SecPath W2000-AK435（W2000-G2 AK 系列）日志解析全套官方文档清单

一、核心日志字段解析手册（做日志解析必看，字段全定义）

1. 《H3C SecPath Web 应用防火墙日志手册 - 5W101》（最核心解析文档）

• 官方下载地址：https://www.h3c.com/cn/d_201709/1032719_30005_0.htm
• 核心价值：
  1. 完整定义所有 Syslog 输出字段（攻击日志 / 访问日志 / 审计日志 / 防篡改日志）；
  2. 每个字段含义、取值范围、英文 / 中文映射表：
     • happentime 日志时间、severity_id 威胁等级 (1 最高 / 5 信息)、msg_id 攻击类型（SQL 注入 / XSS / 路径遍历等）
     • srcip/dstip 源目 IP、method HTTP 请求方法、action_id 动作（1 阻断 / 2 告警 / 3 放行）
     • rule_id 匹配防护规则 ID、match 攻击特征串、unique_id 会话唯一标识
  3. 区分字符串格式 Syslog、JSON 格式 Syslog两套输出模板；
  4. 每种日志产生场景、日志样例、安全处置建议。
• 适用：日志解析器、SIEM、ELK 字段提取映射开发。

2. 《H3C SecPath 安全产品 日志信息参考 (V7)-6W101》（通用安全日志基准）

• 下载：https://wwwsg.h3c.com/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Message/H3C_SecPath_Mess_V7_E9900-20295/?CHID=1043362
• 作用：WAF 基础系统日志、设备故障、登录审计通用日志编码定义，补充 5W101 未覆盖的系统事件日志。

二、设备日志配置操作手册（WAF 侧 Syslog 外发配置）

《H3C SecPath W2000-G2 [AK] 系列 Web 配置指导 (E6701)-5W108》

日志相关章节（第 16 章 日志报表）

1. 16.8 外发 Syslog 配置
   • 支持同时配置 3 台 Syslog 服务器，输出格式二选一：纯字符串 / JSON 结构化日志（推荐解析用 JSON）；
   • 可单独勾选外发日志类型：防护攻击日志、访问流量日志、系统审计日志、防篡改日志；
   • 编码选择 GBK/UTF-8（对接第三方 SIEM 统一选 UTF-8 避免乱码）；
2. 各类日志开关控制：访问日志（消耗性能，按需开启）、攻击防护日志、外联访问日志、网页防篡改日志；
3. 日志本地存储、自动备份、日志老化清理规则。

三、日志审计平台对接文档（SecCenter CSAP 采集 W2000-AK435）

《02 - 被动日志源典型配置》3.4.6 章节 W2000-AK4X5/G2 系列 WAF 对接说明

• 内容：
  1. WAF 侧 Syslog 配置完整步骤（事件通知界面启用告警 / 系统日志外发）；
  2. SecCenter 审计平台添加 WAF 日志源参数：设备型号选择W2000-AK4X5/G2、上报端口 514、编码 UTF8；
  3. 日志字段自动解析模板内置规则参考，可直接复用给第三方日志平台。

四、日志 Syslog 输出格式总说明（解析开发关键）

1. Syslog 标准头部（RFC5424）

• 优先级 Facility 默认 local0，Severity 对应威胁等级；
• 时间格式：yyyy-MM-dd hh:mm:ss

2. 两种消息体格式

1. JSON 格式（推荐日志解析）
   键值对标准化输出，所有字段独立 key，ELK/Splunk 直接自动提取，无分割符歧义；
   样例片段：
   json

   {"happentime":"2026-06-15 14:30:22","severity_id":"2","msg_id":"sql注入攻击","srcip":"10.1.1.10","dstip":"172.16.1.200","action_id":"1","method":"GET","rule_id":"100001"}
2. 字符串分隔格式
   空格 / 等号分割key=value，适合简易日志工具，多特殊字符容易分割错位。

3. 四大类日志完整字段覆盖

1. 防护攻击日志：SQL 注入、XSS、路径遍历、CC、恶意爬虫、主动防御；
2. 访问流量日志：正常 HTTP 访问、URL、UA、响应码、源目 IP、COOKIE；
3. 系统审计日志：管理员登录、配置修改、策略变更、设备重启；
4. 网页防篡改 / 外联日志：文件篡改告警、服务器外联恶意地址日志。

五、文档快速获取渠道

1. 新华三官方文档中心（权威原版 PDF）
   路径：官网首页→服务支持→文档中心→安全产品→Web 应用防火墙→W2000-G2 AK 系列；
2. 知了社区技术库：搜索关键词 W2000-AK435 日志手册 Syslog字段；
3. 若需对接第三方 SIEM，优先使用《5W101 日志手册》JSON 字段定义做解析映射。

六、日志解析开发建议

1. WAF Syslog 外发时强制开启 JSON 格式 + UTF-8 编码，大幅降低字段分割解析难度；
2. 日志过滤分类依据msg_id区分攻击类型、severity_id划分告警级别、action_id区分阻断 / 放行；
3. 如需完整攻击报文（POST 载荷），WAF 站点防护配置中将日志记录级别改为「详细」，默认不记录 POST 数据。