笙亿网络策划

天融信防火墙管理日志怎么看?

约 13 分钟读完 32 阅
文章导读
查看天融信防火墙管理日志主要通过 Web 管理界面、Syslog 服务器或专用审计中心进行。在 Web 界面中,通常位于“系统”->“日志”菜单下,可查看 NAT 日志、管理日志等详细信息。对于管理登录日志,如日志中出现 method="5",表示用户通过 Web 方式(HTTP/HTTPS)进行的登录操作。若需长期存储或集中分析,可配置防火墙将日志发送至 Syslog 服务器(默认端口 514)
📋 目录
  1. 天融信防火墙日志的查询
  2. 天融信防火墙日志设置.docx 5 页
  3. ELK 收集天融信防火墙日志
  4. [原创 + 总结] 防火墙常见日志分析
  5. FAQ
A A

查看天融信防火墙管理日志主要通过 Web 管理界面、Syslog 服务器或专用审计中心进行。在 Web 界面中,通常位于“系统”->“日志”菜单下,可查看 NAT 日志、管理日志等详细信息。对于管理登录日志,如日志中出现 method="5",表示用户通过 Web 方式(HTTP/HTTPS)进行的登录操作。若需长期存储或集中分析,可配置防火墙将日志发送至 Syslog 服务器(默认端口 514),或使用 ELK 堆栈进行收集。调试级别建议设为 4 或 5 以确保记录完整。通过审计中心综合分析系统管理器,可设定日志收集源和代理策略,实现日志的启用、禁用及组合查询,从而监控防火墙的安全状态和管理行为。

天融信防火墙日志的查询

天融信防火墙日志的查询 1、增加日志服务器 打开集中管理器,选项管理/安全设备登录控制,增加日志服务器 (日志服务器 IP 内网:202.96.100.186)。2、修改安全设备调试级别 在安全设备选项/把安全设备调试级别设为 4 或 5,级别太低,记录可能会很少,值可修改。(telnet 防火墙,可以用 tcpdump -i eth2 udp port 514 命令检查设置正确与否) 3、登录 (审计中心) 设置 在 202.96.100.186 上安装并打开安全审计中心综合分析系统管理器 (以下简写 TA),审计中心 IP:202.96.100.186,登录帐号:superman/talent. 4、设定日志收集源和日志代理策略 日志收集源:专用版的审计服务器只接收防火墙的日志,必须在日志收集源处添加该防火墙的日志源,添加成功后,该日志源显示在日志源列表中,新添加的日志源的状态灯为灰色,表示没有启动,请手工启动日志源,请点击右键“启用”,并在“日志插件中”配置该日志源,请参考日志插件部分。只有启动了日志源,该设备或者系统才可以正确发送日志到审计域服务器,如果想暂时停止日志的接收,请点击右键“禁用”,则该日志源被禁止继续向审计服务器发送日志。日志代理策略:日志插件域控制代理通过日志插件收集日志。专用版只包括 Syslog 日志插件,用来收集防火墙日志。Syslog 日志插件收集 Syslog 日志,可以收集多种设备的 Syslog 日志数据,在专用版中,只支持防火墙类型的日志。双击 Syslog 日志插件打开 TopSEC Syslog 日志引擎配置窗体,可以看到本引擎在 udp 端口 514 接收标准的 Syslog 日志。5、日志查询 点击系统主菜单中的“功能”,在其下拉菜单中点击“日志查询”,当然要调出右边工作区,也可在点击主菜单中的“日志查询”,从下拉菜单中选择需要查询的日志类型。系统会弹出如下图的“查询条件”窗口:可以按照查询界面提供的各种条件进行组合查询。除了时间范围和记录数外,一般可以直接确定。双击某条记录有其详细的信息。至此,安装完成。(资料日期为 2011 年 2 月 22 日)

天融信防火墙日志设置.docx 5 页

天融信防火墙日志设置.docx 5 页\n大小:279.56 KB 字数:约 1.98 千字 发布时间:2021-02-04 发布于天津 浏览人气:368 下载次数:仅上传者可见 收藏次数:0 关闭预览 想预览更多内容,点击免费在线预览全文 免费在线预览全文 2.4.80 防火墙日志设置 若是操作系统是 WINDOW2000 专业版就用 SQL 个人版,若是 WINDOW2000 服务器版就是 SQL 企业版。二是、在防火墙方面的设置相对简单,一个要做的是访问策略是做日志记录; 二是 在防火墙选项设置—>增加一条日志服务器。类型为 SYSLOG,地址就是 日志服务器的 IP 地址。端口默认为 514 不用改。TOPSF「8t 中盘 SW T 歩 TORSEC-aae.te.S? 243 曰冲 TQP9EC-172.?阪打 + B a S 霁町血 亩二网络 + fries 辔工具 TOPSF「8t 中盘 SW T 歩 TORSEC-aae.te.S? 243 曰冲 TQP9EC-172.?阪打 + B a S 霁町血 亩二网络 + fries 辔工具 p 11 顶设 SK + 皆硕馆设 —0 问后理 T0P5EC ■ # TOP9EC^!,l3i,52-163 f h 翻机吧石腐火瞪朗二 专 TW5EC-]6e.lfl.6^ 尊 T5EG1 翘 I 絕 254 * TOPSEZ-l€S.ia.LLB.斗 TOREC-]6aj.a.3.K+ 京 TOP5EC-168d?.47-1 鼻 T0PSEU1 口.1.200」TOPS£C-]92.1MiaJ2SO 孕 TOf5EC-10.35.0d27 卵 TqPKC-fti.lJLS-lKi 涉 TOPSEC-ZnZ.ltB. LW. !±S 亨 TORSEC-ST^.lt.SSSS 冲 TQP9ECJ3/IJ.IWI _ ■ TOPSEU16J0.19H6-E TOREC-J6e.i9.4OJ 申 TOP3EC-16S. I9.L,3 鼻 TOraC-J57.1 B.HB. 3^ ToraEC-]?j.y.i4^ 网 ea.isi.iLiBM.i.mjii.iK 防::A 極 0 甲时可以走踞。火零的喜户黑空和戛户至取 号 曲義□常前::JJ 盟 B 录訪 Jc 耀察苗 沮斷 fiai g 箱 区域 fUJ Lb-Lttritt 0.0 fl [I-2M.2SS. 2S5.aa 沁血 T£屁伦 M IPt「《npt 口□ n n-2^E 济搐济 ■绻 ft 皿 LD.lt?(撰于 2021 年 2 月 4 日)

ELK 收集天融信防火墙日志

ELK 收集天融信防火墙日志\n本文介绍了如何在 CentOS7 服务器上配置 ELK(Elasticsearch, Logstash, Kibana) 堆栈来收集天融信防火墙的日志。首先确保已经安装了 ELK 组件,并从清华大学开源软件镜像站下载相关软件。接着,创建 Logstash 的 syslog.conf 配置文件,设置输入、过滤和输出模块,特别地,配置 charset 为 GBK 解决中文乱码问题,并通过 filter 过滤掉包含特定 IP 的日志。然后,启动 syslog 服务并测试配置是否成功。最后,访问 Kibana 配置索引,以便查看和分析日志数据。ELK 收集天融信防火墙日志 以下操作建议在测试环境下执行 ELK 安装同一台 CentOS7 服务器,IP 192.168.2.11 一、准备环境 已安装:elasticsearch,kibana,logstash 相关软件下载:Index of /elasticstack/yum/elastic-7.x/ | 清华大学开源软件镜像站 | Tsinghua Open Source Mirror 二、开启 syslog 服务 在 logstash 配置中,新建 syslog.conf 配置文件,内容如下 vimcat/etc/logstash/conf.d/syslog.conf input { syslog { type=>"system-syslog" port => 514 codec => plain{ charset=>"GBK" } } } filter { if([message] =~"192.168.2.10") { drop {} } } output { elasticsearch { hosts => ["192.168.2.11:9200"] index =>"syslog-192.168.2.1-%{+YYYY.MM}" } # 调试使用 stdout { codec => rubydebug } } 一键获取完整项目代码 bash 说明:input 中配置 charset=>"GBK" 解决日志信息中文乱码问题 filter 中配置屏蔽日志信息中含有 192.168.2.10 的信息 三、配置天融信防墙日志设置 四、测试 syslog 服务 执行如下命令前需先停止 logstash 服务 systemctl stop logstash /usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog.conf --config.reload.automatic 有日志输出表示配置成功 五、配置 kibana 索引 访问 kibana 地址 http://192.168.1.11:5601 本文介绍了如何在 CentOS7 服务器上配置 ELK(Elasticsearch, Logstash, Kibana) 堆栈来收集天融信防火墙的日志。(2021 年 9 月 16 日的资料)

天融信防火墙管理日志怎么看?

[原创 + 总结] 防火墙常见日志分析

[原创 + 总结] 防火墙常见日志分析\n[原创 + 总结] 防火墙常见日志分析 本文以天网防火墙为例,介绍了防火墙日志内容,包括数据包信息、TCP 标志位及处理方法。还分析了常见报警情况,如 ping 探测、Windows XP 系统端口报警、QQ 服务器连接等,同时列举了不同端口对应的服务、攻击类型及木马端口,帮助用户识别潜在风险。先申明本文不是什么技术文章,心情开朗就随便写写整理下 (偶补考过了,高兴 ing) 两年没用防火墙了 (只做测试用),昨天装了个天网,感受下!以最常见的天网防火墙为例,一般日志分为三行,第一行反映了数据包的发送、接受时间、发送者 IP 地址、对方通讯端口、数据包类型、本机通讯端口等等情况;第二行为 TCP 数据包的标志位,共有六位标志位,分别是:URG、ACK、PSH、RST、SYN、FIN,在日志上显示时只标出第一个字母,他们的简单含义如下:ACK:确认标志 提示远端系统已经成功接收所有数据 SYN:同步标志 该标志仅在建立 TCP 连接时有效,它提示 TCP 连接的服务端检查序列编号 FIN:结束标志 带有该标志位的数据包用来结束一个 TCP 会话,但对应端口还处于开放状态,准备接收后续数据。RST:复位标志,具体不清楚。第三行是对数据包的处理方法,对于不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。1.最常见的报警,尝试用 ping 来探测本机,分为两种:如果在防火墙规则里设置了“防止别人用 PING 命令探测主机”,你的电脑就不会返回给对方这种 ICMP 包,这样别人就无法用 PING 命令探测你的电脑,也就以为没你电脑的存在。如果偶尔一两条没什么,但如果显示有 N 个来自同一 IP 地址的记录,很有可能是别人用黑客工具探测你主机信息。[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包,类型:8 , 代码:0,该包被拦截。这种情况只是简单的 ping 命令探测,如:ping 210.29.14.130 就会出现如上日志。[14:00:24] 210.29.14.130 尝试用 Ping 来探测本机,痪芫 这种情况一般是扫描器探测主机,主要目的是探测远程主机是否连网!但还有一种可能,如果多台不同 IP 的计算机试图利用 Ping 的方式来探测本机。如下方式 (经过处理了,ip 是假设的): [14:00:24] 210.29.14.45 尝试用 Ping 来探测本机,该操作被拒绝。[14:01:09] 210.29.14.132 尝试用 Ping 来探测本机,该操作被拒绝。[14:01:20] 210.29.14.85 尝试用 Ping 来探测本机,该操作被拒绝。[14:01:20] 210.29.14.68 尝试用 Ping 来探测本机,该操作被拒绝。此时就不是人为的原因了,所列机器感染了冲击波类病毒。(消息于 2005 年 10 月 28 日发布)

FAQ

问:天融信防火墙日志中的 method="5" 代表什么含义?

天融信防火墙管理日志怎么看?

答:在天融信防火墙的管理日志规范中,method 字段用于标识用户登录方式,method="5" 表示通过 Web 登录(即 HTTPS 或 HTTP 协议)进行的登录操作,这是通过浏览器访问防火墙 Web 管理界面进行登录的常见方式。

问:如何配置天融信防火墙将日志发送到外部服务器?

答:在防火墙选项设置中增加一条日志服务器,类型选择 SYSLOG,地址填写日志服务器的 IP 地址,端口默认为 514 通常无需修改,同时需在防火墙上将安全设备调试级别设为 4 或 5 以确保记录完整。

天融信防火墙管理日志怎么看?

问:为什么防火墙日志中记录很少或没有记录?

答:可能是因为安全设备调试级别设置太低,建议将调试级别修改为 4 或 5,级别太低会导致记录很少,此外还需检查日志源是否已手工启动,若状态灯为灰色表示未启动,需右键点击“启用”。