问
态势感知日志数据包下载
16小时前提问
- 0关注
- 0收藏,56浏览
已采纳
H3C 安全威胁发现与运营管理平台(态势感知)溯源中心数据包下载无文件完整配置方案
核心原理
「数据包下载」功能的报文不是普通 syslog 日志,是设备本地抓包镜像流量 / 威胁特征匹配的原始 pcap 报文,分两类采集来源:防火墙 / ACG 内置威胁抓包、独立流量采集器(日志采集器 + 分光镜像),缺一不可。
一、场景 1:边界安全设备(F/ACG/AD 防火墙)直接产生威胁数据包(最常用)
防火墙检测到攻击、病毒、漏洞、异常会话时,自动抓取对应五元组报文上传态势感知,溯源中心才可下载 pcap 包。
1. 防火墙侧必须开启 2 项配置
① 全局开启威胁报文捕获
plaintext
system-view
# 全局开启攻击行为自动抓包
packet capture threat enable
# 设置抓包缓存大小(默认过小会丢包,建议512M)
packet capture buffer size 512
# 单条威胁会话最大抓包长度
packet capture max-length 1024
② 日志输出配置:同步上传抓包文件至态势感知平台
plaintext
# 配置态势感知平台syslog/二进制报文接收地址
info-center source default channel logbuffer
info-center loghost source Vlan-interface 管理VLAN
# 态势感知服务器IP
info-center loghost 10.xx.xx.xx facility local4
# 关键:开启威胁抓包文件同步上传
info-center packet-capture upload enable
# 指定上传目标为态势感知平台
info-center packet-capture upload server 10.xx.xx.xx port 514
③ 威胁策略开启抓包动作
IPS / 病毒 / 应用控制规则命中时,必须配置
packet-capture动作,只 deny 不抓包不会生成报文:plaintext
security-policy
rule name BLOCK_VIRUS
application virus
action deny
packet-capture # 核心:命中此规则自动抓取原始数据包
二、场景 2:分光 + 独立流量采集器(日志采集器)全流量镜像抓包
如果是交换机镜像流量到采集器,需要完整三层配置才能生成可下载 pcap:
1. 交换机配置流量镜像(SPAN)
把上下行业务流量镜像到采集器上联口
plaintext
system-view
mirroring group 1 local
mirroring group 1 monitor GigabitEthernet 1/0/24 # 采集器对接口
mirroring group 1 source GigabitEthernet 1/0/0 both # 出口业务口双向镜像
2. 流量采集器(日志采集器)配置
- 采集器上联交换机镜像口;
- Web 界面开启流量存储(pcap 缓存);
- 采集器对接态势感知平台,开启「原始报文同步推送」;
- 设置报文缓存时长(至少保留 24 小时,否则过期自动清理)。
3. 态势感知平台资产录入采集器
资产中心新增采集器设备,录入采集器管理 IP、设备类型「流量采集器」,平台才能关联采集到的 pcap 报文。
三、态势感知平台侧 4 项必填配置(缺一不可)
1. 资产中心录入所有产生报文的设备
防火墙、ACG、流量采集器全部录入资产,填写正确设备 IP、设备型号、syslog 密钥;未录入资产的设备报文平台无法关联,不展示数据包下载按钮。
2. 接收服务器端口放行
态势感知服务器防火墙放行端口:
- UDP 514:syslog 日志
- TCP/UDP 514/6514:威胁抓包 pcap 文件上传端口 服务器本地防火墙、前端边界防火墙均不能拦截。
3. 存储资源配置(磁盘空间不足会自动丢弃 pcap)
- 进入「运营中心 - 存储管理」,查看报文存储磁盘使用率;
- 若使用率 90% 以上,旧抓包文件自动清理,日志无数据包;
- 调整报文留存周期,默认 7 天,按需延长。
4. 日志关联开关开启
顶部「全局导航 - 系统配置 - 日志采集」:
- 开启 威胁抓包文件接收 总开关;
- 开启流量采集器原始报文解析;
- 勾选「日志详情关联原始数据包」。
四、快速排查无数据包的 4 个自检步骤
- 看告警类型 只有IPS 攻击、病毒、恶意流量、暴力破解等威胁类日志才有数据包;普通网页访问、ping、登录等正常业务日志,不会生成抓包文件,自然无下载按钮。
- 防火墙校验抓包是否生成 防火墙本地查看缓存抓包:
plaintext
display packet capture cache
无输出 = 防火墙没抓到报文,先修复防火墙
packet capture threat enable配置。
3. 平台校验资产状态
资产中心查看设备状态为「正常在线」,离线设备不会接收抓包文件。
4. 时间周期核对
溯源中心统计周期不要选太短,抓包文件同步存在 1~5 分钟延迟,告警产生后等待几分钟再查看日志详情。五、高频踩坑总结
- 只开 syslog 日志,防火墙没配置
packet-capture threat enable和info-center packet-capture upload,无 pcap 上传; - 安全策略只做阻断,未加
packet-capture动作,威胁命中不抓包; - 交换机未配置双向流量镜像,采集器只收单向流量或无流量;
- 态势感知磁盘占满,旧抓包自动删除,日志不显示数据包下载;
- 设备未录入平台资产,报文无法关联日志详情。
在网络安全态势感知平台中,日志数据的生成与展示依赖于“日志采集器”与“日志源(如防火墙、交换机等设备)”之间的正确对接。如果日志列表中没有数据包(即无数据),通常是因为采集链路未打通或配置不匹配。
要让态势感知正常接收并展示日志数据包,您需要从以下几个核心维度进行配置与排查:
1. 配置日志源(发送端)
首先,需要确保产生日志的设备(如 H3C 防火墙、华为交换机等)已正确配置向态势感知发送日志。
- 开启信息中心:在设备上开启日志发送功能(如 H3C 设备执行
info-center enable)。 - 指定日志主机:将日志主机(Loghost)的 IP 地址配置为态势感知平台的被动采集器 IP,默认端口通常为 UDP 514。
- 统一时间与时区:确保日志源设备与态势感知平台的系统时间和时区(如 UTC+8)保持一致,否则日志可能因时间戳异常而无法入库或检索。
2. 配置态势感知平台(接收端)
设备开始发送日志后,态势感知平台必须知道如何接收和解析这些数据。
- 新增被动采集日志源:在态势感知平台的“日志源管理”或“被动采集”页面,新增一个日志源。
- 关联采集器与端口:填写日志源的 IP 地址,并关联正确的采集器。同时,需配置接收该日志的端口号(如 514)以及字符集编码。
- 精准选择日志类型:这是最容易被忽略的一步。在添加端口信息时,必须准确选择对应的日志类型(如“H3C Firewall”或“操作日志”)。如果选择为通用 Syslog 或其他错误类型,采集器可能无法正确解析,导致日志被丢弃。
3. 网络连通性与策略排查
- 放通网络策略:确保从日志源设备到态势感知采集器之间的路由可达,并且沿途的防火墙/安全组已放通对应的端口(如 UDP 514、UDP 161 等)。
- 抓包验证:如果配置无误但仍无数据,可以在采集器服务器上使用
tcpdump或nc -ul 514命令监听端口,验证是否实际收到了来自日志源的原始报文。
4. 平台后端与授权检查
如果采集器已经收到了报文,但前端依然看不到数据,可能是平台后端处理环节出了问题。
- 检查授权与规则库:确认态势感知的安全日志分析授权是否在有效期内,且安全规则库已更新至最新版本。授权过期会导致平台仅保留原始采集计数,但不生成可检索的日志。
- 检查存储与索引:排查态势感知平台的磁盘使用率是否已满,或者索引服务是否出现延迟/异常。必要时可尝试重启被动采集器及相关后台解析进程。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论