防火墙日志内容详解教案.docVIP

防火墙日志类型详解 一．日志类型 配置管理（管理日志）；系统运行（系统日志）；连接日志； 访问控制；防攻击 ；深度内容检测； 虚拟专网（VPN日志）；防病毒（病毒日志） ；阻断策略（阻断日志） 二．日志关键字说明 基本关键字包括： 关键字 名称 说明 Id 日志标示 对于防火墙NGFW4000固定为id=tos Time 日期时间 格式为”yyyy-mm-dd hh:mm:ss”，24小时制 Fw 设备标示 防火墙名称 Pri 优先级 分为8个级别，从0到7 0 – emergency 危急 1 – alert 报警 2 – critical 严重 3 – error 错误 4 – warning 警告 5 – notice 提示 6 – information 信息 7 – debug 调试 扩展关键字： 关键字 名称 说明 rule 规则 防火墙规则号码 proto 协议 协议类型，如下： ip tcp udp icmp http ftp telnet pop3 smtp snmp realaudio duration 持续时间 单位：秒 sent 发送字节 源到目的的字节 rcvd 接收字节 目的到源的字节 src 源地址 IP地址 dst 目的地址 IP地址 user 用户 用户名 op 操作 根据记录类型不同而含义不同： GET POST result 结果 根据记录类型不同而含义不同： 操作取得的结果 arg 参数 根据记录类型不同而含义不同： type 记录类型 目前定义如下： mgmt -- 管理日志，管理员进行管理时记录 vpn -- VPN日志，防火墙内VPN活动记录 *system -- 系统日志，系统运行过程中的运行记录 *conn -- 连接日志，通信时的记录 *ids -- IDS日志，防火墙IDS活动记录 *virus -- 防病毒日志，防火墙防病毒活动记录 msg 信息 日志记录信息 *sport 源端口 源端口 *dport 目的端口 目的端口 *smac 源MAC 源MAC *dmac 目的MAC 目的MAC *recorder 模块或进程 产生日志的模块或进程 三．各日志类型详细说明 管理日志（type=mgmt） 关键词 描述 id tos time 格式为”yyyy-mm-dd hh:mm:ss”，24小时制 fw 防火墙名称 pri 日志的级别 type 固定为mgmt msg 日志信息输出 *recorder 产生日志的模块/进程名称 user 管理员名字 src 登陆ip op 执行的管理命令 result 命令结果 系统日志（type=system） 关键词 描述 id 固定为tos time 格式为”yyyy-mm-dd hh:mm:ss”，24小时制 fw 防火墙名称 pri 日志的级别 type 固定为system msg 日志信息输出 *recorder 产生日志的模块/进程名称，若是内核则为kernel result 命令结果 连接日志（type=conn） 关键词 描述 id 固定为tos time 格式为”yyyy-mm-dd hh:mm:ss”，24小时制 fw 防火墙名称 pri 日志的级别 type 固定为conn msg 日志信息输出 *recorder 产生日志的模块/进程名称，若是内核则为kernel proto Tcp、udp、icmp，其它协议直接用协议号 src 源IP地址 dst 目的IP地址 sport 源端口 dport 目的端口 inpkt 接收包数 outpkt 发送包数 sent 发送字节数 rcvd 接收字节数 duration 持续时间 connid 连接id msg 日志信息输出 访问策略/地址转换策略日志（type=ac） 关键词 描述 id 固定为tos time 格式为”yyyy-mm-dd hh:mm:ss”，24小时制 fw 防火墙名称 pri 日志的级别 type 固定为ac msg 日志信息输出 *recorder 产生日志的模块名称 rule accept/deny proto Tcp、udp、icmp，其它协议直接用协议号 src 源IP地址 dst 目的IP地址 sport 源端口 dport 目的端口 smac 源mac地址 dmac 目的mac地址 indev 来源接口 outdev 转发接口 connid 连接id parentid 如果是子连接,此处为父连接的