目录
Ⅰ 日志配置说明
一、日志存储方式设置
目前,防火墙上的日志存储有三种方式:1.硬盘;2.内存;3.第三方日志存储(默认存储于硬盘)。
在防火墙界面的【日志与报告界面】,可对日志存储方式进行设置:
1.将日志保存于本地硬盘(S3100和M6600设备不带硬盘,不支持该选项)
1)首先需在 防火墙-策略下,编辑具体策略,勾选‘记录允许(拒绝)流量’
2)在日志与报告-日志配置-日志设置中:
日志与存档,勾选‘硬盘’,gui选择‘硬盘’,勾选要记录的日志类型即可
2.对于M6600和S3100等无硬盘的设备,可以将日志保存于内存(防火墙默认将日志保存于硬盘,故未进行设置不会显示日志内容)
1)首先需在 防火墙-策略下,编辑具体策略,勾选‘记录允许(拒绝)流量’
2)在日志与报告-日志配置-日志设置中:开启相关功能或者策略的日志记录
3)命令行配置
config log memory setting
set status enable
end
3.将日志存储于第三方服务器(通过syslog外导)
1)首先需在 防火墙-策略下,编辑具体策略,勾选‘记录允许(拒绝)流量’
2)在日志与报告-日志配置-日志设置中:
日志服务器1:设置日志服务器IP地址:
类别:设置level定义消息的紧急程度
源地址:设置为可以与日志服务器互通的防火墙地址,这里为internal地址
事件日志:配置要记录的事件
3)第三方服务器需安装syslog watcher等syslog接受软件进行防火墙日志接收
二、UTM日志相关配置
说明:IPS日志和防病毒日志等一些UTM相关的日志需在CLI命令行下配置相关命令,才能在web页面进行查看
1.开启IPS入侵防御日志
config ips sensor
edit "default"
set log enable
config entries
edit 1
set log enable
set log-packet enable
end
2.开启防病毒日志
config antivirus profile
edit default
set extended-utm-log enable
set av-virus-log enable
set av-virus-log enable
end
3.开启防垃圾邮件日志
config spamfilter profile
edit "default"
set extended-utm-log enable
end
4.查看日志记录功能开启状态
RG-WALL # config log memory filter
RG-WALL (filter) # get
severity : information
traffic : enable
forward-traffic : disable
local-traffic : disable
attack : enable
web : enable
netscan : enable
dlp : enable
virus : enable
email : enable
voip : enable
app-ctrl : enable
dlp-archive : enable
multicast-traffic : enable
signature : enable
anomaly : enable
web-content : enable
url-filter : enable
ftgd-wf-block : enable
ftgd-wf-errors : enable
web-filter-activex : enable
web-filter-cookie : enable
web-filter-applet : enable
web-filter-script-other: enable
web-filter-ftgd-quota-counting: enable
web-filter-ftgd-quota-expired: enable
web-filter-ftgd-quota: enable
web-filter-command-block: enable
discovery : enable
vulnerability : enable
dlp-all : enable
dlp-docsource : enable
infected : enable
blocked : enable
scanerror : enable
suspicious : enable
analytics : enable
oversized : enable
switching-protocols : enable
email-log-smtp : enable
email-log-pop3 : enable
email-log-imap : enable
email-log-msn : enable
email-log-yahoo : enable
email-log-google : enable
app-ctrl-all : enable
Ⅱ 日志存储方式
日志存储方式设置
目前,防火墙上的日志存储有三种方式:1.硬盘;2.内存;3.第三方日志存储(syslog发送)。
在防火墙界面的【日志与报告界面】,可对日志存储方式进行设置:
- 硬盘:启用后日志将记录在硬盘中;
- 日志服务器:设置存储第三方syslog日志存储服务器,可以设置3个;
- 事件日志:选择需要记录的“事件日志”类型;
- 本地流量日志记录:选择需要记录的“本地流量日志”类型;本地流量为访问防火墙的流量;
- GUI选择:选择WEB界面上查看的日志来源:硬盘或内存;
说明:1、默认存储于硬盘;2、S3100和M6600设备不带硬盘,不支持硬盘选项;2、不建议启用“解析主机名”和“解析未知应用”