系统日志处理.docx
《系统日志处理.docx》由会员分享,可在线阅读,更多相关《系统日志处理.docx(18页珍藏版)》请在冰豆网上搜索。
系统日志处理
系统和防火墙日志查看、保留
系统日志
事件查看器
在WindowsXP中,事件是在系统或程序中发生的、要求通知用户的任何重要事情,或者是添加到日志中的项。
事件日志服务在事件查看器中记录应用程序、安全和系统事件。
通过使用事件查看器中的事件日志,您可以获取有关硬件、软件和系统组件的信息,并可以监视本地或远程计算机上的安全事件。
事件日志可帮助您确定和诊断当前系统问题的根源,还可以帮助您预测潜在的系统问题。
事件日志类型
基于WindowsXP的计算机将事件记录在以下三种日志中:
∙应用程序日志
应用程序日志包含由程序记录的事件。
例如,数据库程序可能在应用程序日志中记录文件错误。
写入到应用程序日志中的事件是由软件程序开发人员确定的。
∙安全日志
安全日志记录有效和无效的登录尝试等事件,以及与资源使用有关的事件(如创建、打开或删除文件)。
例如,在启用登录审核的情况下,每当用户尝试登录到计算机上时,都会在安全日志中记录一个事件。
您必须以Administrator或Administrators组成员的身份登录,才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。
∙系统日志
系统日志包含WindowsXP系统组件所记录的事件。
例如,如果在启动过程中未能加载某个驱动程序,则会在系统日志中记录一个事件。
WindowsXP预先确定由系统组件记录的事件。
如何查看事件日志
要打开事件查看器,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,单击“事件查看器”。
应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。
如何查看事件详细信息
要查看事件的详细信息,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在详细信息窗格中,双击您要查看的事件。
会显示“事件属性”对话框,其中包含事件的标题信息和描述。
要复制事件的详细信息,请单击“复制”按钮,使用要在其中粘贴事件的程序(例如MicrosoftWord)打开一个新文档,然后单击“编辑”菜单上的“粘贴”。
要查看上一个或下一个事件的描述,请单击上箭头或下箭头。
如何解释事件
每个日志项都按类型进行分类,并包含事件的标题信息和描述。
事件标题
事件标题包含以下关于事件的信息:
∙日期
事件发生的日期。
∙时间
事件发生的时间。
∙用户
事件发生时已登录的用户的用户名。
∙计算机
发生事件的计算机的名称。
∙事件ID
标识事件类型的事件编号。
产品支持代表可以使用事件ID来帮助了解系统中发生的情况。
∙来源
事件的来源。
它可以是程序、系统组件或大型程序的单个组件的名称。
∙类型
事件的类型。
它可以是以下五种类型之一:
错误、警告、信息、成功审核或失败审核。
∙类别
按事件来源对事件进行的分类。
它主要用于安全日志。
事件类型
所记录的每个事件的说明取决于事件类型。
日志中的每个事件都可归类为以下类型之一:
∙信息
描述任务(如应用程序、驱动程序或服务)成功运行的事件。
例如,当网络驱动程序成功加载时将记录“信息”事件。
∙警告
不一定重要但可能表明将来有可能出现问题的事件。
例如,当磁盘空间快用完时将记录“警告”消息。
∙错误
描述重要问题(如关键任务失败)的事件。
“错误”事件可能涉及数据丢失或功能缺失。
例如,当启动过程中无法加载服务时将记录“错误”事件。
∙成功审核(安全日志)
描述成功完成受审核安全事件的事件。
例如,当用户登录到计算机上时将记录“成功审核”事件。
∙失败审核(安全日志)
描述未成功完成的受审核安全事件的事件。
例如,当用户无法访问网络驱动器时可能记录“失败审核”事件。
如何在日志中查找事件
事件日志的默认视图将列出其所有项。
如果您需要查找特定的事件或查看事件子集,则可以搜索日志,也可以对日志数据应用筛选器。
如何搜索特定的日志事件
要搜索特定的日志事件,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在“查看”菜单上,单击“查找”。
4.在“查找”对话框中指定您要查看的事件的选项,然后单击“查找下一个”。
将在详细信息窗格中突出显示满足搜索条件的事件。
单击“查找下一个”可按照搜索条件的定义找到下一个事件匹配项。
如何筛选日志事件
要筛选日志事件,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后单击包含您要查看的事件的日志。
3.在“查看”菜单上,单击“筛选”。
4.单击“筛选”选项卡(如果尚未选择它)。
5.指定所需的筛选选项,然后单击“确定”。
详细信息窗格中将只显示满足筛选条件的事件。
要使视图重新显示所有日志项,请单击“查看”菜单上的“筛选”,然后单击“还原默认值”。
如何管理日志内容
默认情况下,日志的初始最大大小设置为512KB,当达到此大小时,新事件将根据需要覆盖旧事件。
您可以根据需要更改这些设置或清除日志内容。
如何设置日志大小和覆盖选项
要指定日志大小和覆盖选项,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,然后右键单击要设置其大小和覆盖其选项的日志。
3.在“日志大小”下的“日志大小上限”框中键入所需的大小。
4.在“达到日志大小上限时”下,单击所需的覆盖选项。
5.如果您要清除日志内容,请单击“清除日志”。
6.单击“确定”。
如何将日志存档
如果您要保存日志数据,可以将事件日志存档为以下任何格式:
∙日志文件格式(.evt)
∙文本文件格式(.txt)
∙逗号分隔的文本文件格式(.csv)
要将日志存档,请按照下列步骤操作:
1.单击“开始”,然后单击“控制面板”。
单击“性能和维护”,再单击“管理工具”,然后双击“计算机管理”。
或者,打开包含事件查看器管理单元的MMC。
2.在控制台树中,展开“事件查看器”,右键单击要将其存档的日志,然后单击“另存日志文件”。
3.指定文件名和文件的保存位置。
在“保存类型”框中,单击所需格式,然后单击“保存”。
将以指定的格式保存日志文件。
防火墙日志
Syslog日志设置
Syslog日志设置模块用于设置信息中心日志管理的相关参数。
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
信息中心可以将日志信息输出到Web页面,以便用户进行查看。
同时,信息中心还可以根据用户的配置,将日志信息输出到指定的Syslog日志主机。
在导航栏中选择“日志管理>Syslog日志”。
Syslog日志的详细配置如表1所示。
表1Syslog日志的详细配置
配置项
说明
日志缓冲区大小
设置日志缓冲区可存储的Syslog日志信息条数
<清空日志>
单击该按钮可以清空日志缓冲区内的信息
日志主机1
设置Syslog日志主机的IP地址和端口号
信息中心可以使用Syslog格式将日志信息上报到指定的远程日志主机
最多可以指定4台不同的日Syslog志主机
日志主机2
日志主机3
日志主机4
刷新周期
设置日志报表Web页面的刷新周期,可选择手动或自动刷新:
● 手动刷新:
查看日志报表时需要用户手动刷新
● 自动刷新:
根据需要,可设置在查看日志报表时,每隔10秒、30秒、1分钟、5分钟或10分钟页面自动刷新一次
1.2 Userlog日志设置
Userlog日志有以下两种输出方式,目前防火墙设备只支持Flow日志格式:
● 以系统信息的格式输出到本设备的信息中心,再由信息中心最终决定日志的输出方向。
● 以二进制格式封装成UDP报文输出到指定的Userlog日志主机。
1.2.1 Flow日志设置
Flow日志目前仅指会话日志。
要生成Flow日志,需要配置会话日志功能。
1.Flow日志简介
Flow日志是指用户访问外部网络流信息的相关记录。
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问外部网络的流进行分类统计,并生成用户流(Flow)日志。
Flow日志会记录报文的5元组和发送、接收的字节数等信息。
网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。
Flow日志有Flow1.0和Flow3.0两个版本。
两种Flow日志的格式稍有不同,具体差别请参见表2和表3。
表2Flow1.0日志信息
字段
描述
SourceIP
源IP地址
DestIP
目的IP地址
SrcPort
TCP/UDP源端口号
DestPort
TCP/UDP目的端口号
StartTime
流起始时间,以秒为单位,从1970/1/10:
0开始计算
EndTime
流结束时间,以秒为单位,从1970/1/10:
0开始计算
Prot
IP承载的协议类型
Operator
操作字,主要指流结束原因
Reserved
保留
表3Flow3.0日志信息
字段
描述
Prot
IP承载的协议类型
Operator
操作字,主要指流结束原因
IpVersion
IP报文版本
TosIPv4
IPv4报文的Tos字段
SourceIP
源IP地址
SrcNatIP
NAT转换后的源IP地址
DestIP
目的IP地址
DestNatIP
NAT转换后的目的IP地址
SrcPort
TCP/UDP源端口号
SrcNatPort
NAT转换后的TCP/UDP源端口号
DestPort
TCP/UDP目的端口号
DestNatPort
NAT转换后的TCP/UDP目的端口号
StartTime
流起始时间,以秒为单位,从1970/01/0100:
00开始计算
EndTime
流结束时间,以秒为单位,从1970/01/0100:
00开始计算
InTotalPkg
接收的报文包数
InTotalByte
接收的报文字节数
OutTotalPkg
发出的报文包数
OutTotalByte
发出的报文字节数
Reserved1
● 对于0x02版本(FirewallV200R001)保留
● 对于0x03版本(FirewallV200R005)第一个字节为源VPNID,第二个字节为目的VPNID,第三、四个字节保留
Reserved2
保留
Reserved3
保留
2.配置Flow日志
在导航栏中选择“日志管理>Userlog日志”。
Flow日志的详细配置如表4所示。
表4Flow日志的详细配置
配置项
说明
版本
设置Flow日志的版本。
包括1.0、3.0
请根据日志接收设备的实际能力配置Flow日志的版本,如果接收设备不支持某个版本的Flow日志,则收到日志后,它不能正确解析
报文源IP地址
设置Flow日志报文的源IP地址
指定源地址后,当设备A向设备B发送Flow日志时,就使用这个IP地址作为报文的源IP地址,而不使用报文出接口的真正地址。
这样,即便A使用不同的端口向B发送报文,B也可以根据源IP地址来准确的判断该报文是否由A产生。
而且该功能还简化了ACL规则和安全策略的配置,只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对Flow日志报文的过滤
建议使用Loopback接口地址作为日志报文的源IP地址
日志主机1
设置Userlog日志主机的VPN实例、IP地址和端口号,以便将Flow日志封装成UDP报文发送给指定的Userlog日志主机。
日志主机可以对Flow日志进行解析和分类显示,以达到远程监控的目的
● 集中式设备:
最多可以指定2台不同的Userlog日志主机
● 分布式或堆叠设备:
每个单板上最多可以指定2台不同的Userlog日志主机
为避免与通用的UDP端口号冲突,建议使用1025~65535的UDP端口号
日志主机2
日志输出到信息中心
设置将Flow日志以系统信息的格式输出到信息中心
● 启用此功能时,Flow日志将不会发往指定的Userlog日志主机
● 日志输出到信息中心会占用设备的存储空间,因此,建议在日志量较小的情况下使用该输出方向
3.查看Flow日志统计信息
当设置了将Flow日志封装成UDP报文发送给指定的Userlog日志主机时,可以查看相关的统计信息,包括设备向指定日志主机发送的Flow日志总数和包含Flow日志的UDP报文总数,以及设备缓存中的Flow日志总数。
在“Flow日志”的页面单击下方的“查看统计信息”扩展按钮,可以展开所示的内容进行查看。
● 集中式设备:
单击<清空>按钮,可以清除设备上的所有Flow日志统计信息和缓存中的Flow日志。
● 分布式或堆叠设备:
单击<清空>按钮,可以清除相应单板上的所有Flow日志统计信息和缓存中的Flow日志。
1.3 会话日志(Nat日志)
1.3.1 会话日志简介
会话日志是为满足网络管理员做安全审计的需要,对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行记录的一种日志类型,可以通过一定的格式发给日志主机。
会话在满足一定的阈值条件时,即会以日志的形式进行记录并输出,阈值包括以下两种类型:
● 时间阈值:
当一个会话存在的时间达到设定的时间阈值时,输出会话日志。
● 流量阈值:
分为报文数阈值和字节数阈值两种。
当一个会话收发的报文数或字节数达到设定的流量阈值时,输出会话日志。
● 会话管理的详细介绍请参见“Web配置手册 会话管理”。
● 会话日志以Flow日志的格式输出。
要查看会话日志,需要同时配置Flow日志。
会话日志配置的推荐步骤如表5所示。
表5会话日志配置步骤
步骤
配置任务
说明
1
1.3.2 配置日志输出策略
必选
配置会话日志的输出策略,包括会话日志的源域、目的域和日志输出的过滤规则
缺省情况下,不存在任何会话日志输出策略
2
1.3.3 配置日志输出阈值
必选
配置输出会话日志的时间阈值和流量阈值
缺省情况下,时间阈值和流量阈值均为0,表示不发送任何会话日志
同时配置了时间阈值和流量阈值的情况下,只要有一个阈值首先到达,就会输出相应的会话日志,并将会话的所有统计信息清零
1.3.2 配置日志输出策略
在导航栏中选择“日志管理>会话日志>日志输出策略”,进入会话日志输出策略的显示页面。
单击<新建>按钮,进入新建会话日志输出策略的配置页面。
1.3.3 配置日志输出阈值
在导航栏中选择“日志管理>会话日志>全局设置”,进入会话日志输出阈值的配置页面。
会话日志输出阈值的详细配置如表7所示。
表7会话日志输出阈值的详细配置
配置项
说明
时间阈值
设置输出会话日志的时间阈值
设置时间阈值之后,如果会话的存活时间达到了该阈值,就会输出会话日志
流量阈值
设置输出会话日志的流量阈值,可选择设置报文数阈值或字节数阈值
设置流量阈值之后,当会话收发的报文数或字节数达到阈值,就会输出会话日志
本配置项的支持情况与设备的型号有关,请以设备的实际情况为准
可点击返回“表5会话日志配置步骤”。
1.4 日志报表
日志报表模块用于查看设备上的日志报表信息,可以查看的日志种类包括以下几种:
● 系统日志
● 连接数限制日志
● 攻击防范日志
● 黑名单日志
● 域间策略日志
● Userlog日志
1.4.1 查看系统日志
在导航栏中选择“日志管理>日志报表>系统日志”。
系统日志列表中各项的详细说明如表8所示。
表8系统日志列表的详细说明
标题项
说明
时间/日期
显示系统日志产生的时间和日期
信息来源
显示产生系统日志的模块名
信息级别
显示系统日志的严重程度,具体说明如表9所示
信息描述
显示系统日志的具体内容
表9系统日志严重程度
严重程度
含义
严重等级数值
Emergency
系统不可用信息
0
Alert
需要立刻做出反应的信息
1
Critical
严重信息
2
Error
错误信息
3
Warning
警告信息
4
Notification
正常出现但是重要的信息
5
Informational
需要记录的通知信息
6
Debugging
调试过程产生的信息
7
注:
严重等级数值越小表示严重程度越高。
1.4.2 查看连接数限制日志
在导航栏中选择“日志管理>日志报表>连接数限制日志”。
连接数限制日志列表中各项的详细说明如表10所示。
表10连接数限制日志列表的详细说明
标题项
说明
时间/日期
显示连接数限制日志产生的时间和日期
流量告警类型
显示流量告警的类型为基于源IP的连接数超过最大值或基于目的IP的连接数超过最大值
源域
显示连接的源域
源IP地址
显示连接的源IP地址
目的域
显示连接的目的域
目的IP地址
显示连接的目的IP地址
当前速率
显示当前的连接速率
当前连接数
显示当前的连接总数
TCP报文百分率
显示TCP报文数占所有报文总数的百分比
UDP报文百分率
显示UDP报文数占所有报文总数的百分比
ICMP报文百分率
显示ICMP报文数占所有报文总数的百分比
1.4.3 查看攻击防范日志
在导航栏中选择“日志管理>日志报表>攻击防范日志”。
攻击防范日志列表中各项的细说明如表11所示。
表11攻击防范日志列表的详细说明
标题项
说明
攻击时间
显示检测到攻击的时间
攻击类型
显示攻击的类型
接收接口
显示接收到攻击报文的接口
攻击源IP地址
显示攻击报文的源IP地址
攻击源MAC地址
显示攻击报文的源MAC地址
攻击目的IP地址
显示攻击报文的目的IP地址
攻击目的MAC地址
显示攻击报文的目的MAC地址
攻击速率
显示攻击的连接速率
1.4.4 查看黑名单日志
在导航栏中选择“日志管理>日志报表>黑名单日志”。
黑名单日志列表中各项的详细说明如表12所示。
表12黑名单日志列表的详细说明
标题项
说明
时间/日期
显示黑名单项产生的时间和日期
操作方式
显示该黑名单项是新加的还是删除的
源IP地址
显示黑名单项的源IP地址
加入原因
显示加入黑名单的原因,包括自动添加和手动添加两种:
● 自动添加为发现攻击后自动将源IP添加到黑名单
● 手动添加为用户通过Web界面手动创建黑名单
保留时间
显示黑名单项的保留时间
1.4.5 查看域间策略日志
域间策略日志是指对匹配域间策略的流所记录的日志。
要记录域间策略日志,需在配置域间策略时开启Syslog日志功能,详细配置请参见“Web配置手册 域间策略”。
在导航栏中选择“日志管理>日志报表>域间策略日志”。
域间策略日志列表中各项的详细说明如表13所示。
表13域间策略日志列表的详细说明
标题项
说明
开始时间
显示流的创建时间
结束时间
显示流的删除时间
源域
显示流的源域
目的域
显示流的目的域
策略ID
显示流匹配的域间策略的ID
动作
显示对流采取的动作类型,包括permitted和denied
协议类型
显示流的协议类型
流信息
显示流的信息
● 当协议类型为TCP或UDP时,显示的流信息为“源IP地址:
源端口-->目的IP地址:
目的端口”,例如“1.1.1.2:
1026-->1.1.2.10:
69”
● 当协议类型为ICMP时,显示的流信息为“源IP地址-->目的IP地址,ICMP类型(ICMP码)”,例如“1.1.1.2-->1.1.2.10,echo(8)”
● 当协议类型为其他协议时,显示的流信息为“源IP地址-->目的IP地址”,例如“1.1.1.2-->1.1.2.10”
1.4.6 查看Userlog日志
要通过Web查看Userlog日志,需要先配置将Userlog日志输出到信息中心。
1.查看Flow日志
在导航栏中选择“日志管理>日志报表>Userlog日志”,进入Flow日志的显示页面。
选中版本“1.0”前的单选按钮,则显示的是Flow1.0的日志信息;选中版本“3.0”前的单选按钮,则显示的是Flow3.0的日志信息。
Flow1.0日志信息的详细说明如表14所示;Flow3.0日志信息的详细说明如表15所示。
表14Flow1.0日志信息的详细说明
标题项
说明
时间/日期
显示Flow日志产生的时间和日期
协议类型
显示流的协议类型
流信息
显示流的信息
● 当协议类型为TCP或UDP时,显示的流信息为“源IP地址:
源端口-->目的IP地址:
目的端口”,例如“1.1.1.2:
1026-->1.1.2.10:
69”
● 当协议类型为其他协议时,显示的流信息为“源IP地址-->目的IP地址”,例如“1.1.1.2-->1.1.2.10”
开始时间
显示流的创建时间
结束时间
显示流的删除时间
流行为
显示流的操作字,主要指流结束原因
●
(1)Normalover:
正常流结束
●
(2)Agedfortimeout:
定时器超时老化
● (3)Agedforresetorconfig-change:
配置变动引起的流老化
● (4)Agedfornoenoughresource:
资源不足带来的流老化
● (5)Agedforno-patofNAT