最佳答案
acl 模块attack 模块ips 模块shell 模块(命令行操作)+ system(Web 操作审计)system-view
# 开启信息中心总开关
info-center enable
# 配置日志主机IP(替换为你的日志审计服务器IP),默认UDP514
info-center loghost 192.168.1.100
# 可选:指定源接口,日志固定带该接口IP
info-center loghost 192.168.1.100 source-interface Vlan-interface 10
# 可选:设置syslog facility标识,区分设备
info-center loghost 192.168.1.100 facility local6
# 先全局关闭所有模块向外发日志,避免冗余垃圾日志
info-center source default loghost deny
informational(6),该级别包含告警、通知、普通事件,完全覆盖四类日志# 1. ACL策略拒绝日志(不符合安全策略访问)
info-center source acl loghost level informational
# 2. 攻击防范告警日志
info-center source attack loghost level informational
# 3. IPS入侵防御事件日志
info-center source ips loghost level informational
# 4. 管理员配置修改操作日志(shell命令+系统Web操作)
info-center source shell loghost level informational
info-center source system loghost level informational
logging 参数:security-policy
rule 10 deny source any destination any service any logging
不加 logging,防火墙不会生成 acl 模块日志,info-center 无数据可发。
attack defense all enable
# 开启攻击行为日志记录
attack defense logging enable
ips enable
# 全局开启IPS事件日志输出
ips logging enable
# 开启命令行操作日志
info-center source shell log state on
# 开启Web登录、策略修改审计
audit log enable
audit log operation all
# 日志携带本地时区时间戳,方便审计
info-center timestamp log date local-time
# 保存配置
save force
# 查看日志主机配置
display info-center loghost
# 查看各模块输出规则(确认acl/attack/ips/shell/system允许输出)
display info-center source loghost
# 实时监控日志输出,测试是否产生四类日志
terminal monitor
terminal debugging
debugging info-center packet
# 查看日志发送统计,确认报文正常发出
display info-center statistics loghost
attack defense logging enable/ips logging enable:无攻击、IPS 日志;shell/system模块:管理员修改策略无审计日志;
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论