• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SecPath F1000-AK135日志问题

8小时前提问
  • 0关注
  • 0收藏,48浏览
粉丝:1人 关注:0人

问题描述:

如何开启SecPath F1000-AK135的攻击、病毒等方面的日志

4 个回答
粉丝:12人 关注:9人

开启攻击、病毒日志步骤及命令:
1. 进入系统视图
system-view
2. 开启日志功能(若未开启)
info-center enable
3. 配置日志输出目标(以输出到日志主机为例,也可输出到console、buffer等)
info-center loghost [日志主机IP] [vpn-instance 实例名]
4. 开启攻击检测日志
进入入侵防御(IPS)视图:intrusion-prevention
开启IPS日志:log enable
5. 开启病毒防护日志
进入防病毒(AV)视图:anti-virus
开启AV日志:log enable
6. 验证配置
display info-center configuration(查看日志中心配置)
display logbuffer(查看缓存日志)
说明:
若需更详细日志,可调整日志级别(如info-center log level informational)。
确保设备与日志主机网络可达,且日志主机已配置接收对应协议(如UDP 514)。
具体命令以设备实际软件版本为准,建议参考对应版本《SecPath防火墙配置指南》。

暂无评论

粉丝:23人 关注:1人

开启 SecPath F1000-AK135 的攻击和病毒日志,可以通过命令行(CLI)和 Web 界面两种方式实现。核心思路是两步:先开启日志功能,再配置日志的输出通道

方案一:命令行(CLI)配置

这种方式的配置逻辑清晰,适合习惯使用命令行的管理员。

1. 开启信息中心

信息中心是所有日志功能的总开关,确保它处于开启状态。

bash
<H3C> system-view [H3C] info-center enable

通常情况下,该功能默认是开启的

2. 配置攻击/病毒等业务模块的日志

根据你需要记录的日志类型,执行对应的命令。这些命令通常用于开启某个安全功能的日志记录。

  • 攻击防范日志

    bash
    [H3C] attack-defense policy attack [H3C-attack-defense-policy-attack] logging enable

    这条命令用于开启攻击防范策略的日志记录功能。

  • 病毒日志
    病毒日志的生成依赖于DPI(深度安全)功能。如果已购买并激活AV(防病毒)授权,可以通过以下命令开启:

    bash
    [H3C] customlog format dpi anti-virus

    这条命令用于开启防病毒模块的快速日志输出功能。

  • 安全策略日志
    当报文匹配到安全策略时,可以记录日志

    bash
    [H3C] security-policy ip [H3C-security-policy-ip] rule 1 name trust-to-untrust [H3C-security-policy-ip-1-trust-to-untrust] logging enable

    在安全策略视图下,使用 logging enable 命令开启日志记录

3. 配置日志输出通道

日志生成后,需要配置将它们发送到哪里。主要有两种方式:

  • 配置日志主机(最常用):将日志发送到远程的Syslog服务器。

    bash
    [H3C] info-center loghost 192.168.1.100

    将 192.168.1.100 替换为你的日志服务器IP地址。

  • 配置快速日志输出:这是一种高效的日志输出方式,适用于对性能要求较高的场景。具体命令为 customlog format


方案二:Web界面配置

这种方式更直观,适合不熟悉命令行的管理员。

1. 开启安全策略日志

  1. 登录防火墙Web界面。

  2. 进入 策略 > 安全策略

  3. 找到或新建一条需要记录日志的策略,在编辑页面中,勾选“记录日志” 选项

2. 配置日志主机

  1. 进入 系统 > 日志设置

  2. 在“日志主机”或“Syslog服务器”配置区域,点击“新建”。

  3. 填写日志服务器的 IP地址 和 端口号(通常为UDP 514)

3. 查看本地日志

  • 开启日志功能后,可以在Web界面的 监控 > 日志 > 安全日志 中查看攻击和病毒等日志。例如,病毒攻击日志可在 病毒攻击日志 页面查看。


暂无评论

zhiliao_k8NNG 知了小白
粉丝:1人 关注:0人

这些命令无法执行

暂无评论

粉丝:22人 关注:2人

设备 V7 平台,分为Web 图形界面配置、命令行完整配置两种方式;分两类日志:
基础攻击防范日志:DDoS、扫描、洪水、端口攻击(attack-defense)
深度威胁日志:IPS 入侵攻击、AV 病毒查杀(DPI 深度检测模块,你核心需要的病毒 / 攻击日志)
重要:对接日志审计 / 采集器优先用快速日志 customlog(性能高、日志字段完整,等保 / 运维审计标配);传统 info-center syslog 仅作兜底。
一、Web 界面可视化配置(推荐,无需敲命令)
1. 基础:日志服务器(采集器)配置
路径:系统 > 日志设置 > 基本配置 > 快速日志zhiliao.h3...
点击【新建】,填写采集器服务器 IP,默认端口 UDP 514;
日志类型勾选:入侵防御日志、防病毒日志、攻击防范日志;
时间戳选择【设备本地时间】(避免时区偏差),保存。
2. 开启威胁日志输出开关
路径:系统 > 日志设置 > 威胁日志zhiliao.h3...
入侵防御日志:勾选【输出快速日志】,可选中文日志;
防病毒日志:勾选【输出快速日志】;
攻击防范日志:勾选【输出快速日志】;
确定保存。
3. 业务模块必须启用(否则无日志产生)
IPS 入侵防御:应用防护 → 入侵防御,启用防护策略,模板动作勾选「记录日志」;
AV 病毒查杀:应用防护 → 病毒防护,启用扫描,日志级别设为「高」;
全局攻击防范:攻击防范 → 全局设置,开启各类洪水 / 扫描攻击防御,勾选攻击日志;
安全策略:所有放通 / 阻断规则编辑,勾选【记录日志】(匹配流量才会触发威胁检测)。
二、命令行完整配置(一键复制部署,对接运维审计采集器)
步骤 1:全局基础日志总开关、信息中心兜底
plaintext
system-view
# 开启系统日志总开关
info-center enable
# 扩大本地缓存,临时查看日志
info-center logbuffer size 20480
# 可选:传统syslog兜底(和快速日志二选一,不建议同时开)
info-center loghost 192.168.1.200 # 替换采集器IP
info-center source SECLOG level informational loghost

步骤 2:开启攻击防范(DDoS / 扫描 / 洪水)日志
plaintext
# 全局开启攻击防范模块日志
attack-defense log all enable
# 细分洪水攻击日志全开
attack-defense log flood enable
attack-defense log scan enable
attack-defense log special-flow enable

步骤 3:开启 IPS 入侵攻击、AV 病毒检测日志(核心需求)
plaintext
# 进入IPS视图,开启攻击日志
intrusion-prevention
log enable
quit
# 进入AV病毒视图,开启病毒查杀日志
anti-virus
log enable
quit
# 全局激活DPI深度检测日志输出
inspect logging parameter-profile ips_logging_default_parameter
log language chinese # 日志威胁名称中文显示
quit
inspect logging parameter-profile av_logging_default_parameter
quit

步骤 4:【生产推荐】快速日志输出(对接审计采集器最优)
快速日志不经过信息中心,性能损耗低、威胁字段完整,是审计平台标准接入方式H3C
plaintext
# 1. 指定日志采集服务器IP端口
customlog host 192.168.1.200 port 514 export attack-defense dpi ips anti-virus
# 2. 分别开启三类日志快速输出通道
customlog format attack-defense # DDoS/扫描攻击日志
customlog format dpi ips # IPS入侵攻击日志
customlog format dpi anti-virus # AV病毒查杀日志
# 3. 日志时间同步本地时区
customlog timestamp localtime

步骤 5:安全策略配套(必须,无日志根源高发)
所有业务安全策略开启日志,流量匹配才会触发 IPS/AV 检测生成日志:
plaintext
security-policy ip
# 示例内网访问互联网策略
rule name lan_to_internet
logging enable # 关键:匹配流量记录日志
inspect apply default # 绑定IPS/AV检测模板
quit

三、关键配套前提(90% 现场无日志的漏配项)
特征库正常升级
Web:系统 > 特征库升级,确认 IPS 攻击库、AV 病毒库更新至最新;库过期会无法识别威胁,无日志。
安全策略绑定检测模板
安全策略里必须配置inspect apply xxx,否则报文不经过 IPS/AV 引擎,不会产生攻击 / 病毒日志。
放行日志传输端口
防火墙本地安全策略放行 local → untrust/trust UDP 514,允许设备主动向采集器发送日志。
快速日志与 syslog 互斥
customlog快速日志和info-center loghost传统 syslog 不能同时生效;对接审计平台只用customlog。
四、日志校验排查命令(确认日志正常生成 / 发送)
plaintext
# 1. 查看攻击防范日志状态
display attack-defense configuration | include log
# 2. 查看IPS/AV日志开关
display intrusion-prevention configuration | include log
display anti-virus configuration | include log
# 3. 查看快速日志服务器配置
display customlog configuration
# 4. 查看本地缓存威胁日志,验证设备能产生日志
display logbuffer | include IPS
display logbuffer | include Virus
display logbuffer | include Flood
# 5. 查看快速日志发送统计,判断是否成功上报采集器
display customlog statistics

五、故障排查:采集器收不到攻击 / 病毒日志
检查customlog hostIP、端口 514 是否填写正确,路由可达;
确认安全策略开启logging enable+ 绑定inspect检测模板;
确认 IPS/AV、attack-defense 日志全局 log enable 已执行;
核对快速日志 format 已开启ips anti-virus attack-defense;
关闭 syslog info-center loghost,避免和快速日志冲突;
特征库过期,升级 IPS/AV 特征库后测试。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明