上网行为监控是空白的,
- 0关注
- 0收藏,799浏览
问题描述:
应用审计策略里有一条any-any,上网行为监控怎么还是空白的?
组网及组网描述:
- 2022-08-29提问
- 举报
-
(0)
监控-应用审计日志 里面是空的么?
Info-center enable
webui log enable
session statistics enable
session top-statistics enable
application global statistics enable
inspect activate
- 2022-08-29回答
- 评论(4)
- 举报
-
(0)
参考这个案例:
==========
应用审计没有生效,且没有产生日志
15.6.1 故障描述
组网需求:
局域网内PC通过防火墙访问Internet,防火墙上开启应用审计业务。保护内外网用户数据传输信息安全。
配置描述
安全策略中开启应用审计检测。
#
uapp-control
policy name default audit
rule 1 app-category IM behavior FileTransfer bhcontent any keyword include any
action deny audit-logging
#
故障描述
使用者从局域网向Internet执行敏感动作, 例如传文件和登录等操作时,动作执行成功,且设备无日志。
15.6.2 故障处理步骤
(1) 查看APR版本信息,是否为最新版本,如果版本较老,请从官网上获取最新版本进行升级。
(2) 查看设备引擎状态,是否bypass,如果进行了手工bypass或cpu、memory自动bypass,可以通过undo inspect bypss命令重新激活引擎。
(3) 查看应用审计与管理策略是否下发引擎,如果没有下发数据过滤规则,需要在系统视图下执行inspect activate或通过Web激活引擎,重新下发规则。
[H3C-probe]display system internal inspect dim-rule
Slot 1:
MdcID MoudleName Total MD5 rules
0 Anti-Virus 0
MdcID RuleID ModuleName L4ProName uiAppIdL5
1 1 AUDIT TCP WECHAT_LOGIN_IOS
_TCP_M
0 1 IPS TCP HTTP
0 2147483649 FFILTER TCP
1 2 AUDIT TCP WECHAT_LOGIN_AND
ROID_TCP_M
0 2 IPS TCP HTTP
0 2147483650 FFILTER TCP
1 3 AUDIT TCP WECHAT_SENDTEXT_
WINDOWS_TCP_M
0 2147483651 FFILTER TCP
1 4 AUDIT TCP WECHAT_SENDTEXT_
IOS_TCP_M
0 4 IPS TCP HTTP
(4) 查看规则状态是否为使能状态,对应流量是否优先走了其他规则。
(5) 查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用应用审计与管理策略。
[H3C-probe]display session table ipv4 source-ip 7.0.1.2 verbose
Slot 2:
Initiator:
Source IP/port: 7.0.1.2/50779
Destination IP/port: 7.0.0.2/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet2/0/2
Source security zone: Trust
Responder:
Source IP/port: 7.0.0.2/80
Destination IP/port: 7.0.1.2/50779
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet2/0/3
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 0
Rule name: ips
Start time: 2019-11-15 11:31:01 TTL: 1197s
Initiator->Responder: 7 packets 1073 bytes
Responder->Initiator: 7 packets 2413 bytes
Total sessions found: 1
(6) 前面都检查没有问题后设备还是不能拦截,有可能此时应用的应用审计设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。
15.6.3 故障诊断命令
命令 | 说明 |
inspect activate | 缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效 |
display inspect status | 显示应用层检测引擎的运行状态 |
- 2022-08-29回答
- 评论(5)
- 举报
-
(0)
现在只能web界面
配置了应用审计,在概览里上网行为监控应该有东西吧,防火墙有acg服务
有web界面的操作地方吗?
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
概览里有个上网行为监控是空的
输入这些命令再看看
现在只能web界面,
web应该不支持这些命令,进命令行配置一下吧