H3C SecPath A2000-AK601

运维审计系统支持Syslog和邮件两个方式发送告警事件。

1. 选择系统设置 > 系统 > 基本设置 > 告警事件。
2. 设置各参数，完成后单击确定。
   
   
   
   
   

   参数	说明
   syslog日志事件来源	配置需要通过Syslog发送的日志类型和最低发送级别(Severity)。 身份验证：表示用户登录运维审计系统的事件，包括登录成功（级别为INFORMATIONAL）和登录失败（级别为WARNING）。 资产访问：表示发送资产访问的事件，支持发送资产访问成功/失败告警。请参考配置规则模板配置资产访问的事件级别。 命令防火墙：表示用户执行了高危命令中动作除了允许之外的命令，包括拒绝、终止会话、需复核、通知和全局禁止。对于需复核的命令，复核人执行复核操作后才会发送日志。 会话复核：表示用户执行了需要复核的会话。会话复核的级别和标题在工作台 > 高危操作 > 设置 > 会话复核中配置。配置了复核的会话一启动，运维审计系统就会发送日志。 字符审计日志：表示用户通过访问字符会话执行操作的事件，事件级别为INFORMATIONAL。 配置日志：表示用户在运维审计系统上操作产生的配置日志。例如：管理员进行配置用户、配置资产、配置工单、配置权限、查看审计等配置功能产生的日志。事件级别为INFORMATIONAL。 文件传输日志：表示用户在目标资产中执行文件传输操作的事件，事件级别为INFORMATIONAL。 系统告警：当触发系统告警时，运维审计系统可以定时发送告警日志，系统告警事件包括磁盘信息、服务信息、授权过期信息、节点负载过高以及应用发布服务器GSessiond服务不可用等。事件级别为WARNING。 勾选后，根据页面显示设置重复发送的时间间隔，该设置仅对系统告警生效。 Note: 服务信息是指运维审计系统的服务异常。
   事件级别	在只发送级别不低于X的事件消息中选择需要发送的事件级别，只有和所选级别相同或者更高的事件才会发送。如果选择NONE表示不发送。 事件级别由低到高依次为：NONE （不发送告警事件）—>DEBUG（调试级）—>INFORMATIONAL（通知级）—>NOTICE（注意级）—>WARNING（告警级）—>ERROR（错误级）—>CRITICAL（临界级）—>ALERT（警戒级）—>EMERGENCY（致命级）。
   syslog日志发送对象	配置Syslog服务器： 远程主机，Syslog服务器IP地址，默认端口为514，自定义端口可在ip地址后加“:端口号”，例如“10.10.16.201:8022”。 Note: 远程主机最多可配置3个。当配置多个时，向所有的远程主机发送告警事件消息。 协议，运维审计系统向Syslog服务器发送告警信息使用的协议，与Syslog服务器上的实际设置保持一致。 syslog机制，设置Syslog消息的Facility值，用于指定Syslog服务的日志保存路径并对日志进行分类，与Syslog服务器上的实际设置保持一致。 标识，用于配置Syslog的identifier，可以是任意字符，长度不超过30。建议配置为运维审计系统或者您对运维审计系统的其它称谓。
   syslog外发格式	支持标准syslog格式和JSON字符串格式。

   Note: 各种告警事件日志的样例如下：

   • 身份验证：Feb 27 09:21:51 node01 33.1: login(WEB)(INFORMATIONAL)(service=native, identity=admin(admin), ud=1, udn=ROOT, from=10.10.67.15, login authorize success)
   • 资产访问：Feb 27 17:21:27 node01 33.1: 访问Windows资产(INFORMATIONAL)(id=S11EWJHVYWPIS7, service=gui login, server=10.10.33.30(Server), dd=1, ddn=ROOT, account=administrator, identity=admin(admin), ud=1, udn=ROOT, from=10.10.67.15)
   • 命令防火墙：Feb 27 19:15:29 node01 33.1: 触发高危命令(WARNING)(id=S2UNUMCCK0M3ML, service=cmdcheck, action=confirm(pass), server=10.10.33.30(Server), dd=1, ddn=ROOT, account=root, identity=user01(用户1), ud=1, udn=ROOT, from=10.10.67.15, command=systemctl restart network)
   • 会话复核：Feb 27 17:12:09 node01 33.1: 触发会话复核(WARNING)(id=S2NAA5HWBXQZJO, service=sessionReview, server=10.10.33.30(Server), dd=1, ddn=ROOT, account=root,identity=user01(用户1), ud=1, udn=ROOT, from=10.10.67.15, authorizer=用户2, wait for reviewing)
   • 字符审计日志：Jun 27 14:33:28 node01 33.1: TUILOG(INFORMATIONAL)(id=S0E56FWNPTLV66, service=tuilog, server=10.10.33.30(Server), dd=1, ddn=ROOT, account=root, identity=admin(admin), ud=1, udn=ROOT, from=10.10.66.190, action=allow, command=ls)
   • 配置日志：Mar 13 14:13:23 node01 33.1: AUDITLOG(INFORMATIONAL)(id=AXDShqOS1YRx05v_tZnC, service=configlog, identity=admin(admin), ud=1, udn=ROOT, from=10.3.200.22, operate=新建用户, object=opt01, result=成功, details=[角色ID:5, 密码有效期:同系统配置, 加入系统时间:2020-03-13 14:13:23, 修改时间:2020-03-13 14:13:23, 姓名:操作员, 登录修改密码:否, 密码类型:手工输入, 删除:未删除, 帐号:opt01, 用户ID:101, 状态:活动, 用户类型:正式用户, 用户认证类型ID:1, 部门ID:1])
   • 系统负载告警：Feb 28 08:11:24 node01 33.1: System status turned to 'yellow'!!! node01
   • 系统告警：Nov 14 10:25:14 node01 node1: 节点“node01”负载过高，请尽快处理。
   • 文件传输日志：Dec 29 17:54:39 node01 33.1: FILELOG(INFORMATIONAL)(id=S0CY1Z7VSKGY05, service=filelog, server=10.10.33.30(Server), dd=1, ddn=ROOT, account=root, identity=admin(admin), ud=1, udn=ROOT, from=10.66.0.54, status=成功, action=上传文件, mode=sftp, path=/root/test.txt)