13neteyefirewall5200_系统日志

3Sept.2008©NEUSOFTSECRET系统日志Copyright2008ByNeusoftGroup.Allrightsreserved演讲人：唐作夫tangzf@neusoft.com网络安全产品营销中心东软集团股份有限公司3Sept.2008NEUSOFTSECRET课程目标•了解报警策略•了解存储系统日志•了解初始化存储介质•了解切换存储介质•了解备份系统日志•了解导出系统日志•了解删除系统日志3Sept.2008NEUSOFTSECRET系统日志•系统日志文件（Syslog）描述了系统所指定对象的某些操作和其操作结果按时间排序的集合。•NetEyeFW5200的Syslog主要用于记录系统中硬件、软件以及系统问题的信息，同时也可以监视系统中发生的事件以及网络访问行为。管理员可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。3Sept.2008NEUSOFTSECRET系统日志类型•NetEyeFW5200按照一定的安全等级将系统日志划分成以下8种类型。•Emergency•Alert•Critical•Error•Warning•Notification•Information•Debugging3Sept.2008NEUSOFTSECRET系统日志类型（续）•Emergency：产生原因包括内存不足，电源、风扇、CPU等硬件异常情况。•Alert：产生原因包括攻击防御部分收到攻击包或IP分片中收到了类似的攻击包等。•Critical：产生原因包括HA状态的变化，网线的插拔，网卡的启用、禁用等。3Sept.2008NEUSOFTSECRET系统日志类型（续）•Error：产生原因包括所有添加、删除、修改动作失败的信息，包重组失败，所有匹配规则失败等的错误信息。•Warning：产生原因包括连接邮件服务器失败，认证失败，超时等信息。•Notification：产生原因包括所有添加、删除和修改操作的成功信息。3Sept.2008NEUSOFTSECRET系统日志类型（续）•Information：系统操作的通用信息。•Debugging：产生原因包括与调试相关的信息。3Sept.2008NEUSOFTSECRET系统日志类型（续）•根据系统日志的不同功能来源，将NetEyeFW5200系统日志的事件分为4种类型。•System•Manage•Access•Application3Sept.2008NEUSOFTSECRET报警策略•要进行系统日志审计，必须首先为NetEyeFW5200设置报警策略。报警策略定义了防火墙产生系统日志的条件。•审计包括本地审计和网络审计。对于审计，NetEyeFW5200支持以下4种事件报警策略：•LocalSyslog报警策略；•Syslog报警策略；•E-mail报警策略；•SNMPTrap报警策略。3Sept.2008NEUSOFTSECRET报警策略的配置•以管理员身份登录防火墙，选择“系统”“配置”“系统维护”“报警配置”，进入“报警配置”页面。如下图所示：3Sept.2008NEUSOFTSECRETLocalSyslog报警策略配置•编辑LocalSyslog报警策略：在报警配置页面点击LocalSyslog报警策略名称，进入到编辑页面。如下图所示：3Sept.2008NEUSOFTSECRETLocalSyslog报警策略配置（续）•查看LocalSyslog报警策略：在报警配置页面中查看在编辑页面编辑后的结果。如下图所示：该安全等级由启用状态转换到禁用状态3Sept.2008NEUSOFTSECRETSyslog报警策略的配置•创建Syslog报警策略：在报警配置页面的添加策略区域创建Syslog报警策略。如下图所示：3Sept.2008NEUSOFTSECRETSyslog报警策略的配置（续）•查看Syslog报警策略：在报警配置页面中查看在添加策略区域创建后的结果。如下图所示：新创建的表项3Sept.2008NEUSOFTSECRETSyslog报警策略的配置（续）•编辑Syslog报警策略：在报警配置页面点击Syslog报警策略名称，进入到编辑页面。如下图所示：启用一个安全等级启用一个类型3Sept.2008NEUSOFTSECRETE-mail报警策略配置•创建E-mail报警策略：在报警配置页面的添加策略区域创建E-mail报警策略。如下图所示：3Sept.2008NEUSOFTSECRETE-mail报警策略配置（续）•查看E-mail报警策略：在报警配置页面中查看在添加策略区域创建后的结果。如下图所示：新创建的表项3Sept.2008NEUSOFTSECRETE-mail报警策略配置（续）•编辑E-mail报警策略：在报警配置页面点击E-mail报警策略名称，进入到编辑页面。如下图所示：启用一个安全等级启用一个类型3Sept.2008NEUSOFTSECRETSNMPTrap报警策略配置•创建SNMPTrap报警策略：在报警配置页面的NewPolicy区域创建SNMPTrap报警策略。如下图所示：3Sept.2008NEUSOFTSECRETSNMPTrap报警策略配置（续）•查看SNMPTrap报警策略：在报警配置页面中查看在添加策略区域创建后的结果。如下图所示：新创建的表项3Sept.2008NEUSOFTSECRETSNMPTrap报警策略的配置（续）•编辑SNMPTrap报警策略：在报警配置页面点击SNMPTrap报警策略名称，进入到编辑页面。如下图所示：启用一个类型启用一个安全等级3Sept.2008NEUSOFTSECRET系统日志存储•通过报警策略生成的系统日志首先被保存在本地存储介质上。本地存储介质包括：Flash卡、硬盘和PC卡。•从硬件上划分，NetEyeFW5200系统分为两种机型：Flashbased以及Harddiskbased。针对Flashbased的机型，如果用户添加了一块硬盘，用户可以指定该硬盘作为系统日志的存储介质。对于支持PC卡的机型（包括Flashbased以及Harddiskbased），用户可以插入PC卡，并指定该PC卡作为日志存储介质。3Sept.2008NEUSOFTSECRET系统日志存储（续）•NetEyeFW5200通过创建Vsys资源百分比来分配日志的存储空间，但是如果用户想修改某个Vsys资源百分比可能导致日志的丢失。•系统日志生成后，首先被保存在本地存储介质的临时文件（文件名为messages）中。•Flash卡、硬盘和PC卡中临时文件大小为4M。3Sept.2008NEUSOFTSECRET存储介质初始化•系统日志的具体存储位置与防火墙的机型以及存储介质的初始化配置有关。同时，NetEyeFW5200允许管理员对系统日志的存储位置进行切换。•当用户在防火墙上挂载存储介质的时候，应该选择对挂载的存储介质进行初始化配置。•本节以用户挂载PC卡为例，介绍NetEyeFW5200对存储介质初始化的配置过程。3Sept.2008NEUSOFTSECRET存储介质初始化配置•当NetEyeFW5200上挂载PC卡后，以管理员身份登录防火墙，选择“系统”“配置”“系统维护”“存储介质初始化”,“进入存储介质初始化”页面。如下图所示：3Sept.2008NEUSOFTSECRET存储介质初始化配置（续）•对接入NetEyeFW5200的PC卡进行格式化操作：在存储介质初始化页面中的存储介质列表区域进行相应配置。如下图所示：点击格式化按钮存储介质未被防火墙识别3Sept.2008NEUSOFTSECRET存储介质初始化配置（续）•在NetEyeFW5200上挂载PC卡：在存储介质初始化页面中的存储介质列表区域进行相应配置。如下图所示：点击挂载按钮存储介质未被挂载到防火墙上3Sept.2008NEUSOFTSECRET存储介质初始化配置（续）•在NetEyeFW5200上卸载PC卡：在存储介质初始化页面中的存储介质列表区域进行相应配置。如下图所示：点击卸载按钮存储介质已被挂载到防火墙上3Sept.2008NEUSOFTSECRET存储介质的切换•用户对存储介质进行初始化配置后，可以根据当前防火墙的实际情况，将系统日志切换到其他的存储介质上进行存储。•NetEyeFW5200支持的本地存储介质包括：Flash卡、硬盘和PC卡。3Sept.2008NEUSOFTSECRET存储介质的切换配置•以管理员身份登录防火墙，选择“系统”“配置”“系统维护”“系统日志”,进入系统日志页面。如下图所示：3Sept.2008NEUSOFTSECRET存储介质的切换配置（续）•将系统日志的存储介质切换到用户需要的存储介质上：在系统日志页面中的存储介质下拉框中，选择一种已经挂载的存储介质。如下图所示：3Sept.2008NEUSOFTSECRET备份系统日志•NetEyeFW5200提供了系统日志备份功能。管理员可以通过备份策略将系统日志备份到备份文件中。•备份文件名的格式为messages.Y.gz（Y为数字,标识文件创建时间）。•NetEyeFW5200规定存储介质上为日志预留的存储空间不能小于一定的极限值。当存储介质的存储空间不大于10G时，规定为日志预留的存储空间为200M；当存储介质的存储空间大于10G时，规定为日志预留的存储空间为2G。3Sept.2008NEUSOFTSECRET备份系统日志（续）•当达到分配给每个Vsys的资源的极限值时，NetEyeFW5200支持以下两种处理策略：•删除旧日志；•停止记录日志。3Sept.2008NEUSOFTSECRET删除旧日志•执行该处理策略时，当备份文件达到存储介质的存储空间上限后，NetEyeFW5200将删除最旧的备份文件。•删除旧日志配置：在系统日志页面中的日志存储策略区域中，单击保存。如下图所示：3Sept.2008NEUSOFTSECRET停止记录日志•执行该处理策略时，当备份文件达到存储介质的存储空间上限后，NetEyeFW5200将停止记录日志，不再向临时文件写入日志，而是将以后产生的日志直接丢弃。•停止记录日志配置：在系统日志页面中的日志存储策略区域，单击停止记录日志。如下图所示：3Sept.2008NEUSOFTSECRET导出系统日志•系统日志生成后，最初直接保存在本地的某一存储介质上。为方便管理员保留系统日志的历史记录，NetEyeFW5200支持以下两种系统日志导出方式：•本地导出；•远程导出。3Sept.2008NEUSOFTSECRET本地导出•当系统日志的存储介质为Flash卡或硬盘时，管理员可以将系统日志的临时文件或备份文件导出到PC卡的/neteye/mobile/export/Vsys*路径下。•当系统日志的存储介质为PC卡时，管理员可以将系统日志的临时文件或备份文件导出到同一存储介质的/neteye/mobile/export/Vsys*路径下。3Sept.2008NEUSOFTSECRET本地导出配置•本地导出配置：在系统日志页面中的拷贝日志文件区域，勾选要导出的系统日志临时文件或备份文件所对应的复选框。如下图所示：3Sept.2008NEUSOFTSECRET远程导出•进行远程导出时，管理员可以通过HTTP、TFTP或x/zmodem方式将日志文件下载到本地主机。•远程导出配置（以HTTP导出方式为例）：在系统日志页面中的下载日志文件区域，点击要导出的系统日志临时文件或备份文件名。如下图所示：3Sept.2008NEUSOFTSECRET删除系统日志•NetEyeFW5200可以通过删除系统日志功能删除本地日志。删除操作只能删除备份文件，不能删除临时文件messages。备份文件的删除，可以由管理员选择全部删除或按照备份文件创建时间删除。•删除系统日志配置：在系统日志页面中的删除日志区域进行相应操作。如下图所示：回顾•NetEyeFW5200支持四种报警策略。•NetEyeFW5