1.1 监控对象
监控对象包括以下这几类:
1、用户监控:展示不同周期内的统计信息,应用个数、带宽流量、新建连接等
2、应用监控:展示周期内的统计信息,应用风险排名、应用占用流量排名和应用分类
3、URL访问
4、设备监控:展示不同时期设备流量、硬件信息等
5、关键字阻断
6、应用阻断
7、认证用户
8、威胁监控
9、管道监控:查看管道下的流量,管道是否生效
10、服务网络监控:对网络健康性检查
1.2 iCenter监控
iCenter(智能风险监控中心)监控展示风险等级、威胁来源等
Hillstone的CPU1用来处理业务,CPU0用来处理非业务(AD、OSPF等)
外网安全域的WAN口要勾选安全统计
2.1 日志类型
日志类型分为以下几类:
1、设备系统日志:包含事件、网络、配置日志
2、威胁日志:攻击防护、病毒过滤、入侵防御系统、边界流量过滤以及高级威胁检测和异常行为检测
3、会话日志:记录防火墙建立的连接,在policy策略中开启
4、NAT日志:地址转换日志
5、URL日志:记录上网访问的域名地址
6、NBC日志:上网行为
7、调试日志
2.2 日志的严重等级
级别
级别号
描述
日志定义
紧急
0
系统不可用信息
LOG_EMERG
警报
1
需要立即处理的信息,如攻击等
LOG_ALERT
严重
2
危急信息,如硬件出错等
LOG_CRIT
错误
3
错误信息
LOG_ERR
警告
4
报警信息
LOG_
WARNING
通告
5
非错误信息,但需要特殊处理
LOG_NOTICE
信息
6
通知信息
LOG_INFO
调试
7
调试信息,包括正常使用信息
LOG_DEBUG
攻击防护、病毒过滤、入侵防御系统、边界流量过滤及高级威胁检测和异常行为检测出的日志均为威胁日志
2.3 日志输出
1、Console:日志信息的默认输出目的地,用户可以通过命令关闭此输出
2、终端(Terminal):包括Telnet和SSH两种终端
3、内存缓存(Memory Buffer):内存缓存
4、文件(File):默认情况下,StoneOS会生成一个文件记录日志信息,用户可以指定将信息输出到USB口的文件中
5、日志服务器:(Syslog Server):系统可以将日志信息发往UNIX或Windows Syslog Server
6、Email地址:将日志信息发送到某个邮件地址
7、本地数据库:将日志发送本地数据库,存在本地硬盘
事件、告警、安全日志信息可以输出到以上6种目的地,而流量、网络和调试日志信息只能输出带Console、内存缓存和系统日志服务器3种目的地
其中,会话、NAT、URL日志默认未启用,如需记录NAT或上网日志,请首先确保NAT功能及上网日志功能中启用了日志记录,然后开启log配置中的功能
日志管理>查看日志服务器,点击“新建”创建日志服务器,端口默认514
回顾:
1、安全网关的日志分为哪几种?分别记录哪一类日志?
--设备系统日志:包含事件、网络、配置日志
--威胁日志:攻击防护、病毒过滤、入侵防御系统、边界流量过滤以及高级威胁检测和异常行为检测
--会话日志:记录防火墙建立的连接,在policy策略中开启
--NAT日志:地址转换日志
--URL日志:记录上网访问的域名地址
--NBC日志
--调试日志
2、安全网关的日志可以通过哪几种方式输出?
--Console
--终端
--内存缓存
--文件
--日志服务器
--Email地址
--本地数据库
3、安全网关支持哪几种类型的监控统计功能?
--用户监控
--应用监控
--URL访问
--设备监控
--关键字阻断
--应用阻断
--认证用户
4、如何通过会话日志得到连接中断的原因?
在会话日志中查看
