目录
Ⅰ 日志发送syslog方式
一、需求
对于不带硬盘的设备,例如S3100和M6600,可以将防火墙上产生的日志:流量日志、事件日志和安全日志,采用日志发送至第三方服务器方式进行记录(推荐)。本案例以记录“允许流量日志”、“事件日志”为例,完成内存记录日志的方式。
二、配置要点
1、首先需在 防火墙-策略下,编辑具体策略,勾选‘记录允许(拒绝)流量’
2、在日志与报告-日志配置-日志设置中:
日志和存档:取消勾选硬盘
日志服务器1:设置日志服务器IP地址:
类别:设置level定义消息的紧急程度
源地址:设置为可以与日志服务器互通的防火墙地址,这里为internal地址
事件日志:配置要记录的事件
3、第三方服务器需安装syslog watcher等syslog接受软件进行防火墙日志接收
4、查看syslog存储日志参数(仅CLI方式)
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
1)查看syslog记录日志的参数
RG-WALL # get log syslogd setting
status : enable
2)查看syslog记录日志的选项
RG-WALL # get log syslogd filter
severity : information
traffic : enable
forward-traffic : enable
local-traffic : enable
attack : enable
web : enable
netscan : enable
dlp : enable
virus : enable
email : enable
voip : enable
app-ctrl : enable
multicast-traffic : enable
signature : enable
anomaly : enable
web-content : enable
url-filter : enable
ftgd-wf-block : enable
ftgd-wf-errors : enable
web-filter-activex : enable
web-filter-cookie : enable
web-filter-applet : enable
web-filter-script-other: enable
web-filter-ftgd-quota-counting: enable
web-filter-ftgd-quota-expired: enable
web-filter-ftgd-quota: enable
web-filter-command-block: enable
discovery : enable
vulnerability : enable
dlp-all : enable
dlp-docsource : enable
infected : enable
blocked : enable
scanerror : enable
suspicious : enable
analytics : enable
oversized : enable
switching-protocols : enable
email-log-smtp : enable
email-log-pop3 : enable
email-log-imap : enable
email-log-msn : enable
email-log-yahoo : enable
email-log-google : enable
app-ctrl-all : enable
三、配置验证
以上配置完成后,在日志服务器上打开syslog watcher进行查看
Ⅱ UTM日志配置
一、UTM开启日志记录说明
UTM功能如IPS、防病毒,均需在CLI(命令行)下开启日志记录
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
1.ips开启日志记录
RG-WALL # config ips sensor
RG-WALL (sensor) # edit httpserver
new entry 'httpserver' added
RG-WALL (httpserver) # set log enable
RG-WALL (httpserver) # config entries
RG-WALL (entries) # edit 1
new entry '1' added
RG-WALL (1) # set log enable
RG-WALL (1) # set log-packet enable
RW-WALL (1) # end
2.防病毒开启日志记录
RG-WALL # config antivirus profile
RG-WALL (profile) # edit default
RG-WALL (default) # set extended-utm-log enable
RG-WALL (default) # set av-virus-log enable
RG-WALL (default) # set av-block-log enable
RG-WALL (default) # end
3.邮件过滤开启日志记录
RG-WALL # config spamfilter profile
RG-WALL (profile) # edit mymail
RG-WALL (mymail) # set extended-utm-log enable
RG-WALL (mymail) # end
4.应用控制开启日志记录
RG-WALL # config application list
RG-WALL (list) # edit office
new entry 'office' added
RG-WALL (office) # set extended-utm-log enable
RG-WALL (office) # end
5.数据防泄露开启日志记录
RG-WALL # config dlp sensor
RG-WALL (sensor) # edit office
RG-WALL (office) # set extended-utm-log enable
RG-WALL (office) # end