日志服务器 F1060
- 0关注
- 1收藏,1513浏览
问题描述:
客户买了了IPS. AV. ACG的授权并在域间策略调用了特征库
现在客户想搭建日志服务器查看攻击源的IP和MAC
,对于搭建日志服务器麻烦大佬们给个案例和推荐下好用的软件平台
- 2019-07-23提问
- 举报
-
(0)
DPI 日志包含 威胁日志,URL过滤日志,文件过滤日志,应用审计日志,除了写入信息中心(infocenter),还自动写入内存数据库或者硬盘数据库;
从LOG分类上来说,属于syslog日志,格式大致如下(示意下):
%Dec 5 12:01:15:500 2018 F5020_1 FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Slot=1;
SrcZoneName(1025)=Trust;DstZoneName(1035)=Trust;Type(1067)=ACL;SecurityPolicy(1072)=pass;RuleID(107
8)=5;Protocol(1001)=ICMP;SrcIPAddr(1003)=10.0.2.10;DstIPAddr(1007)=10.0.1.2;IcmpType(1062)=ECHO(8);Ic
mpCode(1063)=0;MatchCount(1069)=14;Event(1048)=Permit;
[H3C] info-center enable // 开启信息中心(缺省开启)
[H3C] info-center loghost 172.31.0.61 //
#配置日志主机
[H3C] info-center source default loghost level debugging //
#配置日志信息发送到日志主机时的输出规则
syslog级别分类如下:
syslog不项flow(userlog)日志,flow是依据五元组来进行统计的,如上面 日志示例,可以看到源目ip,mac看不到。
搭建的话,即如上述命令,syslog默认使用UDP 514端口,服务器侧部署可使用514接收
如果有帮助到您,请点 “采纳” 按钮已完成您的提问,闭环问题单,谢谢!
- 2019-07-23回答
- 评论(0)
- 举报
-
(1)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论