- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-威脅日誌
本章節下載: 07-威脅日誌 (279.72 KB)
· 特性簡介
· 配置指南
○ 查看詳情
○ 下載捕獲文件
○ 加入白名單
○ 日誌導入
○ 日誌導出
○ 日誌聚合
威脅日誌用來查看入侵防禦和防病毒等網絡威脅的檢測和防禦情況的記錄,了解曾經發生和正在發生的威脅事件,方便管理員調整相應的策略,更好地防護內網安全。
威脅日誌的展示功能需要在入侵防禦配置文件和防病毒配置文件中開啟日誌功能後生效,當報文與入侵防禦配置文件或防病毒配置文件成功匹配後將輸出日誌到威脅日誌頁麵。
· 日誌的導入、導出和刪除操作,不能同時進行。同一時間隻能選擇一種操作方式。
· 同一時間,隻能有一個用戶對日誌進行導入、導出或刪除的操作。
· 當查詢多天的日誌時,頁麵默認展示第一天的日誌,用戶可單擊<前一天>和<後一天>按鈕,切換日期,查看指定日期的日誌信息。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
威脅日誌中可查看日誌詳情,用戶可單擊指定日誌前的詳情按鈕,在彈出的詳情頁麵中查看日誌的詳細信息。其中,威脅名稱和報文詳情中部分字段顯示內容可能較多,用戶可以將鼠標移到對應字段,查看懸浮信息,也可通過單擊<複製>按鈕,在彈出的複製窗口中獲取完整的內容。
當入侵防禦功能執行捕獲動作後,設備將生成捕獲文件。當設備上安裝了硬盤後,用戶可通過單擊指定日誌右側的<下載>按鈕,獲取捕獲文件,方便用戶分析威脅信息。其中,用戶還需要在CLI界麵中配置捕獲報文時緩存的報文數量(即在係統視圖下配置ips capture-cache number命令),僅當配置了該命令後,設備才對入侵防禦捕獲的報文進行緩存。
當發現入侵防禦日誌中存在誤報的情況時,可單擊指定日誌右側的<加入白名單>按鈕,將誤報日誌中提取到的威脅ID(入侵防禦特征ID)和URL加入白名單。設備將對匹配白名單的報文放行,可以減少誤報。
日誌支持導入功能,用戶可單擊<導入>按鈕,在彈出的提示框中單擊<是>,進入導入界麵。在界麵選擇導入的日誌文件並輸入日誌文件的密碼,即可將日誌導入設備中。
日誌支持導出功能,具體步驟如下:
1. 單擊<高級查詢>按鈕,配置日誌的查詢條件,篩選出需要導出的日誌。
2. 單擊<導出>按鈕,進入“導出日誌”頁麵。
3. 配置日誌導出參數,具體參數如下表所示:
表-1 日誌導出參數表
|
參數 |
說明 |
|
設置密碼 |
日誌文件會被加密導出,導出後的文件需要輸入設置的密碼才可以查看 |
|
導出範圍 |
通過配置查詢條件篩選出日誌後,頁麵會按天顯示對應的日誌。用戶可以選擇導出指定範圍內的日誌 · 所有結果:表示導出所有篩選出的日誌,頁麵中會顯示出可導出的日誌總條數 · 當天結果:表示僅導出當前顯示的某一天的日誌,用戶可以選擇導出 |
4. 完成日誌導出參數的配置後,用戶可以根據日誌數量選擇不同的導出方式,支持的方式如下:
○ 一鍵導出:一鍵導出是指一次性將日誌導出到一個文件中,此方式適用於日誌數量較少的場景。
○ 分批導出:分批導出是指分多個批次將日誌導出到多個文件中,此方式適用於日誌數量較多(大於65000條)的場景。
5. 當選擇一鍵導出時,在彈出的提示框中單擊<確認>按鈕,即可一鍵導出日誌。
6. 當選擇分批導出時,需要在彈出的提示框中配置每個導出文件中可導出的日誌條數,配置完成後,單擊<確定>按鈕,即可分批導出日誌。當一個文件導出完成後,頁麵中將彈出提示框,確認是否繼續導出餘下的日誌,可單擊<是>按鈕,繼續導出日誌。如果想要停止導出後續日誌,可單擊<否>按鈕。
開啟日誌聚合功能後,設備將對指定聚合時間內采集到的滿足相同聚合條件的業務日誌進行聚合,可以減少Web界麵中展示的日誌條目,方便用戶對日誌進行查看。其中,日誌聚合條件包括:源IP地址、目的IP地址、應用、源端口、目的端口、威脅ID、威脅名稱和威脅類型。
具體配置步驟如下:
1. 單擊<日誌聚合配置>按鈕,進入日誌聚合配置頁麵。
2. 勾選開啟複選框,並配置聚合時間。
3. 單擊<確定>按鈕,完成配置。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
