syslog日志格式说明.docVIP

Kiwi Syslog Daemon软件看到的AF输出的syslog日志格式如下（自定义格式），AF的syslog日志字段之间以“，”为分隔符，字段名和字段值之间以“：”为分隔符。syslog中输出的攻击日志按照危害分为高/中/低，都可以作为安全警告的触发条件，攻击日志包括WEB应用防护日志/IPS防护日志/DOS攻击日志/病毒查杀/WEB威胁/网站访问/威胁隔离。 Message中首先是记录时间，接着是主机名(AF的命名是localhost)，接着是fwlog,是AF的日志输出标识。具体字段下面说明。 Web应用防护日志 字段 事例 最大字节数据（字节） 字段说明 备注 日志类型 WAF应用防护日志 32 源IP 16 点分十进制 源端口 4 十进制串表示 目的IP 16 目的端口 4 十进制表示 攻击类型 OS命令注入/SQL注入/… 32 类型很多，不枚举 严重级别 高/中/低 4 一个汉字 系统动作 被记录/拒绝/发现病毒 20 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字符 URL 256 再长就截断 IPS防护日志 字段 事例 最大字节数据（字节） 字段说明 备注 日志类型 IPS防护日志 32 源IP 16 源端口 6 十进制串表示 目的IP 16 目的端口 6 十进制表示 协议 ICMP/TCP/UDP 6 攻击类型 操作系统/文件服务/邮件服务/… 64 类型很多，不枚举 漏洞名称 MS08067 NetApI 缓冲区溢出 256 中文字符 严重等级 高/中/低 4 一个汉字 动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字 DOS攻击日志 项目 事例 字节数据（字节） 字段说明 备注 日志类型 DOS攻击日志 32 源IP 16 目的IP 16 攻击方向 内网/外网 6 外网方向即外网DOS攻击，内网方向即内网DOS攻击 攻击类型 ICMP FLOOD, UDP FLOOD, SYN FLOOD, 32 31英文字符或者15个中文字符（漏洞类型） 严重等级 高/中/低 4 一个汉字 系统动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字 病毒查杀 项目 事例 最大字节数据（字节） 字段说明 备注 日志类型 病毒查杀 32 用户 xxx 64 不开用户认证的话，就是源IP 源IP 16 源端口 6 十进制串表示 目的IP 16 目的端口 6 十进制表示 病毒类型 蠕虫、木马 64 病毒名 256 应用名称 HTTP上传/HTTP下载/FTP上传/FTP下载/SMTP邮件发送/POP3邮件接收 64 31英文字符或者15个中文字符（漏洞类型） 严重等级 高/中/低 4 一个汉字 系统动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字符 URL 256 URL 长了就截断 WEB威胁 项目 事例 字节数据（字节） 字段说明 备注 日志类型 WEB威胁 32 用户 xxx 64 不开用户认证的话，就是源IP 源IP 99 16 目的IP 5 16 应用名称 恶意脚本，恶意ActiveX插件 32 31英文字符或者15个中文字符（漏洞类型） 系统动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字符或者9个英文字符 URL 256 域名 长了就截断 网站访问 项目 事例 字节数据（字节） 字段说明 备注 日志类型 网站访问 32 用户 xxx 64 不开用户认证的话，就是源IP 源IP 99 16 目的IP 5 16 应用名称 网站类别 IT、金融 32 31英文字符或者15个中文字符（漏洞类型） 系统动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字符或者9个英文字符 URL 256 URL长了就截断 服务控制或应用控制 项目 事例 最大字节数据（字节） 字段说明 备注 日志类型 服务控制或应用控制 32 用户 xxx 64 不开用户认证的话，就是源IP 源IP 16 源端口 6 十进制串表示 目的IP 16 目的端口 6 十进制表示 应用类型 服务控制/应用控制 64 31英文字符或者15个中文字符（漏洞类型） 应用名称 64 系统动作 被记录/拒绝/发现病毒 40 目前只使用了“被记录/拒绝”，“被记录“的意思是放通数据包 四个中文字符或者9个英文字符 系统操作 项目 事例 最大字节数据（字节） 字段说明 备注 日志类型 系统操作 32 用户 xxx 128 不开用户认证的话，就是源IP IP地址 varch