首页> 系统技术> 华为防火墙配置设备直接向日志主机发送会话日志

[文章]华为防火墙配置设备直接向日志主机发送会话日志

收藏
0 1067 0

华为防火墙配置设备直接向日志主机发送会话日志

 

【背景】

由于防火墙本身不带存储,无法对会话日志进行归档,故需额外进行外置日志输出归档的配置。设备型号为华为USG6000系列V500版本。

配置防火墙向日志服务器输出会话日志,管理员可以在日志服务器上查看和分析防火墙上生成的会话信息,以作信息安全部门查询分析依据。

防火墙输出会话日志时,支持配置两组日志主机,每组中最多支持配置16个日志服务器。两组日志主机之间可以互为备份,实现日志主机的容灾备份功能。

为了提高防火墙与日志主机之间链路的可靠性,防火墙还支持在配置日志主机时引用IP-Link功能,对链路状态进行探测。开启IP-Link功能后,当IP-Link的状态为UP时,防火墙才会向日志主机发送日志;当IP-Link的状态为DOWN时,防火墙不会向日志主机发送日志。

日志格式问题:如果日志服务器为eLog日志服务器,当日志格式为二进制时,端口必须配置为9002;当日志格式为Netflow时,端口必须配置为9996;当日志格式为Syslog时,端口必须配置为514。下面以Syslog格式进行配置测试。

Syslog服务器部署可参考http://bbs.learnfuture.com/topic/8907

   配置日志主机

进入系统视图


 

配置接收会话日志的日志主机(这里的’1’host-id


 

配置防护墙发送会话日志时使用的源IP地址和端口


   配置日志的输出格式

配置会话日志的输出格式,配置为syslog格式(缺省情况下,会话日志的格式为二进制格式,如果配置会话日志的格式为二进制,则日志服务器必须为eLog日志服务器)


 

配置使用Syslog格式输出会话日志时,日志为MTN格式。

缺省情况下,使用Syslog格式输出会话日志时,日志为缺省格式,设置为以MTN格式输出的日志,其内容为一个完整的句子,相当于对缺省格式日志做了二次整理。


   在安全策略中开启会话日志功能

进入安全策略视图


 

查看现有安全策略


 

选中其中的策略,进行设置


 

开启记录会话日志功能(缺省情况下,记录会话日志处于关闭状态)


按照同样的操作,对其他的安全策略也开启记录会话日志功能。

 

开启新建会话日志发送功能

开启新建会话日志发送功能后,防火墙才能向日志服务器发送新建会话的信息


 

开启会话老化日志发送功能

开启新建会话日志发送功能后,防火墙才能向日志服务器发送会话老化日志的信息


 

开启定期发送IPv4会话日志功能

开启定期发送IPv4会话日志功能后,防火墙才能向日志服务器定期发送IPv4会话的信息


 

开启半连接会话日志发送功能


 

   Syslog服务器端查看结果

如下图防火墙的会话日志(包含五元组信息)已成功发送到日志主机


 

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}