知
防火墙安全策略日志外发,日志主机不识别
问题描述
开启快速日志,但是日志主机不显示安全策略日志(主要是deny策略日志)
过程分析
1.勾选安全策略日志
命令行:
#开启快速日志输出功能
[H3C] customlog format packet-filter
#将报文过滤模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.90 export packet-filter(packet-filter:将报文过滤模块的日志快速输出到日志主机,此处可以理解为安全策略模块
aspflog sending-realtime enable命令用来开启日志的实时发送功能。参考SecCenter CSAP-NTA-AK375 无法外发安全日志到态势感知 - 知了社区
2.查看安全策略是否命中次数增加且有开启记录日志
3.查看安全策略日志是否产生(只要走快速日志没有硬盘的情况下就都看不到本地日志)
解决方法
将快速日志下的配置删除,包括命令行配置如:
customlog format packet-filter sgcc
customlog format security-policy sgcc
customlog format keepalive sgcc
不使用快速日志直接使用信息中心发送,日志主机可以正常识别