• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

防火牆f100-C-G3,安全策略攔截日誌未往syslog日誌服務器發送

  • 0關注
  • 0收藏,853瀏覽
粉絲:0人 關注:0人

問題描述:

防火牆配置syslog日誌服務器,安全策略也開始日誌記錄了,觸發後安全策略有命中數,但是syslog日誌服務器沒接受到攔截的原始日誌

最佳答案

粉絲:115人 關注:8人

怎麼看出來沒有攔截到原始日誌的,發上來看下吧


當防火牆配置了syslog日誌服務器,並且安全策略也開始記錄日誌,但syslog日誌服務器沒有接收到攔截的原始日誌時,可能的原因和排查步驟如下:

可能的原因

  1. 防火牆配置問題

    • 防火牆可能沒有正確配置為將日誌發送到syslog服務器。
    • 防火牆的syslog配置可能指向了錯誤的服務器IP地址或端口。
  2. syslog服務器配置問題

    • syslog服務器可能沒有正確配置為監聽來自防火牆的日誌。
    • syslog服務器的監聽端口(通常是514)可能被防火牆或其他安全策略阻止。
  3. 網絡問題

    • 防火牆和syslog服務器之間的網絡連接可能存在問題。
    • 路由配置可能不正確,導致日誌無法到達syslog服務器。
  4. 日誌格式或內容問題

    • 防火牆發送的日誌格式可能與syslog服務器期望的格式不匹配。
    • 防火牆可能由於某些原因(如性能問題)而未能發送所有日誌。

排查步驟

  1. 檢查防火牆配置

    • 確認防火牆的syslog配置是否正確,包括服務器IP地址、端口和日誌級別。
    • 檢查防火牆的日誌發送狀態,確保日誌正在被發送。
  2. 檢查syslog服務器配置

    • 確認syslog服務器正在監聽正確的端口(通常是514)。
    • 檢查syslog服務器的日誌文件,查看是否有來自防火牆的日誌條目(即使是不完整的或錯誤的日誌)。
    • 如果使用了rsyslog,檢查/etc/rsyslog.conf文件,確保有正確的配置來接收來自防火牆的日誌。
  3. 檢查網絡連接

    • 使用ping或其他網絡工具檢查防火牆和syslog服務器之間的網絡連接。
    • 確認路由配置正確,並且沒有防火牆或其他安全策略阻止日誌數據包。
  4. 檢查日誌格式和內容

    • 檢查防火牆發送的日誌格式,確保它與syslog服務器期望的格式相匹配。
    • 如果可能,嚐試在防火牆和syslog服務器之間使用不同的日誌格式或協議進行測試。
  5. 查看防火牆和syslog服務器的日誌

    • 查看防火牆的本地日誌,確認日誌是否正在被生成。
    • 查看syslog服務器的係統日誌或應用程序日誌,查找任何與接收日誌相關的錯誤或警告。
  6. 進行故障排除

    • 如果以上步驟都無法解決問題,考慮在防火牆和syslog服務器之間的網絡路徑上添加抓包工具(如Wireshark),以捕獲和分析日誌數據包。
    • 檢查防火牆和syslog服務器的安全策略,確保沒有阻止日誌數據包的規則。

通過以上步驟,應該能夠定位問題的原因,並采取相應的措施來解決它。如果問題仍然存在,可能需要聯係防火牆或syslog服務器的供應商進行進一步的支持。

暫無評論

4 個回答

該問題可能是由於防火牆安全策略日誌,域間策略日誌或包過濾日誌量一般較大,因此防火牆上為了防止日誌主機性能不足,提供緩存功能,當上述模塊產生日誌後,先進入緩存區,若五分鍾內還有流量觸發該日誌,則認為日誌有效,五分鍾後發送,若五分鍾內無第二次流量觸發,則直接丟棄該日誌,不會發送到日誌主機。該功能缺省開啟。

若日誌主機性能足夠,可以開啟實時發送方式,命令為aspf log sending-realtime enable。則取消緩存方式,任何日誌都會發送日誌主機,發送前一定要確認日誌主機性能情況。

暫無評論

粉絲:31人 關注:1人

確認`info-center enable`命令是否已執行,以開啟日誌功能。

暫無評論

zhiliao_w1e8Ov 知了小白
粉絲:0人 關注:0人

登陸類,網口插拔能收到的

暫無評論

米多 七段
粉絲:5人 關注:0人

1、確認syslog 發的源 IP 和 日誌服務器互通

2、應該放行防火牆 local 至 日誌服務器所在區域的 syslog 策略

暫無評論

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明