ELK+grok+华为防火墙USG6500会话日志

置顶 已于 2022-06-27 14:52:39 修改
阅读量5.2k 收藏 12
点赞数 3
分类专栏: elk 防火墙 网络运维 文章标签: elk 网络安全 华为 网络
于 2021-05-08 13:38:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoMa_Ge2019/article/details/116301430
版权

一、 前言

作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。
在这里插入图片描述

二、处理流程

1、开启防火墙会话功能,格式为syslog模式,其实也可以用netflow模式,elk其实是可以收集netflow日志;
2、elk在logstash配置文件配置grok插件,logstash模式安装了grok;
3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要信息(源端口、源IP、目的端口、目的ip等);

三、详细部署

应该华为防火墙涉及型号较多、版本都有所不同,但是原理都是一致的,所以本次说实现过的日志grok正则

1、防火墙日志:

Apr 29 2021 08:30:52 USG-FW01 %%01POLICY/6/POLICYPERMIT(l):vsys=public, protocol=6, source-ip=X.X.X.X, source-port=49187, destination-ip=X.X.X.X, destination-port=445, time=2021/4/29 16:30:52, source-zone=trust, destination-zone=untrust, application-name=,

2、grok正则表达式

(?<time>%{MONTH}\s%{MONTHDAY}\s%{YEAR}\s%{TIME}) %{HOSTNAME:name} %%01POLICY/6/%{WORD:policy}\(l\):vsys=%{WORD:vsys}, protocol=%{INT:protocol}, source-ip=%{IP:source_ip}, source-port=%{INT:source_port}, destination-ip=%{IP:destination_ip}, destination-port=%{INT:destination_port}, time=(?<session_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY}\s%{TIME}), source-zone=%{WORD:source_zone}, destination-zone=%{WORD:destinatione_zone}, (application-name=|application-name=%{WORD:application_name})

3、配置logstash配置

filter {
  grok {
    match => { "message" => "(?<time>%{MONTH}\s%{MONTHDAY}\s%{YEAR}\s%{TIME}) %{HOSTNAME:name} %%01POLICY/6/%{WORD:policy}\(l\):vsys=%{WORD:vsys}, protocol=%{INT:protocol}, source-ip=%{IP:source_ip}, source-port=%{INT:source_port}, destination-ip=%{IP:destination_ip}, destination-port=%{INT:destination_port}, time=(?<session_time>%{YEAR}/%{MONTHNUM}/%{MONTHDAY}\s%{TIME}), source-zone=%{WORD:source_zone}, destination-zone=%{WORD:destinatione_zone}, (application-name=|application-name=%{WORD:application_name})" }
  }
}

4、通过grok正则进行提取关键字

{
  "vsys": "public",
  "destination_port": "445",
  "source_zone": "trust",
  "session_time": "2021/4/29 16:30:52",
  "source_ip": "1.1.1.1",
  "protocol": "6",
  "destination_ip": "2.2.2.2",
  "destinatione_zone": "untrust",
  "source_port": "49187",
  "name": "USG-FW01",
  "time": "Apr 29 2021 08:30:52",
  "policy": "POLICYPERMIT"
}

注意事项
1)、在grok正则表达式中自定义了120个,其中有多种时间定义,但是不都符合防火墙时间定义,所以需要自定义时间正则表达式,(?

kibana进行展示

kabana仪表盘中科院看到我们关注的防火墙五元组信息,源端口、源ip、目的端口、目的IP等信息;可以展示出ip地址排名、源端口排名、目的端口排名,具体操作将在下一期进行分享。

使用ELK收集网络设备日志的案例
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
华为防火墙查看日志命令_华为USG防火墙运维命令大全
weixin_39989939的博客
12-19 2710
1查会话使用场合针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。命令介绍(命令类)displayfirewallsessiontable[verbose]{source{insideX.X.X.X|globalX.X.X.X}|destination{insideX.X.X.X|globalX.X.X.X}...
网络安全-华为华三交换机防火墙日志解析示例
PanDD_0_1的博客
07-23 1633
华为交换机日志解析示例。
记:搭建一套ELK日志收集系统实践
最新发布
qq_67095878的博客
03-03 1036
确保 Logstash 和 Elasticsearch 服务正在运行,并监听相应的端口(例如,5044 和 9200),以使这个配置文件正常工作。Output部分:该部分定义了输出插件,指定Logstash应该将接收到的数据发送到哪个目标。:在你的配置中,过滤器部分是空的。这里使用了Logstash的动态索引命名,基于数据的 metadata信息和日期来生成索引名称。path.config:指定es和logstash连接的配置文件,就是新建的logstash.conf文件的绝对路径。
ELK收集天融信防火墙日志
不一样的精彩
09-16 4061
ELK收集天融信防火墙日志
ELK+logstash 监控华为交换机日志
L1198773880的博客
10-08 1365
info-center loghost 155.159.255.114 facility local6 #设置消息等级以及指定rsyslog服务器地址。$template huawei,"/mnt/huawei/%FROMHOST-IP%.log" #末行添加。info-center loghost source Vlanif1310 #选择交换机和服务器互联的vlan。local6.*?#配置ES密码,需要设置多个密码,建议都设置为同一个方便记忆。
华为防火墙会话 session table
macob的专栏
08-05 817
华为防火墙 会话 session
华为USG 5120防火墙配置syslog
奇怪的老司机
03-19 6140
默认方式输出日志时,可通过命令或页面方式进行操作,二选一即可:命令方式:配置日志接收主机是10.0.1.1,端口514info-center loghost 10.0.0.1 514开启信息中心,开启后防火墙才会输出日志info-center enable页面方式:日志–>日志配置–>Syslog配置中新建日志主机。填写日志主机IP,端口号,选择语言。日志–>日志配置–>...
ELK + Filebeat + Kafka 分布式日志管理平台搭建
2301_82242204的博客
04-23 864
在部署的过程中可能会遇到各种情况,此时根据日志说明都可以百度处理(如部署的过程中不能分配内存的问题)。如果完成后如果数据显示不了,可以先到根据工作流程到各个节点查询数据是否存储和传输成功。如查询filebeat是否成功把数据传输到了kafka,可以进入kafka容器当中使用kafka中如下命令查询:查看日志filebeat中的数据是否正常在kafka中存储。
小白实操ELK环境部署+监控nginx日志_两台机器搭建elk+nginx
2401_84240189的博客
04-20 1202
FileBeat搜集新增的日志,通过LogStash的5044端口上传日志;打开Kibana的配置文件/usr/local/kibana-6.2.3-linux-x86_64/config/kibana.yml,找到下面这行并修改:+本次部署应用的是filebeats(客户端),logstash+elasticsearch+kibana(服务端)架构。进入Kibana的目录:cd /usr/local/kibana-6.2.3-linux-x86_64。查看启动日志:tail -f nohup.out。
ELK+Elastifolw--网络流量监控
suixhxy的博客
05-24 1803
执行命令ip netstream export host ip-address port-number [ vpn-instance vpn-instance-name ],配置IPv4原始流统计信息输出报文的目的NSC。配置第三个输出目的地址时,则需要先使用undo ip netstream export host命令取消原来配置的目的NSC地址。注:没给es添加密码之前,访问地址登录是不需要输入账号密码的,直接能打开地址。否则,系统会提示超出最大的输出地址数,从而无法进行配置。
日志收集系统ELK+kafka部署
MappleZF的博客
05-29 3237
日志收集系统ELK+kafka部署 文章目录日志收集系统ELK+kafka部署一、系统准备1.1 部署简介1.2 升级内核1.3 内核优化1.4 安装NTP服务1.5 关闭swap分区二、部署ISCSI2.1 配置数据网络-iscsi服务端2.2 配置数据网络-iscsi客户端2.3 安装target-iscsi服务端2.4 安装iscsi-客户端2.5 iscis客户端登陆2.6 挂载存储-客户端三、部署Elasticsearch3.1 下载软件包3.2 安装JDK113.3 安装Elasticsearc
ELK7.1.1+FileBeat收集项目日志,从不同IP收集日志汇集到ELK
mrdragon的博客
08-12 3205
1、环境介绍 环境: Red Hat Enterprise Linux Server release 7.2 地址: 192.24.6.143 192.24.6.144 ELK: Elasticsearch 7.1.1 Logstash 7.1.1 Kibana 7.1.1 FileBeat FileBeat 7.1.0 2、软件安装地址及项目安装地址 IP 软件/...
防火墙支持的日志格式
Jian Sun_的博客
01-29 3311
防火墙可以把系统日志、操作日志、业务日志会话日志发送到日志服务器。 防火墙向外输出日志时,支持将日志信息封装成不同的格式来输出,不同类型的日志,其支持的封装格式存在差异,具体发送格式如下。 表1 日志类型 发送格式 系统日志(系统告警、用户登录或注销、系统运行、黑名单产生的日志) Syslog 操作日志(管理员在设备上进行操作时产生的日志) Syslog 业务日志(包
有哪些时间管理的习惯?
zhibanshi_的博客
01-02 223
时间管理其实是在有效的时间里尽量做很多的事情,让自己的时间更有效率,事情更有意义。时间管理也即是个人的管理,其目的就是更好的规划自己的人生,能随心所欲地过自己真正想要的生活,而不是任由生活摆布。 这其实是一个老生常谈的话题了,每个人在不同的阶段都会觉得自己的时间管理有问题,都或多或少会有一种被事情追赶着走的感觉,那这种感觉其实是很正常的,因为我们没有真正理解时间管理的逻辑,没有掌握时间管理的方法。 日常我们工作和生活,都是需要规划的。时间管理很有效的方法,是习惯养成。 职场上也是如此,开不完的会议,接
防火墙日志日志分析
ITmoster的博客
04-04 3858
EventLog Analyzer 通过事件关联提供有效的事件检测过程。借助内置关联规则,您可以检测防火墙事件中的安全威胁。当发现任何可疑活动时,会向安全管理员发送即时警报。这有助于加快响应过程,在早期阶段提醒管理员注意可能的威胁,以便他们可以有效地保护组织的网络免受重大损害。
ELK分析ngx_lua_waf软件防火墙日志
weixin_34248487的博客
07-28 1012
ELK分析ngx_lua_waf软件防火墙日志ngx_lua_waf介绍及部署可以参考https://github.com/loveshell/ngx_lua_waf 这个一个基于lua-nginx-module的web应用防火墙,作者是张会源(ID : kindle),微博:@神奇的魔法师。用途:防止sql注入,本地包含,部分溢出,fuzzing测试,xss,×××F等we...
ELK日志分析系统
Besteady的博客
10-25 340
ELK是由 ElasticSearch、Logstash 和 Kiabana 三个开源工具所组成, 完成更强大的用户对日志的查询、排序、统计需求。
elk网络设备syslog日志收集
机智的埃努
11-15 7207
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
Teradata语法迁移至ELK:关键功能及注意事项
本资源是一份关于Teradata语法向ELK(Elasticsearch, Logstash, Kibana)迁移的文档,发布于2017年6月30日,由华为技术有限公司提供。该文档主要针对V100R002C70SPC100版本,内容涵盖了Teradata特定语法在ELK平台中...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值