不涉及
V7防火墙缺省日志输出规则如下:
输出方向 |
日志信息来源 |
开关 |
等级 |
控制台 |
所有支持的模块 |
开 |
debugging |
监视终端 |
所有支持的模块 |
关 |
debugging |
日志主机 |
所有支持的模块 |
开 |
informational |
日志缓冲区 |
所有支持的模块 |
开 |
informational |
日志文件 |
所有支持的模块 |
开 |
informational |
也就是说默认开启info-center enable命令后日志均会产生于日志缓存区和日志文件中。
此时我们在web界面上查看攻击防范日志并没更新,检查日志缓存区和日志文件上有没有生产对应的日志信息,可以通过收集诊断信息和logfile文件进行检查。
检查诊断信息中的save-configruration配置发现
undo info-center enable
升级重启后读取的为保存配置,导致日志信息中心并没有打开。
此时我们开启info-center enable 后发现WEB日志中的攻击防范行为还是没有更新,此时我们做如下检查:
logbuffer中能正常显示攻击防范日志
%Dec XXXXXX F1080 ATK/3/ATK_IP4_ACK_FLOOD_SZ: SrcZoneName(1025)=Trust; DstIPAddr(1007)=XXXXX; RcvVPNInstance(1042)=; UpperLimit(1049)=1000; Action(1053)=logging; BeginTime_c(1011)=XXXXXX
将设备上的攻击防范信息记录清空做统计,显示正常增长:
Attack policy name: 1
Slot 1:
Scan attack defense statistics:
AttackType AttackTimes Dropped
No scanning attacks detected.
Flood attack defense statistics:
AttackType AttackTimes Dropped
ACK flood 5 0
UDP flood 1 0
Signature attack defense statistics:
AttackType AttackTimes Dropped
Traceroute 13 13
由于现场设备开了安全策略记录日志,生产的大量信息都将攻击防范日志冲散后,导致在web日志中无法正常查看攻击防范日志。关闭安全策略日志记录功能后问题解决,建议配置安全策略时优化配置仅记录关键日志或者将日志发送到日志主机上记录。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作