本文档介绍H3C SecCenter-CSAP-NTA日志信息(该日志信息指外发日志信息,不包括事件日志和管理日志),包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。
本文假设您已具备数据通信技术知识,并熟悉H3C网络产品。
缺省情况下,日志采用如下格式:
time name msg
表1-1 日志头字段说明
字段
描述
pri
PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来
time
时间紧跟在PRI后面,中间没有空格,格式必须是“Mmm dd hh:mm:ss”,不包括年份。“日”的数字如果是1~9,前面会补一个空格(也就是月份后面有两个空格),而“小时”、“分”、“秒”则在前面补“0”。月份取值包括:Jan、Feb、Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov、Dec
name
设备名称或IP,注意,name字段一定要包含sn,格式是:
device_name;sn;ipversion;msgversion
Ipversion包括:ipv4,ipv6
msg
该日志的具体内容,包含事件或错误发生的详细信息。
日志信息按严重性可划分为如
级别
严重程度
描述
0
Emergency
表示设备不可用的信息,如系统授权已到期
1
Alert
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限
2
Critical
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等
3
Error
表示错误信息,如接口链路状态变化,存储卡拔出等
4
Warning
表示警告信息,如接口连接断开,内存耗尽告警等
5
Notification
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等
6
Informational
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等
7
Debug
表示调试过程产生的信息
本文使用
参数标识
参数类型
INT16
有符号的16位整数
UINT16
无符号的16位整数
INT32
有符号的32位整数
UINT32
无符号的32位整数
INT64
有符号的64位整数
UINT64
无符号的64位整数
DOUBLE
有符号的双32位整数,格式为:[INT32].[INT32]
HEX
十六进制数
CHAR
字节类型
STRING
字符串类型
IPADDR
IP地址
MAC
MAC地址
DATE
日期
TIME
时间
缺省情况下,设备的日志功能处于开启状态,并允许向WEB页面、日志服务器(loghost)和本地日志文件(logfile)方向输出日志信息。您可以在WEB页面上实时看到系统输出的日志信息,也可以通过配置日志服务器将设备的日志信息发送到指定的日志服务器。
通过配置日志过滤规则可以设置日志信息的输出规则,通过输出规则可以指定日志的输出方向以及对哪些特性模块或信息等级的日志信息进行输出。所有信息等级高于或等于设置等级的日志信息都会被输出到指定的输出方向。例如,输出规则中如果指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出到指定的输出方向。
·监视终端是指以AUX、VTY、TTY类型用户线登录的用户终端。
·配置日志服务器后,日志服务器也可以实时监控日志信息。
·本地日志文件可以记录日志信息,但仅能通过WEB页面查看。
缺省情况下,系统根据配置的日志过滤条件,将需要记录的日志实时记录到日志文件当中。日志文件中的内容可以通过WEB页面中的日志查询实时查看。
您可以通过配置日志服务器向指定的IP地址发送设备的日志信息,还可同时配置日志服务器接收日志信息的端口号(该值需要和日志主机侧的设置一致,缺省为514)。如果设备侧配置的日志服务器接收日志信息的端口号与日志服务器侧不一致,则日志服务器将无法接收日志信息。
您可以指定多个不同服务器同时接收设备产生的日志信息。但最多可指定3个。
模块名
说明
流日志
报文统计日志、TCP/UDP会话日志、ARP会话日志
审计日志
审计出的流量的内容
威胁日志
扫描攻击检测日志
告警日志
流量告警、审计告警日志
安全日志
IPS、AV、威胁情报
本文将系统日志信息按照日志模块分类。
本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考
表项
说明
举例
日志内容
显示日志信息的具体内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3:UINT32] ‑;
[$4:UINT32] ‑; [$5:UINT64] ‑; [$6:UINT64] ‑; [$7:UINT64]
参数解释
按照参数在日志中出现的顺序对参数进行解释。
参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数。
$1:链路ID
$2:虚链路ID
$3:源MAC
$4:目标MAC
日志等级
日志严重等级
6
举例
一个真实的日志信息举例。
operator_name=admin; operate_ip=192.168.1.105; create_time=2014-07-22 17:56:32;level=notice;reason=mod;result=success;managestyle=WEB;content=mod syslog configuration
日志说明
解释日志信息和日志生成的原因
匹配一条ACL规则的数据包个数。该日志会在数据包个数发生变化时输出。
处理建议
建议用户应采取哪些处理措施。级别为6的“Informational”日志信息是正常运行的通知信息,用户无需处理。
系统正常运行时产生的信息,无需处理。
本节介绍报文统计日志、TCP/UDP会话日志、ARP会话日志的日志信息。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3:UINT32] ‑;
[$4:UINT32] ‑; [$5:UINT64] ‑; [$6:UINT64] ‑; [$7:UINT64] ‑; [$8:UINT64] ‑; [$9:UINT64]
‑; [$10:UINT64] ‑; [$11:UINT64] ‑; [$12:UINT64] ‑; [$13:UINT64] ‑; [$14:UINT64]
‑; [$15:UINT64] ‑; [$16:UINT64] ‑; [$17:UINT64] ‑; [$18:UINT64] ‑; [$19:UINT64]
‑; [$20:UINT64] ‑; [$21:UINT64] ‑; [$22:UINT64] ‑; [$23:UINT64] ‑; [$24:UINT64]
‑; [$25:UINT64] ‑; [$26:UINT32] ‑; [$27:UINT32] ‑; [$28:UINT32] ‑; [$29:UINT32]
‑; [$30:UINT32] ‑; [$31:UINT32] ‑; [$32:UINT32] ‑; [$33:UINT32] ‑; [$34:UINT32]
‑; [$35:UINT32] ‑; [$36:UINT32] ‑; [$37:UINT32] ‑; [$38:UINT64] ‑; [$39:UINT64]
‑; [$40:UINT64] ‑; [$41:UINT64] ‑; [$42:UINT64] ‑; [$43:UINT64] ‑; [$44:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3: 开始统计时间(时间格式:记录从1900年开始的秒数)
$4: 结束统计时间(时间格式:记录从1900年开始的秒数)
$5: 总字节数
$6: 总数据包
$7: IP数据包
$8: IPv4数据包
$9: IPv6数据包
$10:IP字节数
$11:IPv4字节数
$12:IPv6字节数
$13:非IP数据包
$14:非IP字节数
$15:广播包
$16:组播包
$17:ICMP包
$18:ICMP字节数
$19:TCP数据包
$20:TCP字节数
$21:TCP同步包
$22:TCP同步确认包
$23:TCP重置包
$24:UDP数据包
$25:UDP字节数
$26:总会话
$27:IPv4总会话
$28:IPv6总会话
$29:TCP会话
$30:UDP会话
$31:ICMP会话
$32:新建会话
$33:IPv4新建会话
$34:IPv6新建会话
$35:TCP新建会话
$36:UDP新建会话
$37:ICMP新建会话
$38:<=64
$39:65-127
$40:128-255
$41:256-511
$42:512-1023
$43:1024-1517
$44:>=1518
日志等级
6
举例
<6>Jul 25 17:49:47‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;packet_count‑;0‑;0‑;1564048181‑;1564048182‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;14‑;14‑;0‑;13‑;1‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0‑;0
日志说明
一秒钟发送一条。不支持统计IPV6数据
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3:UINT64] ‑;
[$4:UINT64] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7:UINT32] ‑; [$8:UINT16] ‑; [$9:UINT8]
‑; [$10:UINT32] ‑; [$11:UINT16] ‑; [$12:UINT8] ‑; [$13:UINT8] ‑; [$14: CHAR] ‑;
[$15: CHAR] ‑; [$16:UINT64] ‑; [$17:UINT64] ‑; [$18:UINT64] ‑; [$19:UINT64] ‑;
[$20:UINT64] ‑; [$21:UINT64] ‑; [$22:UINT64] ‑; [$23:UINT64] ‑; [$24:UINT8] ‑;
[$25:UINT64] ‑; [$26: UINT64] ‑; [$27: UINT64] ‑; [$28:UINT16] ‑; [$29: DOUBLE]
‑; [$30: DOUBLE] ‑; [$31: DOUBLE] ‑; [$32:UINT8] ‑; [$33: UINT8] ‑; [$34: UINT8] ‑; [$35: UINT8] ‑; [$36: UINT8] ‑; [$37: UINT64] ‑; [$38:UINT64] ‑; [$39:UINT64]
‑; [$40:UINT8]
参数解释
$1:链路ID
$2:虚链路ID
$3:源MAC
$4:目标MAC
$5:用户
$6:用户组
$7:源IP
$8:源端口
$9:源IP国家ID
$10:目标IP
$11:目标端口
$12:目标IP国家ID
$13:协议
$14:应用
$15:应用组
$16:上行字节数
$17:下行字节数
$18:上行数据包数
$19:下行数据包数
$20:上行字节数(有效载荷)
$21:下行字节数(有效载荷)
$22:上行数据包数(有效载荷)
$23:下行数据包数(有效载荷)
$24:连接状态(1全连接,0半连接)
$25:会话开始时间
$26:统计开始时间
$27:会话结束时间
$28:连接建立时间(总RTT)
$29:上行RTT
$30:下行RTT
$31:应用时延
$32:TCP-SYN同步包
$33:TCP-SYN-ACK包
$34:TCP三次握手客户端确认包
$35:上行TCP RST报文
$36:下行TCP RST报文
$37:单播
$38:组播
$39:广播
$40:会话状态(短连接标识=5;长连接开始和3分钟更新一次的日志标识=3;结束标识=7。)
日志等级
6
举例
IPV4:
<6> Oct 11 14:55:48‑;test‑;1110003000004932B7201553‑;1‑;4‑;tcp_session‑;0‑;0‑;174730820603208‑;184820241043816‑;hht1(192.168.199.201)‑;group-hht1‑;3232286665‑;49602‑;0‑;3627736548‑;443‑;156‑;6‑;未知TCP‑;网络协议‑;0‑;1584‑;0‑;3‑;0‑;0‑;0‑;0‑;0‑;1539240920668‑;1539240920668‑;1539240949310‑;0‑;0.00‑;0.00‑;123456789‑;3‑;0‑;0‑;0‑;0‑;3‑;0‑;0‑;5
IPV6:
<6>Jul 25 10:29:30‑;NTA‑;1110003000004932B7201553‑;2‑;6‑;tcp_session‑;0‑;0‑;79497675205278‑;114975482845096‑;::192.168.199.201‑;所有用户‑;::192.168.199.201‑;54579‑;0‑;::14.17.32.211‑;80‑;0‑;6‑;腾讯网‑;网络社区‑;21728‑;187528‑;16‑;20‑;11488‑;175592‑;2‑;18‑;1‑;1564021752349‑;1564021752349‑;1564021771280‑;0.02‑;0.01‑;0.01‑;52‑;1‑;1‑;2‑;0‑;0‑;36‑;0‑;0‑;5
日志说明
TCP会话产生的日志。支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
2.3 UDP及其他IP会话日志
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3:UINT64] ‑;
[$4:UINT64] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7:UINT32] ‑; [$8:UINT16] ‑; [$9:UINT8]
‑; [$10:UINT32] ‑; [$11:UINT16] ‑; [$12:UINT8] ‑; [$13:UINT8] ‑; [$14: CHAR] ‑;
[$15: CHAR] ‑; [$16:UINT64] ‑; [$17:UINT64] ‑; [$18:UINT64] ‑; [$19:UINT64] ‑;
[$20: UINT8] ‑; [$21: DOUBLE] ‑; [$22: DOUBLE] ‑; [$23:UINT64] ‑; [$24: UINT64]
‑; [$25:UINT64] ‑; [$26: UINT64] ‑; [$27: UINT64] ‑; [$28: UINT64] ‑; [$29: UINT8]
参数解释
$1:链路ID
$2:虚链路ID
$3:源MAC
$4:目标MAC
$5:用户
$6:用户组
$7:源IP
$8:源端口
$9:源IP国家ID
$10:目标IP
$11:目标端口
$12:目标IP国家ID
$13:协议
$14:应用
$15:应用组
$16:上行字节数
$17:下行字节数
$18:上行数据包数
$19:下行数据包数
$20:连接状态(1全连接,0半连接)
$21:网络时延
$22:应用响应时延
$23:会话开始时间
$24:统计开始时间
$25:统计(会话)结束时间
$26:单播
$27:组播
$28:广播
$29:会话状态(短连接标识=5;长连接开始和3分钟更新一次的日志标识=3;结束标识=7。)
日志等级
6
举例
IPV4:
<6>Oct 11 14:55:53‑;test‑;1110003000004932B7201553‑;1‑;4‑;udp_session‑;0‑;0‑;237259529050904‑;184820241043816‑;192.168.199.189‑;group-hht1‑;3232286653‑;62163‑;0‑;3232286465‑;53‑;0‑;17‑;域名解析协议(DNS)‑;网络协议‑;1256‑;712‑;1‑;1‑;1‑;123456789‑;332‑;1539240944418‑;1539240944418‑;1539240954060‑;2‑;0‑;0‑;5
IPV6:
<6>Jul 25 14:28:34‑;NTA‑;1110003000004932B7201553‑;2‑;6‑;udp_session‑;0‑;0‑;0‑;0‑;::10.0.2.15‑;所有用户‑;::10.0.2.15‑;5060‑;30564‑;::10.0.2.20‑;5060‑;0‑;17‑;会话发起协议(SIP)‑;流媒体‑;16544‑;5840‑;3‑;2‑;1‑;123456789‑;123456789‑;1564035815170‑;1564035815170‑;1564036114380‑;5‑;0‑;0‑;7
日志说明
UDP及其他IP会话产生的日志。支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3:UINT32] ‑;
[$4:UINT32] ‑; [$5:UINT64] ‑; [$6:UINT64] ‑; [$7:UINT64] ‑; [$8:UINT32] ‑; [$9: UINT32] ‑; [$10:UINT8] ‑; [$11:UINT64] ‑; [$12:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:发送者IP
$4:接收者IP
$5:发送者MAC
$6:接收者MAC
$7:返回MAC
$8:请求次数
$9:响应次数
$10:状态
$11:会话开始时间
$12:会话结束时间
日志等级
6
举例
<6> Oct 11 14:55:56‑;test‑;4‑;arp_session‑;0‑;0‑;3232286644‑;3232286465‑;116296070126360‑;0‑;0‑;0‑;0‑;0‑;1539240943800‑;1539240957170
日志说明
ARP会话产生的日志。
处理建议
无。
本节介绍审计产生的日志信息。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5:UINT64] ‑; [$6:UINT32] ‑; [$7:UINT16] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10:CHAR] ‑; [$11:UINT32] ‑; [$12:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:源MAC
$6:源IP
$7:源端口号
$8:目的IP
$9:目的端口
$10:域名
$11:返回IP
$12:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 11 14:55:53‑;test‑;1110003000004932B7201553‑;1‑;4‑;dns‑;0‑;0‑;hht1‑;group-hht1‑;174730820603208‑;3232286665‑;52541‑;3232286465‑;53‑;ping.pinyin.sogou.com‑;1832091259‑;1539240953
IPV6:
<2>Jul 25 10:47:51‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;dns‑;0‑;0‑;::192.168.199.180‑;所有用户‑;27332941825385‑;::192.168.199.180‑;59485‑;::192.168.199.1‑;53‑;pgdt.gtimg.cn‑;1960032660‑;1564022872
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5:UINT64] ‑; [$6:UINT32] ‑; [$7:UINT16] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10:CHAR] ‑; [$11:CHAR] ‑; [$12:CHAR] ‑; [$13:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:源MAC
$6:源IP
$7:源端口号
$8:目的IP
$9:目的端口
$10:帐号
$11:命令
$12:文件名
$13:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 10:49:21‑;test‑;1110003000004932B7201553‑;1‑;4‑;ftp‑;0‑;0‑;192.168.199.234‑;group-hht1‑;220947865078624‑;3232286698‑;47060‑;3232286677‑;21‑;‑;put‑;syscfg.con‑;1539571762
IPV6:
<2>Jul 25 11:28:39‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;ftp‑;0‑;0‑;::10.1.1.88‑;所有用户‑;52239677423‑;::10.1.1.88‑;1077‑;::192.168.199.88‑;21‑;ftpuser‑;user‑;‑;1564025320
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5:UINT64] ‑; [$6:UINT32] ‑; [$7:UINT16] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10:CHAR] ‑; [$11:CHAR] ‑; [$12:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:源MAC
$6:源IP
$7:源端口号
$8:目的IP
$9:目的端口
$10:帐号
$11:命令
$12:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 17:05:22‑;test‑;1110003000004932B7201553‑;1‑;4‑;telnet‑;0‑;0‑;192.168.199.203‑;group-hht1‑;10919398048212‑;3232286667‑;12163‑;167837959‑;23‑;admin‑;‑;1539594322
IPV6:
<2>Jul 25 11:31:33‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;telnet‑;0‑;0‑;::192.168.199.243‑;所有用户‑;23084205361015‑;::192.168.199.243‑;49960‑;::192.168.199.5‑;23‑;dmin‑;‑;1564025493
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5:UINT64] ‑; [$6:UINT32] ‑; [$7:UINT16] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10:CHAR] ‑; [$11:CHAR] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:源MAC
$6:源IP
$7:源端口号
$8:目的IP
$9:目的端口
$10:应用名
$11:帐号
$12:命令
$13:行为
$14:审计时间
日志等级
0~6
举例
IPV4:
<5>Jul 25 11:52:14‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;database‑;0‑;0‑;192.168.252.215‑;所有用户‑;345050775420‑;3232300247‑;47030‑;3232300244‑;1521‑;Oracle数据库‑;root‑;‑;登录‑;1564026735
IPV6:
<2>Jul 25 13:56:42‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;database‑;0‑;0‑;::192.168.198.12‑;所有用户‑;268308378905195‑;::192.168.198.12‑;39198‑;::192.168.199.51‑;3306‑;MySQL数据库‑;‑;select
@@version_comment limit 1‑;操作‑;1564034203
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:网站域名
$13:用户访问的完整URL
$14:网站分类名称
$15:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 10:28:17‑;test‑;1110003000004932B7201553‑;1‑;4‑;website‑;0‑;0‑;192.168.199.189‑;group-hht1‑;Windows‑;PC‑;237259529050904‑;3232286653‑;58461‑;167838064‑;80‑;10.1.1.112‑;http://10.1.1.112/login.html‑;网络协议‑;1539570497
IPV6:
<2>Jul 25 13:51:12‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;website‑;0‑;0‑;fde0:6477:1e3f::3:c7‑;所有用户‑;‑;‑;2313997713408‑;fde0:6477:1e3f::3:c7‑;42962‑;fde0:6477:1e3f::4:3e‑;80‑;tiaya.cn‑;http://tiaya.cn/72ylR30aMMCp1qZzwb‑;网络协议‑;1564033872
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:CHAR] ‑; [$17:CHAR] ‑; [$18:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:主题
$17:内容
$18:审计时间
日志等级
0~6
举例
IPV4:
<5>Jul 25 14:03:29‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;social_bbs‑;0‑;0‑;192.168.199.203‑;所有用户‑;Windows‑;PC‑;233654129192457‑;3232286667‑;31290‑;2021982963‑;80‑;人人网‑;网络社区‑;honghaitao1314@yahoo.com.cn‑;发表‑;‑;123456‑;1564034610
IPV6:
<2>Jul 25 13:53:18‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;social_bbs‑;0‑;0‑;::192.168.199.203‑;所有用户‑;‑;‑;233654129192457‑;::192.168.199.203‑;31290‑;::120.133.2.243‑;80‑;人人网‑;网络社区‑;honghaitao1314@yahoo.com.cn‑;发表‑;‑;123456‑;1564033999
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:CHAR] ‑; [$17:CHAR] ‑; [$18:CHAR] ‑; [$19:CHAR] ‑; [$20:CHAR]
‑; [$21:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:发送地址
$17:接收地址
$18:主题
$19:邮件内容
$20:文件名称
$21:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 16:35:55‑;test‑;1110003000004932B7201553‑;1‑;4‑;mail‑;0‑;0‑;192.168.199.213‑;group-hht1‑;‑;‑;262771865864952‑;3232286677‑;51015‑;2746309245‑;110‑;POP3邮件协议‑;电子邮件‑;""test1@163.com""
< test1@163.com>‑;接收邮件‑;"" test1@163.com"" < test1@163.com>‑; test2@163.com‑;test ‑;20181015/16354100019.eml‑;123.txt‑;0‑;1539592555
IPV6:
<2>Jul 25 13:59:03‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;mail‑;0‑;0‑;::192.168.199.201‑;所有用户‑;‑;‑;79497675205278‑;::192.168.199.201‑;49808‑;::113.96.232.106‑;25‑;SMTP邮件协议‑;电子邮件‑;"honghaitao@163.com"
‑;发送邮件‑;"honghaitao@163.com" ‑;chenyuan@163.com‑;test‑;20190725/13584600129.eml‑;‑;1564034344
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:CHAR] ‑; [$17:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:内容
$17:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 13:58:14‑;test‑;1110003000004932B7201553‑;1‑;4‑;search_engine‑;0‑;0‑;192.168.199.96‑;group-hht1‑;Windows‑;PC‑;176886279274964‑;3232286560‑;19560‑;885329804‑;80‑;有道搜索‑;搜索引擎‑;‑;搜索‑;pro‑;1539583094
IPV6:
<2>Jul 25 13:58:33‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;search_engine‑;0‑;0‑;::192.168.199.204‑;所有用户‑;‑;‑;233654129191841‑;::192.168.199.204‑;21852‑;::220.181.76.83‑;80‑;有道搜索‑;搜索引擎‑;‑;搜索‑;test‑;1564034314
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:CHAR] ‑; [$17:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:文件名称
$17:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 15 10:30:10‑;test‑;1110003000004932B7201553‑;1‑;4‑;file‑;0‑;0‑;192.168.199.167‑;group-hht1‑;Windows
‑;PC‑;220494854769992‑;3232286631‑;52677‑;3524720783‑;80‑;HTTP文件下载‑;文件传输‑;‑;接收‑;1.zip‑;1539570611
IPV6:
<2>Jul 25 13:56:03‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;file‑;0‑;0‑;fde0:6477:1e3f::3:c8‑;所有用户‑;Windows ‑;PC‑;2313997713408‑;fde0:6477:1e3f::3:c8‑;39832‑;fde0:6477:1e3f::4:95‑;80‑;HTTP文件下载‑;文件传输‑;‑;接收‑;OCfX4gHNVNQ.jpg‑;1564034163
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户
$4:用户组
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:审计时间
日志等级
0~6
举例
IPV4:
<6> Oct 11 14:55:56‑;test‑;1110003000004932B7201553‑;1‑;4‑;relax_stock‑;0‑;0‑;192.168.199.116‑;group-hht1‑;Windows‑;PC‑;254360916259112‑;3232286580‑;22413‑;737182163‑;80‑;东方财富网‑;股票软件‑;‑;行情‑;1539240957
IPV6:
<2>Jul 25 13:57:19‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;relax_stock‑;0‑;0‑;::10.0.2.15‑;所有用户‑;‑;‑;0‑;::10.0.2.15‑;17566‑;::10.0.2.20‑;6000‑;RTP‑;流媒体‑;‑;看视频‑;1564034240
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
日志内容
[$1:UINT8] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: UINT64] ‑; [$8:UINT32] ‑; [$9: UINT16] ‑; [$10: UINT32] ‑; [$11: UINT16] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:CHAR] ‑; [$17:UINT64]
参数解释
$1:链路ID
$2:虚链路ID
$3:用户名称
$4:用户组名称
$5:终端平台
$6:终端设备
$7:源MAC地址
$8:源IP
$9:源端口号
$10:目的IP
$11:目的端口号
$12:应用名称
$13:应用分类名称
$14:帐号
$15:应用行为名称
$16:聊天内容
$17:审计时间
日志等级
0~6
举例
IPV4:
<6>Oct 11 14:55:47‑;test‑;1110003000004932B7201553‑;1‑;4‑;im‑;0‑;0‑;192.168.199.96‑;group-hht1‑;‑;‑;176886279274964‑;3232286560‑;27976‑;3752236831‑;443‑;QQ‑;即时通讯‑;280780344‑;发消息‑;‑;1539240948
IPV6:
<5>Jul 25 13:57:54‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;im‑;0‑;0‑;10.81.152.125‑;所有用户‑;‑;‑;22077398685219‑;173119613‑;43681‑;1902926389‑;14000‑;QQ(移动端)‑;即时通讯‑;8032880us7‑;登录‑;‑;1564034274
日志说明
匹配到审计策略,对应审计内容和日志过滤均配置为发送日志。
支持IPV6,IPV6的源IP地址字段、目的IP地址字段类型为Varchar
处理建议
无。
本节介绍威胁检测产生的日志信息。
日志内容
[$1: CHAR] ‑; [$2:UINT32] ‑; [$3:UINT32]
‑; [$4: UINT16] ‑; [$5:CHAR] ‑; [$6: CHAR] ‑; [$7:UINT8] ‑; [$8:UINT64] ‑;
[$9:UINT8] ‑; [$10:UINT64] ‑; [$11:UINT64]
参数解释
$1:日志类型
$2:源IP
$3:目的IP
$4:目的端口号
$5:攻击名称
$6:攻击类型
$7:协议名称
$8:源MAC
$9:计数
$10:
检测开始时间
$11:检测结束时间
日志等级
4
举例
端口扫描:
<4>Jul 25 15:00:19‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;security_scan‑;192.168.202.110‑;3232287342‑;3232241150‑;1-64680‑;port-scan‑;scan-attack‑;6‑;207458825860022‑;147‑;1564038008‑;1564038018
IP扫描:
<4>Jul 25 15:00:22‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;security_scan‑;192.168.202.110‑;3232287342‑;3232240896-3232241150‑;-‑;ipsweep‑;scan-attack‑;1‑;4702246944777368502‑;325‑;1564038007‑;1564038022
日志说明
检测到扫描攻击。支持端口扫描、IP扫描,协议分别为UDP、TCP、ICMP
处理建议
无。
日志内容
[$1:CHAR] ‑; [$2:UINT32] ‑; [$3: UINT64]
‑; [$4: UINT64] ‑; [$5:UINT32] ‑; [$6:UINT32] ‑; [$7:UINT32] ‑; [$8:UINT32] ‑;
[$9: UINT32] ‑; [$10:CHAR] ‑; [$11: CHAR] ‑; [$12:CHAR] ‑; [$13:CHAR] ‑; [$14:CHAR]
‑; [$15:CHAR] ‑; [$16:UINT64]
参数解释
$1:用户
$2:策略编号
$3:源MAC
$4:目的MAC
$5:源IP
$6:目的IP
$7:Xforward_ip
$8:源端口
$9:目的端口
$10:应用名称
$11:协议
$12:应用
$13:事件名称
$14:事件类型
$15:事件级别
$16:事件时间
日志等级
6
举例
<6>Jul 25 15:19:24‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;ips‑;10.1.8.82‑;1‑;127704577989893‑;189453446348130‑;167839826‑;168614442‑;0‑;60357‑;3306‑;所有应用‑;TCP‑;TCP‑;MYSQL_MySQL操作命令拒绝服务漏洞[CVE-2010-3678]‑;安全漏洞‑;info‑;1564039164537
日志说明
检测入侵报文。
处理建议
无。
日志内容
[$1: CHAR] ‑; [$2: CHAR] ‑; [$3: CHAR] ‑;
[$4: UINT32] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7: CHAR] ‑; [$8: CHAR] ‑; [$9: CHAR] ‑; [$10: UINT32] ‑; [$11: UINT32] ‑; [$12: CHAR] ‑; [$13: CHAR] ‑; [$14: CHAR] ‑; [$15:UINT64] ‑
参数解释
$1:病毒名
$2:病毒文件
$3:用户
$4:策略ID
$5:源MAC
$6:目的MAC
$7:源IP
$8:目的IP
$9:源端口
$10:目的端口
$11:应用名称
$12:协议
$13:应用
$14:级别
$15:检测时间
日志等级
4
举例
<4>Jul 25 17:13:59‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;av‑;avvirus005‑;0b000b20e82ef97e04be100d1439f7eb.zip‑;192.168.199.203‑;1‑;d4:81:d7:5e:ee:09‑;68:91:d0:d0:17:a8‑;192.168.199.203‑;10.1.1.71‑;22490‑;49961‑;FTP传输文件‑;TCP‑;FTP‑;warning‑;1564046039741
日志说明
检测病毒报文。
处理建议
无。
日志内容
[$1: CHAR] ‑; [$2: CHAR] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: UINT32] ‑; [$6:UINT32] ‑; [$7: CHAR] ‑; [$8: UINT64] ‑; [$9: UINT64]
参数解释
$1:匹配的关键字
$2:威胁类型
$3:源IP
$4:目的IP
$5:源端口
$6:目的端口
$7:协议
$8:级别
$9:检测时间
日志等级
0
举例
<0>Jul 25 17:36:56‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;ti‑;"1.2.193.152"‑;钓鱼,恶意软件,垃圾邮件‑;1.1.235.48‑;1.2.193.152‑;50155‑;143‑;TCP‑;alert‑;1564047296575
日志说明
检测威胁情报。
处理建议
无。
本节介绍流量告警和审计告警产生的日志信息。
日志内容
[$1: CHAR] ‑; [$2:UINT8] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: CHAR] ‑; [$6: CHAR] ‑; [$7:UINT32]
参数解释
$1:规则名称
$2:告警类型
$3:描述信息
$4:流量
$5:IP对象
$6:流量
$7:会话数
日志等级
1
举例
<1> Oct 15 14:15:59‑;test‑;1110003000004932B7201553‑;1‑;4‑;alarm_obj‑;test_99‑;1‑;192.168.199.177‑;100K‑;192.168.199.177‑;40M‑;3
日志说明
启用流量告警且匹配到流量告警的规则。告警类型分为用户告警、服务器告警、应用告警
处理建议
无。
日志内容
[$1: CHAR] ‑; [$2: CHAR] ‑; [$3: CHAR] ‑;
[$4: CHAR] ‑; [$5: UINT32] ‑; [$6: CHAR] ‑; [$7: CHAR] ‑; [$8: CHAR] ‑; [$9: UINT64]
参数解释
$1:用户名
$2:源IP
$3:目的IP
$4:规则名称
$5:规则ID
$6:描述信息
$7:操作类型
$8:文件名
$9:文件大小
日志等级
0
举例
<0>Jul 26 11:24:06‑;NTA‑;1110003000004932B7201553‑;1‑;4‑;alarm_audit‑;128.10.2.3‑;128.10.2.3‑;134.82.23.29‑;shenji-gaojing‑;1‑;‑;put‑;Excalibur-2.2.2.sit.hqx‑;535220
日志说明
启用审计告警且匹配到审计告警的规则。
处理建议
无。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
