防火墙日志内容详解
user
管理员名字
src
登陆ip
op
执行的管理命令
result
命令结果
系统日志(type=system)
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
pri
日志的级别
type
固定为system
msg
日志信息输出
*recorder
产生日志的模块/进程名称,若是内核则为kernel
fw
防火墙名称
pri
日志的级别
type
固定为secure
msg
日志信息输出
*recorder
产生日志的模块/进程名称,若是内核则为kernel
src
源IP地址
dst
目的IP地址
src
源IP地址
dst
目的IP地址
sport
源端口
dport
目的端口
inpkt
接收包数
outpkt
发送包数
sent
发送字节数
rcvd
接收字节数
duration
持续时间
connid
连接id
msg
日志信息输出
访问策略/地址转换策略日志(type=ac)
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
pri
日志的级别
type
固定为pf
msg
日志信息输出
rule
accept/deny
proto
Tcp、udp、icmp,其它协议直接用协议号
src
源IP地址
dst
目的IP地址
sport
源端口
dport
目的端口
smac
源mac地址
dmac
目的mac地址
indev
来源接口
policyid
匹配的策略id
VPN日志(type=vpn)
目的MAC
*recorder
模块或进程
产生日志的模块或进程
三.各日志类型详细说明
管理日志(type=mgmt)
关键词
描述
id
tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
pri
日志的级别
type
固定为mgmt
msg
日志信息输出
*recorder
产生日志的模块/进程名称
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
Fw
设备标示
防火墙名称
Pri
优先级
分为8个级别,从0到7
0 – emergency危急
1 – alert报警
2 – critical严重
3 – error错误
4 – warning警告
5 – notice提示
6 – information信息
防火墙日志类型详解
一.日志类型
配置管理(管理日志);系统运行(系统日志);连接日志;
访问控制;防攻击;深度内容检测;
虚拟专网(VPN日志);防病毒(病毒日志);阻断策略(阻断日志)
二.日志关键字说明
基本关键字包括:
关键字
名称
说明
Id
日志标示
对于防火墙NGFW4000固定为id=tos
Time
日期时间
result
命令结果
连接日志(type=conn)
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
pri
日志的级别
type
固定为conn
msg
日志信息输出
*recorder
产生日志的模块/进程名称,若是内核则为kernel
proto
Tcp、udp、icmp,其它协议直接用协议号
源地址
IP地址
dst
目的地址
IP地址
user
用户
用户名
op
操作
根据记录类型不同而含义不同:
GET
POST
result
结果
根据记录类型不同而含义不同:
操作取得的结果
arg
参数
根据记录类型不同而含义不同:
type
记录类型
目前定义如下:
mgmt--管理日志,管理员进行管理时记录
vpn-- VPN日志,防火墙内VPN活动记录
来源接口
outdev
转发接口
connid
连接id
parentid
如果是子连接,此处为父连接的id
policyid
匹配的策略id
dpiid
dpi对象的id
msg
附加消息
包过滤日志(type=pf)
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
pri
日志的级别
type
固定为vpn
msg
日志信息输出
*recorder
产生日志的模块名称
安全日志(type=secure)
关键词
描述
id
固定为tos
time
格式为”yyyy-mm-dd hh:mm:ss”,24小时制
fw
防火墙名称
pri
日志的级别
type
固定为ac
msg
日志信息输出
*recorder
产生日志的模块名称
rule
accept/deny
proto
Tcp、udp、icmp,其它协议直接用协议号
src
源IP地址
dst
目的IP地址
sport
源端口
dport
目的端口
smac
源mac地址
dmac
目的mac地址
indev
7 – debug调试
扩展关键字:
关键字
名称
说明
rule
规则
防火墙规则号码
proto
协议
协议类型,如下:
ip tcp udp icmp
httpftptelnetpop3smtpsnmp
realaudio
duration
持续时间
单位:秒
sent
发送字节
源到目的的字节
rcvd
接收字节
Байду номын сангаас目的到源的字节
src
*system--系统日志,系统运行过程中的运行记录
*conn--连接日志,通信时的记录
*ids-- IDS日志,防火墙IDS活动记录
*virus--防病毒日志,防火墙防病毒活动记录
msg
信息
日志记录信息
*sport
源端口
源端口
*dport
目的端口
目的端口
*smac
源MAC
源MAC
*dmac
目的MAC
