grok过滤规则--firewalld

最新推荐文章于 2024-03-04 09:54:37 发布
最新推荐文章于 2024-03-04 09:54:37 发布
阅读量757 收藏 1
点赞数
分类专栏: elk 文章标签: grok过滤规则--firewalld
本文详细解析了NetScreen和Cisco ASA防火墙日志的结构与字段,包括会话记录、事件类型、方向、协议、地址转换等关键信息,为理解和分析防火墙日志提供了实用的指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

# NetScreen firewall logs
NETSCREENSESSIONLOG %{SYSLOGTIMESTAMP:date} %{IPORHOST:device} %{IPORHOST}: NetScreen device_id=%{WORD:device_id}%{DATA}: start_time=%{QUOTEDSTRING:start_time} duration=%{INT:duration} policy_id=%{INT:policy_id} service=%{DATA:service} proto=%{INT:proto} src zone=%{WORD:src_zone} dst zone=%{WORD:dst_zone} action=%{WORD:action} sent=%{INT:sent} rcvd=%{INT:rcvd} src=%{IPORHOST:src_ip} dst=%{IPORHOST:dst_ip} src_port=%{INT:src_port} dst_port=%{INT:dst_port} src-xlated ip=%{IPORHOST:src_xlated_ip} port=%{INT:src_xlated_port} dst-xlated ip=%{IPORHOST:dst_xlated_ip} port=%{INT:dst_xlated_port} session_id=%{INT:session_id} reason=%{GREEDYDATA:reason}

#== Cisco ASA ==
CISCO_TAGGED_SYSLOG ^<%{POSINT:syslog_pri}>%{CISCOTIMESTAMP:timestamp}( %{SYSLOGHOST:sysloghost})?: %%{CISCOTAG:ciscotag}:
CISCOTIMESTAMP %{MONTH} +%{MONTHDAY}(?: %{YEAR})? %{TIME}
CISCOTAG [A-Z0-9]+-%{INT}-(?:[A-Z0-9_]+)
# Common Particles
CISCO_ACTION Built|Teardown|Deny|Denied|denied|requested|permitted|denied by ACL|discarded|est-allowed|Dropping|created|deleted
CISCO_REASON Duplicate TCP SYN|Failed to locate egress interface|Invalid transport field|No matching connection|DNS Response|DNS Query|(?:%{WORD}\s*)*
CISCO_DIRECTION Inbound|inbound|Outbound|outbound
CISCO_INTERVAL first hit|%{INT}-second interval
CISCO_XLATE_TYPE static|dynamic
# ASA-2-106001
CISCOFW106001 %{CISCO_DIRECTION:direction} %{WORD:protocol} connection %{CISCO_ACTION:action} from %{IP:src_ip}/%{INT:src_port} to %{IP:dst_ip}/%{INT:dst_port} flags %{GREEDYDATA:tcp_flags} on interface %{GREEDYDATA:interface}
# ASA-2-106006, ASA-2-106007, ASA-2-106010
CISCOFW106006_106007_106010 %{CISCO_ACTION:action} %{CISCO_DIRECTION:direction} %{WORD:protocol} (?:from|src) %{IP:src_ip}/%{INT:src_port}(\(%{DATA:src_fwuser}\))? (?:to|dst) %{IP:dst_ip}/%{INT:dst_port}(\(%{DATA:dst_fwuser}\))? (?:on interface %{DATA:interface}|due to %{CISCO_REASON:reason})
# ASA-3-106014
CISCOFW106014 %{CISCO_ACTION:action} %{CISCO_DIRECTION:direction} %{WORD:protocol} src %{DATA:src_interface}:%{IP:src_ip}(\(%{DATA:src_fwuser}\))? dst %{DATA:dst_interface}:%{IP:dst_ip}(\(%{DATA:dst_fwuser}\))? \(type %{INT:icmp_type}, code %{INT:icmp_code}\)
# ASA-6-106015
CISCOFW106015 %{CISCO_ACTION:action} %{WORD:protocol} \(%{DATA:policy_id}\) from %{IP:src_ip}/%{INT:src_port} to %{IP:dst_ip}/%{INT:dst_port} flags %{DATA:tcp_flags}  on interface %{GREEDYDATA:interface}
# ASA-1-106021
CISCOFW106021 %{CISCO_ACTION:action} %{WORD:protocol} reverse path check from %{IP:src_ip} to %{IP:dst_ip} on interface %{GREEDYDATA:interface}
# ASA-4-106023
CISCOFW106023 %{CISCO_ACTION:action} %{WORD:protocol} src %{DATA:src_interface}:%{IP:src_ip}(/%{INT:src_port})?(\(%{DATA:src_fwuser}\))? dst %{DATA:dst_interface}:%{IP:dst_ip}(/%{INT:dst_port})?(\(%{DATA:dst_fwuser}\))?( \(type %{INT:icmp_type}, code %{INT:icmp_code}\))? by access-group %{DATA:policy_id} \[%{DATA:hashcode1}, %{DATA:hashcode2}\]
# ASA-5-106100
CISCOFW106100 access-list %{WORD:policy_id} %{CISCO_ACTION:action} %{WORD:protocol} %{DATA:src_interface}/%{IP:src_ip}\(%{INT:src_port}\)(\(%{DATA:src_fwuser}\))? -> %{DATA:dst_interface}/%{IP:dst_ip}\(%{INT:dst_port}\)(\(%{DATA:src_fwuser}\))? hit-cnt %{INT:hit_count} %{CISCO_INTERVAL:interval} \[%{DATA:hashcode1}, %{DATA:hashcode2}\]
# ASA-6-110002
CISCOFW110002 %{CISCO_REASON:reason} for %{WORD:protocol} from %{DATA:src_interface}:%{IP:src_ip}/%{INT:src_port} to %{IP:dst_ip}/%{INT:dst_port}
# ASA-6-302010
CISCOFW302010 %{INT:connection_count} in use, %{INT:connection_count_max} most used
# ASA-6-302013, ASA-6-302014, ASA-6-302015, ASA-6-302016
CISCOFW302013_302014_302015_302016 %{CISCO_ACTION:action}(?: %{CISCO_DIRECTION:direction})? %{WORD:protocol} connection %{INT:connection_id} for %{DATA:src_interface}:%{IP:src_ip}/%{INT:src_port}( \(%{IP:src_mapped_ip}/%{INT:src_mapped_port}\))?(\(%{DATA:src_fwuser}\))? to %{DATA:dst_interface}:%{IP:dst_ip}/%{INT:dst_port}( \(%{IP:dst_mapped_ip}/%{INT:dst_mapped_port}\))?(\(%{DATA:dst_fwuser}\))?( duration %{TIME:duration} bytes %{INT:bytes})?(?: %{CISCO_REASON:reason})?( \(%{DATA:user}\))?
# ASA-6-302020, ASA-6-302021
CISCOFW302020_302021 %{CISCO_ACTION:action}(?: %{CISCO_DIRECTION:direction})? %{WORD:protocol} connection for faddr %{IP:dst_ip}/%{INT:icmp_seq_num}(?:\(%{DATA:fwuser}\))? gaddr %{IP:src_xlated_ip}/%{INT:icmp_code_xlated} laddr %{IP:src_ip}/%{INT:icmp_code}( \(%{DATA:user}\))?
# ASA-6-305011
CISCOFW305011 %{CISCO_ACTION:action} %{CISCO_XLATE_TYPE:xlate_type} %{WORD:protocol} translation from %{DATA:src_interface}:%{IP:src_ip}(/%{INT:src_port})?(\(%{DATA:src_fwuser}\))? to %{DATA:src_xlated_interface}:%{IP:src_xlated_ip}/%{DATA:src_xlated_port}
# ASA-3-313001, ASA-3-313004, ASA-3-313008
CISCOFW313001_313004_313008 %{CISCO_ACTION:action} %{WORD:protocol} type=%{INT:icmp_type}, code=%{INT:icmp_code} from %{IP:src_ip} on interface %{DATA:interface}( to %{IP:dst_ip})?
# ASA-4-313005
CISCOFW313005 %{CISCO_REASON:reason} for %{WORD:protocol} error message: %{WORD:err_protocol} src %{DATA:err_src_interface}:%{IP:err_src_ip}(\(%{DATA:err_src_fwuser}\))? dst %{DATA:err_dst_interface}:%{IP:err_dst_ip}(\(%{DATA:err_dst_fwuser}\))? \(type %{INT:err_icmp_type}, code %{INT:err_icmp_code}\) on %{DATA:interface} interface\.  Original IP payload: %{WORD:protocol} src %{IP:orig_src_ip}/%{INT:orig_src_port}(\(%{DATA:orig_src_fwuser}\))? dst %{IP:orig_dst_ip}/%{INT:orig_dst_port}(\(%{DATA:orig_dst_fwuser}\))?
# ASA-4-402117
CISCOFW402117 %{WORD:protocol}: Received a non-IPSec packet \(protocol= %{WORD:orig_protocol}\) from %{IP:src_ip} to %{IP:dst_ip}
# ASA-4-402119
CISCOFW402119 %{WORD:protocol}: Received an %{WORD:orig_protocol} packet \(SPI= %{DATA:spi}, sequence number= %{DATA:seq_num}\) from %{IP:src_ip} \(user= %{DATA:user}\) to %{IP:dst_ip} that failed anti-replay checking
# ASA-4-419001
CISCOFW419001 %{CISCO_ACTION:action} %{WORD:protocol} packet from %{DATA:src_interface}:%{IP:src_ip}/%{INT:src_port} to %{DATA:dst_interface}:%{IP:dst_ip}/%{INT:dst_port}, reason: %{GREEDYDATA:reason}
# ASA-4-419002
CISCOFW419002 %{CISCO_REASON:reason} from %{DATA:src_interface}:%{IP:src_ip}/%{INT:src_port} to %{DATA:dst_interface}:%{IP:dst_ip}/%{INT:dst_port} with different initial sequence number
# ASA-4-500004
CISCOFW500004 %{CISCO_REASON:reason} for protocol=%{WORD:protocol}, from %{IP:src_ip}/%{INT:src_port} to %{IP:dst_ip}/%{INT:dst_port}
# ASA-6-602303, ASA-6-602304
CISCOFW602303_602304 %{WORD:protocol}: An %{CISCO_DIRECTION:direction} %{GREEDYDATA:tunnel_type} SA \(SPI= %{DATA:spi}\) between %{IP:src_ip} and %{IP:dst_ip} \(user= %{DATA:user}\) has been %{CISCO_ACTION:action}
# ASA-7-710001, ASA-7-710002, ASA-7-710003, ASA-7-710005, ASA-7-710006
CISCOFW710001_710002_710003_710005_710006 %{WORD:protocol} (?:request|access) %{CISCO_ACTION:action} from %{IP:src_ip}/%{INT:src_port} to %{DATA:dst_interface}:%{IP:dst_ip}/%{INT:dst_port}
# ASA-6-713172
CISCOFW713172 Group = %{GREEDYDATA:group}, IP = %{IP:src_ip}, Automatic NAT Detection Status:\s+Remote end\s*%{DATA:is_remote_natted}\s*behind a NAT device\s+This\s+end\s*%{DATA:is_local_natted}\s*behind a NAT device
# ASA-4-733100
CISCOFW733100 \[\s*%{DATA:drop_type}\s*\] drop %{DATA:drop_rate_id} exceeded. Current burst rate is %{INT:drop_rate_current_burst} per second, max configured rate is %{INT:drop_rate_max_burst}; Current average rate is %{INT:drop_rate_current_avg} per second, max configured rate is %{INT:drop_rate_max_avg}; Cumulative total count is %{INT:drop_total_count}
#== End Cisco ASA ==

 

ELK安装配置学习笔记
glisten0317的博客
08-30 1390
ELK(filebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
编写firewall实现数据流量过滤
weixin_44401148的博客
01-08 679
一.实验环境 实验要求 推荐步骤 二.实验步骤 1.在网关服务器上配置主机名及网卡地址 Hostname gateway-server 为网关服务器添加两块网卡,分别为ens37和ens38 为三块网卡设置合适的ip地址 ens33:192.168.1.2/24 Ens37:192.168.2.2/24 Ens38:192.168.3.2/24 如下图: 2.开启网关服务器的路由转发功能...
防火墙实现URL过滤原理
iteye_582的博客
05-08 7037
对于URL过滤:1.HTTP URL过滤 2.https URL过滤 1.HTTP URL过滤 (http请求和服务端口:80) 实现原理:iptables 规则在协议栈中获取到HTTP请求报头中的HOST字段;拦截目地端口为80的包,布配HOST字段的值是否是设置过虑的URL ,如果是则DORP掉,否则放行。 2.https URL过滤 (https请求端口为随机值,https...
【包过滤防火墙——firewalld动态防火墙】的简单使用
过期的秋刀鱼
09-03 879
firewalld不要与iptables混用。 firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表
【ASA5520防火墙-eve-ng】ASA5520基础知识介绍
Zyecho的博客
03-04 1343
本文主要介绍ASA5520防火墙的基本知识和配置
防火墙和访问控制
little_baixb的博客
12-15 4686
文章目录一、IPtables1、IPtables简介2、四表五列3、安装操作IPtables3.1、IPtables的配置3.2、IPtables的语句格式3.2.1、协议匹配3.2.2、端口匹配3.2.3、修改规则及禁止ping3.3、IPtables拓展操作4、IPtables网络地址转换 NAT模式5、企业级防火墙配置二、Firewalld1、Firewalld简介2Firewalld相关命令3、Firewalld配置使用三、TCPwrapper访问控制工具1、什么是TCPwrapper2、TCPw
Firewalld的状态和监控:实时监控防火墙活动
Firewalld通过网络区域和服务等抽象概念来组织防火墙规则,使配置更加灵活和简化。 Firewalld的主要作用是保护系统和网络免受未经授权的访问和恶意攻击。它可以阻止不信任的IP地址或端口的连接,限制某些服务的...
hw-server安全加固秘籍:专家级防护你的服务器
![hw-server安全加固秘籍:专家级防护你的服务器]... # 摘要 随着互联网技术的迅猛发展,服务器安全加固的重要性日益凸显。本文旨在提供全面的服务器安全加固概述和实践指导,涵盖了系统安全设置、防火墙与网络配置、系
netstat与防火墙规则协同:提升网络访问控制策略
本章旨在为读者建立一个坚实的理论基础,为后续章节中netstat工具的具体使用方法以及防火墙规则的策略配置等内容奠定基础。理解了网络访问控制与防火墙的基本原理后,您将能够更加高效地使用netstat等监控工具,并且...
【ELK企业级日志分析系统】部署Filebeat+ELK详解
陌上花开,静待绽放!
07-12 1434
我们对年龄的恐惧,其实并不在于年纪增长所带来的苍老,而是恐惧随着年龄的增长,我们仍然—无所得。
Linux防火墙详解
DancingEagle的博客
02-02 690
linux防火墙
TCP/IP协议超详解及SYN攻击原理
玫瑰花店的博客
04-04 3561
TCP/IP协议超详解 首先我们先来说一下TCP/IP协议的握手和挥手。 TCP连接时5种状态解释 CLOSED 初始状态,表示TCP连接是“关闭着的”或“未打开的” LISTEN 表示服务器端的某个SOCKET处于监听状态,可以接受客户端的连接 SYN_SENT 表示请求连接 SYN_RCVD 表示服务器接收到了来自客户端请求连接的SYN报文(极其短暂) ESTABLISHED 表示TCP连接已经成功建立。 三次握手 (1)第一次握手:Client将标志位SYN置为1,随机产生一
centos7的firewalld详解
weixin_42674948的博客
08-09 1061
在 CentOS 7 中,引入了一个新的服务,Firewalld,下面一张图,让大家明确的了解防火墙 Firewall 与 iptables 之间的关系与区别。 安装它,只需 yum install firewalld 如果需要图形界面的话,则再安装 yum install firewall-config 一、介绍 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理...
firewalld屏蔽ip
weixin_34107739的博客
08-02 2387
2019独角兽企业重金招聘Python工程师标准>>> ...
firewalld filter
weixin_30299539的博客
05-12 212
实现 firewalld 的filter 功能 1. 关闭 INPUT ,关闭OUTPUT (设置黑名单) 任何主机 都 ping 不通 本主机 1>命令 : iptables -P INPUT DROP 2>. 3>查看 2. 设置白名单 @1> 例如 实现宿主机通过ssh 与本主机进行 连接(xshell ,crt)连接 命令 :...
TCP重传问题的排查思路与实践,有点干货!
热门推荐
HelloWorld搬运工
05-29 1万+
1、关于TCP重传 TCP有重传是正常的机制,为了保障数据传输可靠性。只是局域网环境,网络质量有保障,因为网络问题出现重传应该极低;互联网或城域网环境,线路复杂(可以想象下城市地下管网,错综复杂的电线杆等),网络质量不好保障,重传出现概率较高。 TCP有重传,也不一定是网络层面的问题。也可能是接收端不存在,接收端receivebuffer满了,应用程序有异常链接未正常关闭等等等。 2、TC...
服务器重复发送SYN ACK 和 TCP_DEFER_ACCEPT设置
weixin_30562507的博客
09-18 697
现象: 以下为其他网站提供,和我遇到的情况一样。 就是服务器老是重复发送 SYN, ACK。 4414.229553client -> server TCP 62464 > http [SYN] Seq=0 Win=65535 Len=0 MSS=1452 WS=3 TSV=116730231 TSER=04414.229633 server -> client...
TCP洪水攻击(SYN Flood)的诊断和处理
大河湾的专栏
05-19 1万+
1. SYN Flood介绍 前段时间网站被攻击多次,其中最猛烈的就是TCP洪水攻击,即SYN Flood。 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包)
grok3 gpt-o1
最新发布
02-22
### 关于Grok-3和GPT-O1的技术文档与使用指南 #### Grok-3概述 Grok系列由特斯拉CEO埃隆·马斯克主导开发,旨在构建能够匹敌甚至超越现有顶尖大型语言模型(LLM)的人工智能系统。最新迭代版本Grok-1.5已经展示出了接近GPT-4级别的性能,在某些方面可能更胜一筹[^1]。 对于尚未正式发布的Grok-3而言,虽然具体细节尚不完全公开,但从发展趋势来看,预计该版本将继续优化算法架构并扩大训练数据集规模,从而进一步提升模型的理解力、创造力以及多模态处理能力。值得注意的是,目前并没有确切的信息表明存在名为"GPT-O1"的产品;这可能是对市场上其他产品的误解或者是未来某个假想中的产品名称。 #### 获取官方资源和支持 为了获得最权威的第一手资料和技术支持,建议访问官方网站或官方GitHub仓库来查找最新的API接口说明、SDK安装包以及其他开发者工具。通常情况下,这些页面会提供详细的入门教程、最佳实践案例研究等内容帮助用户快速上手操作新推出的AI服务。 #### 开发环境搭建指导 假设要基于Grok-3进行应用开发,则可以遵循如下通用流程: ```bash # 安装必要的依赖库 pip install grok-sdk # 假设这是用于调用Grok API的服务端软件开发套件(SDK) # 初始化项目配置文件 grok init my_project_name --model=grok_3 ``` 以上命令将会创建一个新的工程目录结构,并下载预置好的模板代码供后续修改完善之用。当然实际执行过程中还需参照具体的发行版说明来进行适当调整。 #### 示例应用场景实现 下面给出一段简单的Python脚本作为示例,展示了如何利用Grok-3完成文本摘要生成功能: ```python from grok import GrokClient, models client = GrokClient(api_key="your_api_key_here") def generate_summary(text_input): response = client.summarize( model=models.GROK_3, input_text=text_input, max_length=100 ) return response['summary'] if __name__ == "__main__": sample_doc = "在此处输入待总结的文章正文..." summary_result = generate_summary(sample_doc) print(f"Summary:\n{summary_result}") ``` 此段程序通过调用`summarize()`方法向远程服务器发送请求,接收返回的结果后再做相应处理即可得到简洁明了的内容概括形式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值