深信服社区»版块 安全类 行为管理AC 日志分析问题

日志分析问题

查看数: 4304 | 评论数: 9 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2019-1-2 16:36

正文摘要:

在日志分析的时候发现有个用户网站访问行为有93%标注为“其他”,但导出日志里面没有找到这个分类的任何详细信息,请问是什么问题?

回复

admin1 发表于 2019-1-9 11:39
赞一个!
好心情能长寿 发表于 2019-1-8 22:58
内置没有分类的
社区智能客服_花花 发表于 2019-1-8 19:15
您好 请问下这个问题解决了吗?如果没有解决,可以跟帖说明;如果已经解决,希望分享下处理结果
谢谢
zhb 发表于 2019-1-2 20:15
其它就是库里没有的URL,应用,一般是企业自己网站和自己开发的应用之类的
yhyh 发表于 2019-1-2 19:13
本帖最后由 yhyh 于 2019-1-12 16:11 编辑

楼主看一下是不是top数设置的就是30若是设置的top30就是只列出前30个,之后的就会被归类到其他了, 另外设备识别不出来的数据也是归纳到其他,谢谢
玖零网络 发表于 2019-1-2 17:14
内置规则库无法识别,在内置规则库里没有分类,就出现这样的问题
yzy 发表于 2019-1-2 16:41
用户访问的流量没有匹配到规则库中的规则就会被归类成其他流量
新手669092 发表于 2019-1-2 16:38
1、内置数据中心的日志是根据审计策略的配置产生的,需要先配置审计策略并关联给用户生效后才会产生日志
审计策略配置步骤,建议参考链接:点击这里
2、如果是某一类应用查不到(例如qq行为),就需要确认审计策略中是否勾选了【其他网络应用行为(仅网络应用的行为,不包含内容)】这一项,因为审计策略中没有单独列出的应用审计都是匹配这一个选项的,因此需要勾选此项
3、如果是可以查到上网行为日志,查不到上网流量或时长的日志,则需要在审计策略中开启流量审计和时长审计
流量审计配置步骤,建议参考链接:点击这里
4、设备系统时间是否与当前时间一致,如果相差一天以上会导致日志记录时间与当前时间不符,从而查询不到当前时间的日志,可以查到之前的日志
5、查询日志时如果有提示:记录数超过XX条,则需要修改系统配置里的限制
6、如果【系统配置】-【序列号】-【多功能序列号】有数据中心DKEY,则需要刷KEY后才可以查询到日志
日志中心KEY配置步骤,建议参考链接:点击这里
Janbos 发表于 2019-1-2 16:38
访问的网站为企业自己所建,或者内置规则库无法识别,在内置规则库里没有分类,就出现这样的问题