• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙怎么将安全日志类型用info-center方式发送给日志主机

4天前提问
  • 0关注
  • 0收藏,124浏览
凌轩 四段
粉丝:0人 关注:0人

问题描述:

防火墙怎么将这四种日志1)不符合安全策略访问的日志、2)攻击告警日志、3)入侵保护事件日志、4)修改策略日志。用info-center方式发送给日志主机

最佳答案

粉丝:18人 关注:2人

H3C SecPath 防火墙 Info-center 发送 4 类安全日志完整配置

一、4 类日志对应模块说明(核心)

你需要收集的四类日志,对应防火墙底层模块:
  1. 不符合安全策略访问日志(策略拒绝日志)acl 模块
  2. 攻击告警日志(攻击防范、DDOS)attack 模块
  3. 入侵保护事件日志(IPS / 自定义特征)ips 模块
  4. 修改策略操作日志(管理员配置变更审计)shell 模块(命令行操作)+ system(Web 操作审计)

二、完整配置步骤(命令行,Comware V7 通用 F1000/F5000/T1060)

步骤 1:全局开启信息中心,配置日志主机(Syslog 服务器)

bash
运行
system-view # 开启信息中心总开关 info-center enable # 配置日志主机IP(替换为你的日志审计服务器IP),默认UDP514 info-center loghost 192.168.1.100 # 可选:指定源接口,日志固定带该接口IP info-center loghost 192.168.1.100 source-interface Vlan-interface 10 # 可选:设置syslog facility标识,区分设备 info-center loghost 192.168.1.100 facility local6 # 先全局关闭所有模块向外发日志,避免冗余垃圾日志 info-center source default loghost deny

步骤 2:放行 4 类对应模块日志输出到日志主机(关键)

日志级别:informational(6),该级别包含告警、通知、普通事件,完全覆盖四类日志
bash
运行
# 1. ACL策略拒绝日志(不符合安全策略访问) info-center source acl loghost level informational # 2. 攻击防范告警日志 info-center source attack loghost level informational # 3. IPS入侵防御事件日志 info-center source ips loghost level informational # 4. 管理员配置修改操作日志(shell命令+系统Web操作) info-center source shell loghost level informational info-center source system loghost level informational

步骤 3:业务侧必须开启对应日志记录(只配 info-center 不会产生日志)

1)安全策略拒绝日志(ACL 日志)

所有需要记录拒绝流量的安全策略,添加 logging 参数:
bash
运行
security-policy rule 10 deny source any destination any service any logging
不加 logging,防火墙不会生成 acl 模块日志,info-center 无数据可发。

2)全局开启攻击防范日志

bash
运行
attack defense all enable # 开启攻击行为日志记录 attack defense logging enable

3)IPS 入侵防护日志开启

bash
运行
ips enable # 全局开启IPS事件日志输出 ips logging enable

4)管理员操作审计日志(配置变更)

bash
运行
# 开启命令行操作日志 info-center source shell log state on # 开启Web登录、策略修改审计 audit log enable audit log operation all

步骤 4:可选优化配置

bash
运行
# 日志携带本地时区时间戳,方便审计 info-center timestamp log date local-time # 保存配置 save force

三、Web 界面配套操作(可视化核对)

  1. 【系统→日志设定→日志服务器】填写日志主机 IP,启用系统日志主机;
  2. 【系统→日志设定→日志过滤】
    • 系统日志:发送→全部级别;
    • 业务日志:勾选攻击防范、入侵防御、访问控制
  3. 安全策略页面,每条拒绝策略勾选「记录日志」;
  4. IPS 全局配置开启日志、攻击防御开启日志。

四、验证 & 排错命令

bash
运行
# 查看日志主机配置 display info-center loghost # 查看各模块输出规则(确认acl/attack/ips/shell/system允许输出) display info-center source loghost # 实时监控日志输出,测试是否产生四类日志 terminal monitor terminal debugging debugging info-center packet # 查看日志发送统计,确认报文正常发出 display info-center statistics loghost

五、常见缺失日志故障点

  1. 安全策略没加 logging:无策略拒绝日志;
  2. 未开启attack defense logging enable/ips logging enable:无攻击、IPS 日志;
  3. 未放行shell/system模块:管理员修改策略无审计日志;
  4. 日志主机与防火墙路由不通、防火墙放通 UDP514 端口;
  5. 设备时间不同步,日志时间戳错乱,建议配置 NTP。

补充说明:快速日志 vs info-center 系统日志区别

  1. info-center(系统日志主机):本次需求使用,输出 acl/attack/ips/ 操作审计类标准 syslog;
  2. 快速日志主机:专门输出大流量上网行为、NAT、FLOW 流量日志,不建议存放策略 / 攻击 / 审计日志,容易淹没关键安全事件。

暂无评论

2 个回答
粉丝:11人 关注:9人

配置步骤如下:
1. 配置日志主机
[H3C] info-center loghost 10.1.1.100 udp port 514
(替换为日志主机IP和端口,默认UDP 514)
2. 定义日志级别与类型
[H3C] info-center syslog level 5
(设置日志级别,5为告警级别,覆盖所有安全日志)
3. 配置日志类型过滤
不符合安全策略日志:
[H3C] security-policy log enable
[H3C] security-policy log info-center
攻击告警日志:
[H3C] attack-defend log enable
[H3C] attack-defend log info-center
入侵保护事件日志:
[H3C] ips log enable
[H3C] ips log info-center
修改策略日志:
[H3C] acl log enable
[H3C] acl log info-center
4. 启用日志发送
[H3C] info-center enable
[H3C] info-center loghost enable
验证命令:
display info-center configuration
display info-center loghost
说明:需确保防火墙与日志主机网络连通,日志主机需支持UDP 514接收。不同型号防火墙命令可能略有差异,以上为通用配置。

暂无评论

粉丝:132人 关注:11人

得用快速日志发送到日志服务器

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明