问
防火墙secpath f1050日志字段含义
1天前提问
- 0关注
- 0收藏,52浏览
一、标准 Syslog 头部(RFC3164/RFC5424,所有日志都有)
典型格式(F1050 默认):
plaintext
%Mar 5 10:00:00 192.168.1.1 F1050 /5/SESS_LOG: ...
1. Prefix(前缀 / 类型符)
%:普通日志(informational 及以上)H3C*:debug 日志H3C^:诊断日志H3C
2. PRI(优先级,发往 loghost 时)
公式:
PRI = facility×8 + levelH3C- facility:local0~local7(16~23),默认 local7H3C
- level:
- 0 emergency 紧急
- 1 alert 告警
- 2 critical 严重
- 3 error 错误
- 4 warning 警告
- 5 notification 通知(常用)
- 6 informational 信息
- 7 debug 调试
3. Timestamp(时间戳)
格式:
MMM DD HH:MM:SS [YYYY]
例如:Mar 5 10:00:00 2026- 精确到毫秒:
HH:MM:SS.XXXH3C
4. Hostname/Sysname
- 设备主机名或 IP(如上例
192.168.1.1或F1050)
5. Module/Level/Mnemonic
- Module:模块名(
SESS_LOG、ATTACK、SHELL、IPSEC等) - Level:日志级别(数字 0~7,如
/5/) - Mnemonic:助记符(事件类型,如
SESS_LOG、TCP_CONN)
二、F1050 会话 / 流日志关键字段(最常用)
典型内容:
plaintext
... SESS_LOG: SIP=10.1.1.1, SPORT=1234, DIP=202.105.1.1, DPORT=80, PROTO=6, ...
表格
| 字段 | 含义 | 说明 |
|---|---|---|
| SIP | 源 IP | 原始源 IP(NAT 前)H3C |
| SPORT | 源端口 | TCP/UDP 源端口H3C |
| DIP | 目的 IP | 原始目的 IP(NAT 前)H3C |
| DPORT | 目的端口 | TCP/UDP 目的端口H3C |
| PROTO | 协议号 | 6=TCP, 17=UDP, 1=ICMPH3C |
| SRC_NAT_IP | 源 NAT IP | 转换后源 IP(源 NAT)H3C |
| SRC_NAT_PORT | 源 NAT 端口 | 转换后源端口H3C |
| DST_NAT_IP | 目的 NAT IP | 转换后目的 IP(目的 NAT)H3C |
| DST_NAT_PORT | 目的 NAT 端口 | 转换后目的端口H3C |
| VRF | VRF 名称 | 所属 VRF,默认 public |
| IN_IF | 入接口 | 流量进入接口(如 G1/0/1) |
| OUT_IF | 出接口 | 流量离开接口 |
| ZONE_IN | 入安全域 | 如 trust、untrust |
| ZONE_OUT | 出安全域 | 如 untrust、dmz |
| START_TIME | 会话开始时间 | 秒级时间戳(自 1970)H3C |
| END_TIME | 会话结束时间 | 同上 |
| PACKETS | 报文数 | 会话总包数 |
| BYTES | 字节数 | 会话总字节数 |
| ACTION | 动作 | permit放行、deny阻断、nat转换 |
| RULE_ID | 规则 ID | 匹配的安全策略 ID |
| USER | 用户名 | 认证用户(如 Web 认证、AD 域) |
三、攻击 / 安全日志字段(IPS/AV/URL 过滤)
示例:
plaintext
... ATTACK: TYPE=IPS, SUBTYPE=SQLI, SRC=10.1.1.1, DST=202.105.1.1, DPORT=80, ACTION=BLOCK, ...
表格
| 字段 | 含义 | |
|---|---|---|
| TYPE | 安全类型 | IPS入侵防御、AV防病毒、URL过滤、DOS攻击 |
| SUBTYPE | 子类型 | 如 SQLI SQL 注入、XSS跨站脚本、SYN_FLOOD |
| ATTACK_ID | 攻击 ID | 特征库编号 |
| SEVERITY | 严重等级 | high/medium/low |
| ACTION | 动作 | block阻断、alert告警、reset重置连接 |
| PROTO | 协议 | TCP/UDP/ICMP |
| METHOD | HTTP 方法 | GET/POST/PUT(Web 攻击) |
| URI | 访问 URI | 请求路径(如 /login.php) |
| HOST | 主机头 | HTTP Host 字段 |
四、系统 / 操作日志字段(管理员登录、配置变更)
示例:
plaintext
... SHELL/5/SHELL_LOGIN: VTY logged in from 192.168.1.100
表格
| 字段 | 含义 | |
|---|---|---|
| USER | 操作用户 | admin、user1 |
| IP | 操作源 IP | 登录 / 配置来源 IP |
| LINE | 用户线 | VTY0、CON0 |
| CMD | 执行命令 | 如 save、ip route |
| RESULT | 结果 | success/fail |
五、F1050 特有扩展字段(RFC5424 可选)
DevIp:设备发送日志的 IPSlot:IRF 成员编号SN:设备序列号(需配置info-center loghost locate-info with-sn)
六、给解析程序的建议
- 先拆 Syslog 头:按空格 / 冒号分割,提取时间、主机、模块级别。
- 再拆业务 KV:内容部分按
,分割,再按=拆 key-value。 - 字段统一映射:
- SIP/SRC → 源 IP
- DIP/DST → 目的 IP
- SPORT/DPORT → 端口
- PROTO → 协议
- ACTION → 执行动作
暂无评论
H3C SecPath F1050 防火墙的日志字段含义取决于你具体需要解析的是哪一类日志。F1050 的日志主要分为系统运行日志(Syslog)和安全业务日志两大类。
为了帮你做日志解析,我整理了这两类日志中最核心的字段含义:
1. 系统运行日志(Syslog)通用字段
这类日志主要记录设备自身的运行状态、配置变更等。其标准格式包含以下几个核心字段:
| 字段名 | 含义说明 |
|---|---|
| time | 日志产生的时间,格式通常为 yyyy-mm-dd hh:mm:ss。 |
| fw | 防火墙的设备名称(Hostname)。 |
| pri | 日志的严重级别(数值越小越严重,0-7级)。 |
| type | 日志类型,系统日志通常固定为 secure。 |
| recorder | 产生该日志的功能模块或进程名称(如 kernel、RM 等)。 |
| msg | 具体的日志描述信息,包含详细的参数和事件说明。 |
Syslog 严重级别(pri)对照表:
- 0 (Emergency):系统不可用(如授权到期)
- 1 (Alert):需立即处理(如流量超限)
- 2 (Critical):严重故障(如风扇/电源故障、温度过高)
- 3 (Error):错误信息(如接口链路状态变化)
- 4 (Warning):警告信息(如内存耗尽告警)
- 5 (Notification):重要正常事件(如设备重启、管理员登录)
- 6 (Informational):普通通知(如 Ping 命令执行记录)
- 7 (Debug):调试信息
2. 安全业务日志字段(监控重点)
如果你需要解析的是防火墙拦截攻击、流量控制的日志,通常在 Web 界面的【监控】-【安全日志】下查看。这类日志虽然模块不同,但通常包含以下关键五元组及业务字段:
- 时间戳:攻击或事件发生的时间。
- 源 IP (src):发起流量的源地址。
- 目的 IP (dst):流量访问的目标地址。
- 源端口/目的端口:通信的端口号。
- 协议类型:如 TCP、UDP、ICMP 等。
- 攻击类型/威胁名称:具体触发的安全策略,例如“SYN Flood”、“端口扫描”、“Web应用防护”等。
- 动作:防火墙对该流量的处理结果,如“阻断(Deny)”、“放行(Permit)”或“告警(Alert)”。
获取最精准字段字典的方法
由于 F1050 不同软件版本(如 Comware V5/V7)的日志
msg 内容会有差异,为了获取最准确的字段解析字典,强烈建议你下载官方文档:- 访问 H3C 官网的服务支持页面。
- 搜索并下载 《H3C SecPath F1000系列防火墙 日志手册》(注意选择与你设备软件版本一致的文档,如 5W101 或 5W102)。
- 在手册的“日志模块列表”和“日志示例”章节中,官方会详细列出每个模块(如 NBAR、攻击防范、IPSec等)产生的日志中,每一个可变参数(如
%1,%2或INT32,IPADDR)的具体代表含义。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论