBM对接,通过推送用户终端安装插件的方式,实现用户终端的行为审计。终端审计日志记录终端审计产生日志,包括光驱刻录日志、打印审计日志、USB设备识别日志、蓝牙文件审计日志、蓝牙配对改变日志、网页浏览记录日志、论坛发帖记录日志、邮件记录日志、聊天记录日志、应用程序使用日志。
图1-41 光驱刻录日志
点击“下载”可以将传送的文件和图片下载到本地。
点击“详细”进行查看聊天的内容,如下图所示。
点击<查询>按钮,可以根据设定的条件,查询关心的日志。
1.6.9 系统会话日志
选择“系统设定>日志设定>会话日志设定”设置会话日志,详细配置请参见系统会话日志设定。
设置系统会话日志的匹配条件后,通过终端发送匹配条件的数据,设备上会记录系统产生会话的日志信息,通过菜单“数据中心 > 日志中心> 会话日志”查看设备记录的会话日志,如下图所示。
1.7 日志导出
日志支持导出功能,可以直接导出全部查询结果的日志数据,也可以输入查询条件后,导出过滤后的日志数据。
l 不查询直接导出:导出所有日志数据。最多支持导出100万条数据(即如果日志量超过100万条,则导出最近的100万条日志),最多导出180天的数据(即如果日志量跨度超过180天,则导出最近的180天的日志)。
l 查询后导出:导出经过查询后的日志数据。最多支持导出100万条数据。
以“访问网站日志”为例,日志导出的步骤如下:
(1) 在导航栏中选择“数据中心>日志中心>审计日志>访问网站日志”,进入访问网站日志页面,如图1-44所示。
(2) (可选)单击<查询>,弹出“日志过滤”页面,输入要查询的条件。
图1-45 日志过滤页面
单击<查询>后,显示查询后的日志结果信息,如下图所示。
图1-46 日志查询结果页面
(3) 单击<导出>,可以在弹出的过滤框中设置加密密码,如图1-47所示;单击<导出>,即可将导出的日志压缩包下载到本地,导出的文件如图1-48所示。
(4) 将导出的日志文件解压缩(如果设置了加密密码,解压缩时需输入导出时设置的加密密码),压缩后的日志文件为CSV文件,如图1-49所示。
1.8 日志典型配置举例
1.8.1 日志典型配置举例
1. 组网需求
· 配置一台日志服务器接收日志,IP地址是192.168.1.73,端口是9988。
· 配置本地不记录操作日志,并且将告警级别以上的操作日志发送到日志服务器。
2. 组网图
图1-50 配置日志组网图
3. 配置步骤
(1) 配置日志服务器,点击“系统管理 > 系统设定 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,日志服务器的IP为192.168.1.73,端口为9988,并勾选启用,如图1-51所示。点击<提交>按钮,完成日志服务器的配置。
点击“系统管理 > 系统设定 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,将操作日志后面的本地日志改为不记录,Server日志改为发送,告警,如图1-52所示。点击<提交>按钮,完成日志过滤的配置
4. 验证配置
执行告警级别以上的操作,不能从本地查询到操作日志,可以从日志服务器上查询到操作日志。
- 2025-07-26回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论