学习笔记:⽇志的分类以及LogCenter
⽹络设备在运⾏过程中输出的信息称为⽇志,实时了解⽹络中各种业务的运⾏状态,掌握⽹络设备上各个功能模块的运⾏情况。 · 防⽕墙⽀持输出如下⽇志:
会话⽇志:
o 报⽂经过防⽕墙处理后将会在防⽕墙上建⽴会话。防⽕墙⽀持会话信息的输出,管理员可以根据实际需要,选择在会话⽼化后输出、新建会话时输出、或者定期输出会话信息。
丢包⽇志:
o 报⽂被防⽕墙丢弃后,防⽕墙⽀持将报⽂的信息以及被丢弃的原因输出。报⽂被丢弃的原因包括未命中会话表⽽被丢弃、以及未通过安全策略检查⽽被丢弃。
业务⽇志:
防⽕墙⽀持输出威胁⽇志、内容⽇志、策略命中⽇志、邮件过滤⽇志、URL过滤⽇志以及审计⽇志等业务⽇志。通过查看业务⽇志,管理员可以获知⽹络中的相关信息,可及时进⾏故障定位和分析。 o 内容⽇志包括⽂件过滤、内容过滤、应⽤⾏为控制产⽣的⽇志。查看⽤户传输⽂件或数据、收发邮件、访问⽹站时产⽣的告警和阻断,了解⽤户的安全风险⾏为以及被告警或阻断的原因。
防⽕墙部署在外部⽹络和受保护⽹络之间,在通信过程中的流量满⾜如下条件之⼀时,产⽣内容⽇志。
· 传输的⽂件命中了⽂件过滤配置⽂件定义的⽂件过滤规则。 · 传输的数据命中了内容过滤配置⽂件定义的内容过滤规则。
· ⽤户的HTTP⾏为(POST操作、浏览⽹页、代理上⽹)命中了应⽤⾏为控制配置⽂件中定义的禁⽌规则,以及⽤户通过HTTP上传下载的⽂件⼤⼩超过应⽤⾏为控制配置⽂件中定义的告警阈值或阻断阈值。
· ⽤户通过FTP上传下载的⽂件⼤⼩超过应⽤⾏为控制配置⽂件中定义的告警阈值或阻断阈值,以及⽤户通过FTP删除⽂件的⾏为命中了应⽤⾏为控制配置⽂件中定义的禁⽌规则。
o ⽤户活动⽇志,管理员可以查看⽤户的在线记录,例如登录时间、在线时长/冻结时长、登录时所使⽤的IP地址等信息,了解当前⽹络中的⽤户活动情况,发现异常的⽤户登录或⽹络访问⾏为,及时做出应对。
o 策略命中⽇志,管理员可以获知流量命中的安全策略,从⽽确定安全策略配置是否正确及达到理想效果,在发⽣问题时⽤于故障定位。
o 审计⽇志,通信过程中命中了审计配置⽂件定义的规则的流量,产⽣审计⽇志,管理员可以获知⽤户的FTP⾏为、HTTP⾏为、收发邮件的⾏为、IM⾏为、搜索关键字以及审计策略配置的⽣效情况等。
小区自动售水机o 通过查看邮件过滤⽇志,管理员可以查看⽤户收发邮件的协议类型,邮件中包含的附件个数和⼤⼩,合法正常的邮件被阻断的原因,进⽽采取合理的应对措施。
o 防⽕墙部署在外部⽹络和受保护⽹络之间,在通信过程中的流量满⾜如下条件之⼀时,产⽣邮件过滤⽇志:
· 发送或接收邮件的发件⼈/收件⼈地址命中了邮件过滤配置⽂件中引⽤的邮件地址组。 · 发送或接收匿名邮件。
· 邮件主题、正⽂、附件名称命中了内容过滤引⽤的关键字组。
· 邮件附件个数超过邮件过滤配置⽂件中定义的上限。led闪光灯
· 邮件中单个附件⼤⼩超过邮件过滤配置⽂件中定义的上限。
· 邮件的源IP地址命中了本地RBL⿊⽩名单或者远程RBL⿊名单。
陶瓷灯座
系统⽇志:
o 防⽕墙⽀持将功能模块在运⾏过程中产⽣的信息输出,这部分信息被称为系统⽇志信息。系统⽇志包括系统告警、⽤户登录或注销、系统运⾏、⿊名单产⽣的⽇志。
· 在防⽕墙上,不同类型的⽇志其输出原理也有区别:
· 对于会话⽇志、丢包⽇志和端⼝预分配⽇志,防⽕墙通过单独的通道,直接输出到⽇志服务器,供管理员进⾏查看和分析。
· 对于业务⽇志,可以有多种输出路径:
o 通过单独的通道,直接输出到⽇志服务器,供管理员进⾏查看和分析;
o 输出到内存数据库中,然后经过⽇志查询模块统计加⼯后,以⽇志和报表的形式显⽰在Web界⾯上,具体请参见⽇志;
o 输出到⽇志缓存区中,然后显⽰在Web界⾯的“⾯板”上;
o 通过信息中⼼输出。
· 对于系统⽇志,防⽕墙通过信息中⼼输出。信息中⼼是防⽕墙上系统软件模块的信息枢纽,可以将系统⽇志向⽇志服务器、⽇志缓冲区、控制台(Console⽤户界⾯)、终端(VTY⽤户界⾯)、⽇志⽂件等⽅向输出。管理员可以在防⽕墙上查看系统⽇志,也可以在⽇志服务器上查看系统⽇志。
· 企业内部部署了⼤量的主机、数据库和其他应⽤系统,以及路由器、交换机、防⽕墙等⽹络设备,由于存在设备⽇志格式不统⼀、可读性差、海量⽇志存储困难、⽇志难以统⼀管理等问题,很难及时从⽇志中发现重⼤安全隐患。
· 随着于⽹络规模的扩⼤,各种⽹络⽇志源加⼊到⽹络中,使得⽇志管理越来越困难。
企业信息化进程的逐步推进,IT系统越来越多地应⽤于企业业务中,安全性成为企业重点关注的问题。主要体现在:
⽇志分散于⽹络的各种⽇志源中,⽹络⽇志⽆法集中管理。
在遭遇攻击时,安全防御⽇志源会产⽣⼤量的⽇志,导致⽤户⽆法快速发现重要的⽇志。
在异构⽹络中,统⼀分析不同⽇志源产⽣的⽇志数据⾮常困难。
受时间和磁盘容量的限制,⽇志数据会被⾃动删除,从⽽⽆法随时了解⽤户的⾏为。
智能控制模块
· LogCenter通过集中管理多种设备的⽇志,能够充分的解决以上问题:
通过主动采集或被动接收,将所管理⽇志源的⽇志统⼀集中存储。
超滤膜壳石棉布规格提供精细化的⽇志查询功能,可根据需要设置查询条件,快速过滤出有⽤的⽇志。
⽀持多维度的⽇志采集⽅式采集不同⽇志源的⽇志,并进⾏分类存储,提供统⼀的⽇志查询⼊⼝。
⽀持在线、转储和备份存储的⽇志三级存储结构,⽤户可长久保存⽇志⽽不会丢失。采⽤数据压缩技术,⽀持海量⽇志存储,提供⾼性能的⽇志处理功能。
· LogCenter⽇志事件管理中⼼提供多类型、⼤规模⽇志统⼀的采集、存储、审计平台,满⾜⽇志统⼀管理和分析、上⽹NAT追踪、企业员⼯上⽹⾏为分析等多种应⽤场景,提供业界领先的NAT溯源功能及安全事件分析能⼒。
业务分析的实现通过LogCenter分析器(两部分,前端UI界⾯与后端⽇志服务系统组成,其中前端UI
主要提供报表呈现和配置界⾯,⽽后端提供报表查询服务和业务告警。)与采集器共同合作完成,原理如下:
· ⽇志接收模块:负责接收或采集⽇志源的⽇志,并把接收到的⽇志发送给⽇志解析模块。
· ⽇志解析模块:对接收到的⽇志进⾏解析,从⽇志中提取出重要的字段,解析成LogCenter能够识别的固定的格式。将解析后的⽇志发送到⽇志存储模块进⾏存储,同时发送到数据统计模块和告警分析模块进⾏数据统计和告警分析。
· ⽇志存储模块:负责存储解析后的⽇志和原始⽇志,⽇志可存储在采集器本地。
· 数据统计模块:统计⽇志中的有⽤数据,并上报给LogCenter分析器。LogCenter分析器将统计数据存储到数据库中,⽤于⽣成报表。· 告警分析模块:负责接收LogCenter分析器下发的告警规则,当接收到符合告警规则的⽇志时,向LogCenter上报告警信息。LogCenter分析器将告警信息存储到数据库中。
· ⽇志查询模块:负责接收LogCenter分析器下发的查询条件,并到⽇志存储模块查符合查询条件的⽇志,最后将查询结果上报LogCenter分析器。
· LogCenter采⽤B/S架构可以随时随地进⾏管理操作。业务扩展和系统维护操作简单。
· LogCenter集中式部署组⽹时,⽇志采集器和LogCenter分析器安装在同⼀台服务器上,⽇志采集器集中接收和采集⽇志源的⽇志。· LogCenter分布式部署组⽹时,⽇志采集器和LogCenter分析器安装在不同的物理服务器上,多台⽇志采集器可以共⽤⼀台LogCenter 分析器,⼀台LogCenter分析器最多可管理15台⽇志采集器。⽇志采集器可以部署在不同的⼦⽹,采集所在⼦⽹的⽇志源⽇志。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议