天融信防火墙管理日志怎么查看？

查看天融信防火墙管理日志通常需登录防火墙控制台，进入日志管理模块。具体路径一般为“日志管理”->“日志查看”->“管理日志”，在此可筛选管理员配置操作记录。若需集中管理，可配置日志服务器将日志发送至审计中心或使用 ELK 堆栈收集。对于云防火墙，可在控制台左侧导航栏选择“日志审计”查看访问控制及入侵防御日志。确保日志服务器 IP 配置正确，调试级别设为 4 或 5 以保证记录完整。

天融信防火墙批量添加地址 IP(HVV 必备)

一、操作步骤登录防火墙点击控制台，输入账号密码登录定义主机对象也就是地址 - 主机 - 添加，这里的名称【在日志管理 - 日志查看 - 管理日志】中，选择管理员配置即可看到执行操作的命令，以此仿照就 ok: 格式如下：define host modify name2025HVV-out ipaddr' IP 地址 (空格)IP 地址 ' 一键获取完整项目代码 cpp 1 注意：后续添加新的 IP，之前的 IP 也要加上，不然就只有新的 IP 被加进去了！每一个名称下最多只能加 128 个 IP，多了就会报错。（消息于 2025 年 10 月 29 日发布）

天融信防火墙日志的查询

天融信防火墙日志的查询 1、增加日志服务器打开集中管理器，选项管理/安全设备登录控制，增加日志服务器 (日志服务器 IP 内网:202.96.100.186)。2、修改安全设备调试级别在安全设备选项/把安全设备调试级别设为 4 或 5，级别太低，记录可能会很少，值可修改。(telnet 防火墙，可以用 tcpdump -i eth2 udp port 514 命令检查设置正确与否) 3、登录 (审计中心) 设置在 202.96.100.186 上安装并打开安全审计中心综合分析系统管理器 (以下简写 TA),审计中心 IP:202.96.100.186，登录帐号:superman/talent. 4、设定日志收集源和日志代理策略日志收集源：专用版的审计服务器只接收防火墙的日志，必须在日志收集源处添加该防火墙的日志源，添加成功后，该日志源显示在日志源列表中，新添加的日志源的状态灯为灰色，表示没有启动，请手工启动日志源，请点击右键“启用”,并在“日志插件中”配置该日志源，请参考日志插件部分。只有启动了日志源，该设备或者系统才可以正确发送日志到审计域服务器，如果想暂时停止日志的接收，请点击右键“禁用”,则该日志源被禁止继续向审计服务器发送日志。日志代理策略：日志插件域控制代理通过日志插件收集日志。专用版只包括 Syslog 日志插件，用来收集防火墙日志。Syslog 日志插件收集 Syslog 日志，可以收集多种设备的 Syslog 日志数据，在专用版中，只支持防火墙类型的日志。双击 Syslog 日志插件打开 TopSEC Syslog 日志引擎配置窗体，可以看到本引擎在 udp 端口 514 接收标准的 Syslog 日志。5、日志查询点击系统主菜单中的“功能”,在其下拉菜单中点击“日志查询”,当然要调出右边工作区，也可在点击主菜单中的“日志查询”,从下拉菜单中选择需要查询的日志类型。系统会弹出如下图的“查询条件”窗口：可以按照查询界面提供的各种条件进行组合查询。除了时间范围和记录数外，一般可以直接确定。双击某条记录有其详细的信息。至此，安装完成。（发布时间是 2011 年 2 月 22 日）

ELK 收集天融信防火墙日志

本文介绍了如何在 CentOS7 服务器上配置 ELK(Elasticsearch, Logstash, Kibana) 堆栈来收集天融信防火墙的日志。首先确保已经安装了 ELK 组件，并从清华大学开源软件镜像站下载相关软件。接着，创建 Logstash 的 syslog.conf 配置文件，设置输入、过滤和输出模块，特别地，配置 charset 为 GBK 解决中文乱码问题，并通过 filter 过滤掉包含特定 IP 的日志。然后，启动 syslog 服务并测试配置是否成功。最后，访问 Kibana 配置索引，以便查看和分析日志数据。ELK 收集天融信防火墙日志以下操作建议在测试环境下执行 ELK 安装同一台 CentOS7 服务器，IP 192.168.2.11 一、准备环境已安装:elasticsearch,kibana,logstash 相关软件下载:Index of /elasticstack/yum/elastic-7.x/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror 二、开启 syslog 服务在 logstash 配置中，新建 syslog.conf 配置文件，内容如下 vimcat/etc/logstash/conf.d/syslog.conf input { syslog { type=>"system-syslog" port => 514 codec => plain{ charset=>"GBK" } } } filter { if([message] =~"192.168.2.10") { drop {} } } output { elasticsearch { hosts => ["192.168.2.11:9200"] index =>"syslog-192.168.2.1-%{+YYYY.MM}" } # 调试使用 stdout { codec => rubydebug } } 一键获取完整项目代码 bash 说明：input 中配置 charset=>"GBK" 解决日志信息中文乱码问题 filter 中配置屏蔽日志信息中含有 192.168.2.10 的信息三、配置天融信防墙日志设置四、测试 syslog 服务执行如下命令前需先停止 logstash 服务 systemctl stop logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf --config.reload.automatic 有日志输出表示配置成功五、配置 kibana 索引访问 kibana 地址 http://192.168.1.11:5601 本文介绍了如何在 CentOS7 服务器上配置 ELK(Elasticsearch, Logstash, Kibana) 堆栈来收集天融信防火墙的日志。（搜索结果收录于 2021 年 9 月 16 日）

日志审计

本文档将指导您查看云防火墙相关日志。查看访问控制日志 1.云防火墙控制台，在左侧导航栏中，选择日志审计>访问控制日志。2.在访问控制日志页面，可以查看云防火墙基于用户在互联网边界防火墙、NAT 边界防火墙、VPC 间防火墙、企业安全组、DNS 规则间配置的访问控制规则所生成的规则命中记录日志。3.同时，在互联网边界防火墙、NAT 边界防火墙页面下，访问控制日志会根据入站以及出站方向生成两张规则命中列表，方便用户区分查看。4.在规则命中列表的右侧操作栏，单击查看。5.在命中规则详情页面，可查看针对该条规则的详细命中情况。说明：若在日志生成时间后，该规则被用户删除，则状态显示为已删除。若在日志生成时间后，该规则被用户编辑，则状态显示为已编辑。若在日志生成时间后至今，该规则未被编辑或删除，则状态显示为新增。6.为了进一步加快对访问控制日志的检索及过滤，可以通过单击访问源或访问目的右侧的，查看这两个 IP 地址之间的全部规则命中情况。7.单击页面右侧的，可以手动下载日志，页面可以做条件筛选。每次下载限 6 万条记录。查看入侵防御日志 1.云防火墙控制台，在左侧导航栏中，选择日志审计>入侵防御日志。2.在入侵防御日志页面，可查看云防火墙基于“观察模式”和“拦截模式”所产生和记录的所有安全事件，有“外部入侵，主机失陷，横向移动，网络蜜罐”四个列表，分别查看入站和出站的安全事件详细情况。查看全流量检测与响应日志全流量检测与响应日志包含流量分析日志、流量告警日志、流量风险日志、文件检测日志。1.云防火墙控制台，在左侧导航栏中，选择日志审计>全流量检测与响应日志。2.在全流量检测与响应日志页面，您可以进行如下操作：流量分析日志：支持查看全流量检测与响应的分析日志，包含入向流量、出向流量、内网流量。单击右上角的日志解析设置，选择目标自定义解析字段，单击编辑，即可对 HTTP Header 中的特殊字段进行自定义解析，并将其新增至流量日志中。最多可解析 3 个自定义字段。勾选只看解密检测，页面将只显示经全流量检测与响应解密并完成检测的日志。流量告警日志：支持查看全流量检测与响应的告警日志，包含外部入侵、主机失陷、横向移动，支持攻击结果筛选查询。勾选只看解密检测，页面将只显示经全流量检测与响应解密并完成检测的日志。单击查看详情，可查看流量告警日志详情。（该信息的时间戳是 2026 年 3 月 25 日）

FAQ

问题：管理日志中 method="5"代表什么？

回答：表示通过 Web 登录（HTTPS 或 HTTP 协议）进行的登录操作，这是常见的登录方式之一，通常用于通过浏览器访问防火墙的 Web 管理界面。

问题：日志保存天数最大是多少？

回答：通常支持最大 180 天，为满足等保合规要求，建议用户访问日志存储天数设置为 180 天，每 2 个月支持修改 1 次存储时长。

问题：如何解决日志中文乱码？

回答：在 Logstash 配置中配置 charset 为 GBK 解决日志信息中文乱码问题，确保日志采集系统正确解析中文字符。