开启 SecPath F1000-AK135 的攻击和病毒日志,可以通过命令行(CLI)和 Web 界面两种方式实现。核心思路是两步:先开启日志功能,再配置日志的输出通道。
这种方式的配置逻辑清晰,适合习惯使用命令行的管理员。
信息中心是所有日志功能的总开关,确保它处于开启状态。
根据你需要记录的日志类型,执行对应的命令。这些命令通常用于开启某个安全功能的日志记录。
攻击防范日志:
这条命令用于开启攻击防范策略的日志记录功能。
病毒日志:
病毒日志的生成依赖于DPI(深度安全)功能。如果已购买并激活AV(防病毒)授权,可以通过以下命令开启:
这条命令用于开启防病毒模块的快速日志输出功能。
日志生成后,需要配置将它们发送到哪里。主要有两种方式:
配置日志主机(最常用):将日志发送到远程的Syslog服务器。
将 192.168.1.100 替换为你的日志服务器IP地址。
配置快速日志输出:这是一种高效的日志输出方式,适用于对性能要求较高的场景。具体命令为 customlog format。
这种方式更直观,适合不熟悉命令行的管理员。
开启日志功能后,可以在Web界面的 监控 > 日志 > 安全日志 中查看攻击和病毒等日志。例如,病毒攻击日志可在 病毒攻击日志 页面查看。
暂无评论
设备 V7 平台,分为Web 图形界面配置、命令行完整配置两种方式;分两类日志:
基础攻击防范日志:DDoS、扫描、洪水、端口攻击(attack-defense)
深度威胁日志:IPS 入侵攻击、AV 病毒查杀(DPI 深度检测模块,你核心需要的病毒 / 攻击日志)
重要:对接日志审计 / 采集器优先用快速日志 customlog(性能高、日志字段完整,等保 / 运维审计标配);传统 info-center syslog 仅作兜底。
一、Web 界面可视化配置(推荐,无需敲命令)
1. 基础:日志服务器(采集器)配置
路径:系统 > 日志设置 > 基本配置 > 快速日志zhiliao.h3...
点击【新建】,填写采集器服务器 IP,默认端口 UDP 514;
日志类型勾选:入侵防御日志、防病毒日志、攻击防范日志;
时间戳选择【设备本地时间】(避免时区偏差),保存。
2. 开启威胁日志输出开关
路径:系统 > 日志设置 > 威胁日志zhiliao.h3...
入侵防御日志:勾选【输出快速日志】,可选中文日志;
防病毒日志:勾选【输出快速日志】;
攻击防范日志:勾选【输出快速日志】;
确定保存。
3. 业务模块必须启用(否则无日志产生)
IPS 入侵防御:应用防护 → 入侵防御,启用防护策略,模板动作勾选「记录日志」;
AV 病毒查杀:应用防护 → 病毒防护,启用扫描,日志级别设为「高」;
全局攻击防范:攻击防范 → 全局设置,开启各类洪水 / 扫描攻击防御,勾选攻击日志;
安全策略:所有放通 / 阻断规则编辑,勾选【记录日志】(匹配流量才会触发威胁检测)。
二、命令行完整配置(一键复制部署,对接运维审计采集器)
步骤 1:全局基础日志总开关、信息中心兜底
plaintext
system-view
# 开启系统日志总开关
info-center enable
# 扩大本地缓存,临时查看日志
info-center logbuffer size 20480
# 可选:传统syslog兜底(和快速日志二选一,不建议同时开)
info-center loghost 192.168.1.200 # 替换采集器IP
info-center source SECLOG level informational loghost
步骤 2:开启攻击防范(DDoS / 扫描 / 洪水)日志
plaintext
# 全局开启攻击防范模块日志
attack-defense log all enable
# 细分洪水攻击日志全开
attack-defense log flood enable
attack-defense log scan enable
attack-defense log special-flow enable
步骤 3:开启 IPS 入侵攻击、AV 病毒检测日志(核心需求)
plaintext
# 进入IPS视图,开启攻击日志
intrusion-prevention
log enable
quit
# 进入AV病毒视图,开启病毒查杀日志
anti-virus
log enable
quit
# 全局激活DPI深度检测日志输出
inspect logging parameter-profile ips_logging_default_parameter
log language chinese # 日志威胁名称中文显示
quit
inspect logging parameter-profile av_logging_default_parameter
quit
步骤 4:【生产推荐】快速日志输出(对接审计采集器最优)
快速日志不经过信息中心,性能损耗低、威胁字段完整,是审计平台标准接入方式H3C
plaintext
# 1. 指定日志采集服务器IP端口
customlog host 192.168.1.200 port 514 export attack-defense dpi ips anti-virus
# 2. 分别开启三类日志快速输出通道
customlog format attack-defense # DDoS/扫描攻击日志
customlog format dpi ips # IPS入侵攻击日志
customlog format dpi anti-virus # AV病毒查杀日志
# 3. 日志时间同步本地时区
customlog timestamp localtime
步骤 5:安全策略配套(必须,无日志根源高发)
所有业务安全策略开启日志,流量匹配才会触发 IPS/AV 检测生成日志:
plaintext
security-policy ip
# 示例内网访问互联网策略
rule name lan_to_internet
logging enable # 关键:匹配流量记录日志
inspect apply default # 绑定IPS/AV检测模板
quit
三、关键配套前提(90% 现场无日志的漏配项)
特征库正常升级
Web:系统 > 特征库升级,确认 IPS 攻击库、AV 病毒库更新至最新;库过期会无法识别威胁,无日志。
安全策略绑定检测模板
安全策略里必须配置inspect apply xxx,否则报文不经过 IPS/AV 引擎,不会产生攻击 / 病毒日志。
放行日志传输端口
防火墙本地安全策略放行 local → untrust/trust UDP 514,允许设备主动向采集器发送日志。
快速日志与 syslog 互斥
customlog快速日志和info-center loghost传统 syslog 不能同时生效;对接审计平台只用customlog。
四、日志校验排查命令(确认日志正常生成 / 发送)
plaintext
# 1. 查看攻击防范日志状态
display attack-defense configuration | include log
# 2. 查看IPS/AV日志开关
display intrusion-prevention configuration | include log
display anti-virus configuration | include log
# 3. 查看快速日志服务器配置
display customlog configuration
# 4. 查看本地缓存威胁日志,验证设备能产生日志
display logbuffer | include IPS
display logbuffer | include Virus
display logbuffer | include Flood
# 5. 查看快速日志发送统计,判断是否成功上报采集器
display customlog statistics
五、故障排查:采集器收不到攻击 / 病毒日志
检查customlog hostIP、端口 514 是否填写正确,路由可达;
确认安全策略开启logging enable+ 绑定inspect检测模板;
确认 IPS/AV、attack-defense 日志全局 log enable 已执行;
核对快速日志 format 已开启ips anti-virus attack-defense;
关闭 syslog info-center loghost,避免和快速日志冲突;
特征库过期,升级 IPS/AV 特征库后测试。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论