系统日志处理

系统和防火墙日志查看、保留系统日志事件查看器在WindowsXP中，事件是在系统或程序中发生的、要求通知用户的任何重要事情，或者是添加到日志中的项。事件日志服务在事件查看器中记录应用程序、安全和系统事件。通过使用事件查看器中的事件日志，您可以获取有关硬件、软件和系统组件的信息，并可以监视本地或远程计算机上的安全事件。事件日志可帮助您确定和诊断当前系统问题的根源，还可以帮助您预测潜在的系统问题。事件日志类型基于WindowsXP的计算机将事件记录在以下三种日志中：应用程序日志应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。写入到应用程序日志中的事件是由软件程序开发人员确定的。安全日志安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中记录一个事件。您必须以Administrator或Administrators组成员的身份登录，才能打开、使用安全日志以及指定将哪些事件记录在安全日志中。系统日志系统日志包含WindowsXP系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱动程序，则会在系统日志中记录一个事件。WindowsXP预先确定由系统组件记录的事件。如何查看事件日志要打开事件查看器，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，单击“事件查看器”。应用程序日志、安全日志和系统日志显示在“事件查看器”窗口中。如何查看事件详细信息要查看事件的详细信息，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。3.在详细信息窗格中，双击您要查看的事件。会显示“事件属性”对话框，其中包含事件的标题信息和描述。要复制事件的详细信息，请单击“复制”按钮，使用要在其中粘贴事件的程序（例如MicrosoftWord）打开一个新文档，然后单击“编辑”菜单上的“粘贴”。要查看上一个或下一个事件的描述，请单击上箭头或下箭头。如何解释事件每个日志项都按类型进行分类，并包含事件的标题信息和描述。事件标题事件标题包含以下关于事件的信息：日期事件发生的日期。时间事件发生的时间。用户事件发生时已登录的用户的用户名。计算机发生事件的计算机的名称。事件ID标识事件类型的事件编号。产品支持代表可以使用事件ID来帮助了解系统中发生的情况。来源事件的来源。它可以是程序、系统组件或大型程序的单个组件的名称。类型事件的类型。它可以是以下五种类型之一：错误、警告、信息、成功审核或失败审核。类别按事件来源对事件进行的分类。它主要用于安全日志。事件类型所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一：信息描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加载时将记录“信息”事件。警告不一定重要但可能表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警告”消息。错误描述重要问题（如关键任务失败）的事件。“错误”事件可能涉及数据丢失或功能缺失。例如，当启动过程中无法加载服务时将记录“错误”事件。成功审核（安全日志）描述成功完成受审核安全事件的事件。例如，当用户登录到计算机上时将记录“成功审核”事件。失败审核（安全日志）描述未成功完成的受审核安全事件的事件。例如，当用户无法访问网络驱动器时可能记录“失败审核”事件。如何在日志中查找事件事件日志的默认视图将列出其所有项。如果您需要查找特定的事件或查看事件子集，则可以搜索日志，也可以对日志数据应用筛选器。如何搜索特定的日志事件要搜索特定的日志事件，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。3.在“查看”菜单上，单击“查找”。4.在“查找”对话框中指定您要查看的事件的选项，然后单击“查找下一个”。将在详细信息窗格中突出显示满足搜索条件的事件。单击“查找下一个”可按照搜索条件的定义找到下一个事件匹配项。如何筛选日志事件要筛选日志事件，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，展开“事件查看器”，然后单击包含您要查看的事件的日志。3.在“查看”菜单上，单击“筛选”。4.单击“筛选”选项卡（如果尚未选择它）。5.指定所需的筛选选项，然后单击“确定”。详细信息窗格中将只显示满足筛选条件的事件。要使视图重新显示所有日志项，请单击“查看”菜单上的“筛选”，然后单击“还原默认值”。如何管理日志内容默认情况下，日志的初始最大大小设置为512KB，当达到此大小时，新事件将根据需要覆盖旧事件。您可以根据需要更改这些设置或清除日志内容。如何设置日志大小和覆盖选项要指定日志大小和覆盖选项，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，展开“事件查看器”，然后右键单击要设置其大小和覆盖其选项的日志。3.在“日志大小”下的“日志大小上限”框中键入所需的大小。4.在“达到日志大小上限时”下，单击所需的覆盖选项。5.如果您要清除日志内容，请单击“清除日志”。6.单击“确定”。如何将日志存档如果您要保存日志数据，可以将事件日志存档为以下任何格式：日志文件格式(.evt)文本文件格式(.txt)逗号分隔的文本文件格式(.csv)要将日志存档，请按照下列步骤操作：1.单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“计算机管理”。或者，打开包含事件查看器管理单元的MMC。2.在控制台树中，展开“事件查看器”，右键单击要将其存档的日志，然后单击“另存日志文件”。3.指定文件名和文件的保存位置。在“保存类型”框中，单击所需格式，然后单击“保存”。将以指定的格式保存日志文件。防火墙日志Syslog日志设置Syslog日志设置模块用于设置信息中心日志管理的相关参数。信息中心是系统的信息枢纽，它能够对所有的系统信息进行分类、管理，为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。信息中心可以将日志信息输出到Web页面，以便用户进行查看。同时，信息中心还可以根据用户的配置，将日志信息输出到指定的Syslog日志主机。在导航栏中选择“日志管理Syslog日志”。Syslog日志的详细配置如表1所示。表1Syslog日志的详细配置配置项说明日志缓冲区大小设置日志缓冲区可存储的Syslog日志信息条数清空日志单击该按钮可以清空日志缓冲区内的信息配置项说明日志主机1设置Syslog日志主机的IP地址和端口号信息中心可以使用Syslog格式将日志信息上报到指定的远程日志主机最多可以指定4台不同的日Syslog志主机日志主机2日志主机3日志主机4刷新周期设置日志报表Web页面的刷新周期，可选择手动或自动刷新：手动刷新：查看日志报表时需要用户手动刷新自动刷新：根据需要，可设置在查看日志报表时，每隔10秒、30秒、1分钟、5分钟或10分钟页面自动刷新一次1.2Userlog日志设置Userlog日志有以下两种输出方式，目前防火墙设备只支持Flow日志格式：以系统信息的格式输出到本设备的信息中心，再由信息中心最终决定日志的输出方向。以二进制格式封装成UDP报文输出到指定的Userlog日志主机。1.2.1Flow日志设置Flow日志目前仅指会话日志。要生成Flow日志，需要配置会话日志功能。1.Flow日志简介Flow日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组（源IP地址、目的IP地址、源端口、目的端口、协议号）对用户访问外部网络的流进行分类统计，并生成用户流（Flow）日志。Flow日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况，增强网络的可用性和安全性。Flow日志有Flow1.0和Flow3.0两个版本。两种Flow日志的格式稍有不同，具体差别请参见表2和表3。表2Flow1.0日志信息字段描述SourceIP源IP地址DestIP目的IP地址SrcPortTCP/UDP源端口号DestPortTCP/UDP目的端口号字段描述StartTime流起始时间，以秒为单位，从1970/1/10:0开始计算EndTime流结束时间，以秒为单位，从1970/1/10:0开始计算ProtIP承载的协议类型Operator操作字，主要指流结束原因Reserved保留表3Flow3.0日志信息字段描述ProtIP承载的协议类型Operator操作字，主要指流结束原因IpVersionIP报文版本TosIPv4IPv4报文的Tos字段SourceIP源IP地址SrcNatIPNAT转换后的源IP地址DestIP目的IP地址DestNatIPNAT转换后的目的IP地址SrcPortTCP/UDP源端口号SrcNatPortNAT转换后的TCP/UDP源端口号DestPortTCP/UDP目的端口号DestNatPortNAT转换后的TCP/UDP目的端口号StartTime流起始时间，以秒为单位，从1970/01/0100:00开始计算EndTime流结束时间，以秒为单位，从1970/01/0100:00开始计算InTotalPkg接收的报文包数InTotalByte接收的报文字节数OutTotalPkg发出的报文包数OutTotalByte发出的报文字节数Reserved1对于0x02版本（FirewallV200R001）保留对于0x03版本（FirewallV200R005）第一个字节为源VPNID，第二个字节为目的VPNID，第三、四个字节保留Reserved2保留Reserved3保留2.配置Flow日志在导航栏中选择“日志管理Userlog日志”。Flow日志的详细配置如表4所示。表4Flow日志的详细配置配置项说明版本设置Flow日志的版本。包括1.0、3.0请根据日志接收设备的实际能力配置Flow日志的版本，如果接收设备不支持某个版本的Flow日志，则收到日志后，它不能正确解析报文源IP地址设置Flow日志报文的源IP地址指定源地址后，当设备A向设备B发送Flow日志时，就使用这个IP地址作为报文的源IP地址，而不使用报文出接口的真正地址。这样，即便A使用不同的端口向B发送报文，B也可以根据源IP地址来准确的判断该报文是否由A产生。而且该功能还简化了ACL规则和安全策略的配置，只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址，就可以屏蔽接口IP地址的差异以及接口状态的影响，实现对Flow日志报文的过滤建议使用Loopback接口地址作为日志报文的源IP地址日志主机1设置Userlog日志主机的VPN实例、IP地址和端口号，以便将Flow日志封装成UDP报文发送给指定的Userlog日志主机。日志主机可以对Flow日志进行解析和分类显示，以达到远程监控的目的集中式设备：最多可以指定2台不同的Userlog日志主机分布式或堆叠设备：每个单板上最多可以指定2台不同的Userlog日志主机为避免与通用的UDP端口号冲突，建议使用1025～65535的UDP端口号日志主机2日志输出