应用审计策略里有一条any-any,上网行为监控怎么还是空白的?
(0)
监控-应用审计日志 里面是空的么?
Info-center enable
webui log enable
session statistics enable
session top-statistics enable
application global statistics enable
inspect activate
(0)
概览里有个上网行为监控是空的
输入这些命令再看看
现在只能web界面,
参考这个案例:
==========
15.6.1 故障描述
组网需求:
局域网内PC通过防火墙访问Internet,防火墙上开启应用审计业务。保护内外网用户数据传输信息安全。
配置描述
安全策略中开启应用审计检测。
#
uapp-control
policy name default audit
rule 1 app-category IM behavior FileTransfer bhcontent any keyword include any
action deny audit-logging
#
故障描述
使用者从局域网向Internet执行敏感动作, 例如传文件和登录等操作时,动作执行成功,且设备无日志。
15.6.2 故障处理步骤
(1) 查看APR版本信息,是否为最新版本,如果版本较老,请从官网上获取最新版本进行升级。
(2) 查看设备引擎状态,是否bypass,如果进行了手工bypass或cpu、memory自动bypass,可以通过undo inspect bypss命令重新激活引擎。
(3) 查看应用审计与管理策略是否下发引擎,如果没有下发数据过滤规则,需要在系统视图下执行inspect activate或通过Web激活引擎,重新下发规则。
[H3C-probe]display system internal inspect dim-rule
Slot 1:
MdcID MoudleName Total MD5 rules
0 Anti-Virus 0
MdcID RuleID ModuleName L4ProName uiAppIdL5
1 1 AUDIT TCP WECHAT_LOGIN_IOS
_TCP_M
0 1 IPS TCP HTTP
0 2147483649 FFILTER TCP
1 2 AUDIT TCP WECHAT_LOGIN_AND
ROID_TCP_M
0 2 IPS TCP HTTP
0 2147483650 FFILTER TCP
1 3 AUDIT TCP WECHAT_SENDTEXT_
WINDOWS_TCP_M
0 2147483651 FFILTER TCP
1 4 AUDIT TCP WECHAT_SENDTEXT_
IOS_TCP_M
0 4 IPS TCP HTTP
(4) 查看规则状态是否为使能状态,对应流量是否优先走了其他规则。
(5) 查看会话是否建立,确保会话的源目IP在指定的安全域内,并且在该域间启用深度检查功能,引用应用审计与管理策略。
[H3C-probe]display session table ipv4 source-ip 7.0.1.2 verbose
Slot 2:
Initiator:
Source IP/port: 7.0.1.2/50779
Destination IP/port: 7.0.0.2/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet2/0/2
Source security zone: Trust
Responder:
Source IP/port: 7.0.0.2/80
Destination IP/port: 7.0.1.2/50779
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet2/0/3
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 0
Rule name: ips
Start time: 2019-11-15 11:31:01 TTL: 1197s
Initiator->Responder: 7 packets 1073 bytes
Responder->Initiator: 7 packets 2413 bytes
Total sessions found: 1
(6) 前面都检查没有问题后设备还是不能拦截,有可能此时应用的应用审计设备暂不支持,此时需要协助抓取对应的交互报文反馈报文给研发进行分析。
15.6.3 故障诊断命令
命令 | 说明 |
inspect activate | 缺省情况下,DPI各业务模块自定义的规则或手动离线升级的特征库不生效 |
display inspect status | 显示应用层检测引擎的运行状态 |
(0)
现在只能web界面
配置了应用审计,在概览里上网行为监控应该有东西吧,防火墙有acg服务
有web界面的操作地方吗?
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
web应该不支持这些命令,进命令行配置一下吧