我们有大量路由器想对异常统一汇聚处理,通过在路由器上配置日志接收后我们可以接到推送过来的Syslog日志,但日志格式都不相同,我们想从设备的Syslog中解析所有警告、错误、严重、告警、紧急的日志信息并做后续的业务,我参考了《H3C 安全产品 日志信息参考(V7)(R8X60 R9X60 E1185)-6W602》文档,里面的格式信息都不同,咱们有相关的日志解析SDK吗?或是通用的解析方式?
《H3C 安全产品 日志信息参考(V7)(R8X60 R9X60 E1185)-6W602》
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Message/H3C_Mess(V7)(R8X60_R9X60_E1185)/#_Toc78987321
日志:
<188>Dec 2 10:54:20 2021 H3C %%10IPS/4/IPS_IPV4_INTERZONE: Protocol(1001)=TCP; Application(1002)=http; SrcIPAddr(1003)=192.168.124.17; SrcPort(1004)=4486; DstIPAddr(1007)=192.168.125.1; DstPort(1008)=80; RcvVPNInstance(1042)=--; SrcZoneName(1025)=Trust; DstZoneName(1035)=DMZ; UserName(1113)=192.168.124.17; PolicyName(1079)=default; AttackName(1088)=Cross_Site_Scripting_(XSS); AttackID(1089)=23309; Category(1090)=Vulnerability; Protection(1091)=WebServer; SubProtection(1092)=Any; Severity(1087)=MEDIUM; Acti
<190>Nov 19 00:30:53 2021 H3C %%10FILTER/6/FILTER_ZONE_IPV4_EXECUTION: SrcZoneName(1025)=Trust;DstZoneName(1035)=Local;Type(1067)=ACL;SecurityPolicy(1072)=TO_local_untrust;RuleID(1078)=0;Protocol(1001)=IGMP;Application(1002)=invalid;SrcIPAddr(1003)=192.168.124.3;SrcPort(1004)=0;SrcMacAddr(1021)=8c34-01aa-e139;DstIPAddr(1007)=224.0.0.22;DstPort(1008)=0;MatchCount(1069)=1;Event(1048)=Permit;
(0)
最佳答案
1、建议都升级到最新版本
2、如果需要SDK可以联系400研发索取
3、即便不相同,也可以通过logstash做二次处理之后在统一处理
(0)
日志格式有几千种logstash不太现实,咱们路由器中是有管理页面的,完美的显示了日志信息,咱们应该有相应的解析方案。
咱们400研发的具体电话是多少?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
电话4008100504 建议下载新华三服务 APP,通过APP注册拨打,这样接入速度快