×

AF内置日志中心的使用
  

总有辣么几个刁民想弄死朕 13547

{{ttag.title}}

AF内置日志中心的使用

AF的日志中心,可用于统计分析各种安全日志,例如:可以查询出 WEB应用防护阻断的攻击行为,以及可以查询到攻击源 IP,目标 IP等详细信息。可以统计出服务器在指定的时间内受到多少次 DOS攻击等。并根据需求生成各种日志报表!

如何进入AF内置数据中心?
登录设备控制台首页点击右上角进入内置数据中心,如图:


一、统计分析:
统计分析包括服务器安全、上网安全、流量统计、应用统计和内容安全!

1、服务器安全主要用于统计服务器受到外网 DOS攻击、IPS、WEB应用防护模块的攻击次数。
如何查询服务器安全日志,首先需要保证设备配置策略的时候勾选了记录日志选项,如图查询服务器安全日志:
服务器ip多个可用“逗号”隔开,选择需要查询的攻击类型,这里选择IPS:
选择统计方式、数量、图表显示,点击查询即可,说明:这边没有购买IPS模块所以无法查询到数据:
查询日志结果类似这样如图:

2、上网安全主要用于统计内网用户发起内网 DOS攻击、IPS攻击、杀毒、APT检测的攻击行为次数以及百分比。
如何查询终端的安全数据,终端安全日志指的是:有服务器端和pc端,目前AF无法查询到手机端的日志
如图,时间范围、ip/用户、威胁类型都可根据自己的需求下拉选择,点击查询即可:
查询日志如图:

3、流量统计用于统计内网用户上网的流量,可以根据应用,IP等各种条件进行统计。
如何查询流量上下行日志,如图,时间范围、ip/用户、应用协议,统计方式等等选项都可根据自己的需求下拉选择,然后点击查询即可,前提需要在首页-启用了流量管理模板才行,这边未开启所以无法查询到数据:
一般查询结果都可以这样呈现如图:

4、应用统计主要用于统计内网用户上网的时候访问某一种应用的次数。例如可以统计内网用户访问哪些应用最活跃,既访问的次数最多。
如何查询用户访问了哪些日志,首先需要在应用控制策略那边勾选了记录日志,其它跟AC设备相仿直接选中类型查询即可,依然时间范围、ip/用户、应用,统计方式,前多少名的人的日志等等选项都可根据自己的需求下拉选择,然后点击查询即可如图:
查询结果如图:

5、内容安全:网站访问主要用于统计内网用户访问网站类型、访问 URL文件的用户、病毒分布的数据。
如何查询访问了什么网站和访问邮件是否携带病毒,如图,首选需要在这2个地方配置策略,然后勾选日志记录:
然后去日志中心这边查看,内容安全-网站访问-右上角点击日志然后查询即可,如图:
点击图中的信封小图标可生成 PDF文档发送到指定邮箱但需要配置邮件服务器,左边PDF小图标可以导出安全事件日志,如图:
网站访问安全审计日志,如图需要配置邮件服务器,配置相应的设置选项-确定即可:
邮件安全主要可以统计攻击源地理分布图和被攻击的用户 TOP5数据。
点击图中的信封小图标可生成 PDF文档发送到指定邮箱但需要配置邮件服务器,左边PDF小图标可以导出安全事件日志然后查询即可,如图:

二、日志查询:
对各单项的日志类型呈现更细致的状态,不汇总,只是单类功能日志查询,主要用于查询具体的日志情况,例如可以查询到内网哪台服务器受到了DOS攻击,并且查询出攻击的源IP和端口等详细信息。
①如何查看内网有DOS攻击,选择查询条件,日期、攻击方向、区域、类型等等,点击查询,这边选择默认的,如图:(前提是要在防火墙-开启DOS攻击策略并开启日志记录这边才会有)
什么DOS攻击:DOS是Denial of Service的简称,即拒绝服务,造成DOS的攻击行为被称为DOS攻击,其目的是使计算机或网络无法提供正常的服务。
什么是DDOS攻击:DDOS是Distributed Denial of service ,即分布式拒绝服务攻击,很多DOS攻击源一起攻击某台服务器或某个网络,就组成了DDOS攻击。
DOS攻击作用:AF设备的DOS/DDOS防护功能分成“外网防护”和“内网防护”两个部分。
外网防护:主要对目标地址做重点防御,一般用于保护内部服务器不受外网的DOS攻击。(该外网为用户自己定义的攻击源区域,不一定非指Internet)
内网防护:主要用来防止内网DOS攻击外网。
DOS攻击查询结果如图:

②查询web应用防护日志,如图选择查询条件,这边默认,可根据自己需求筛选,前提是要在:服务器防护-添加web应用防护策略并勾选日志记录这边才可有日志:
WEB应用防护作用:是专门针对客户内网的WEB 服务器设计的防攻击策略,可以防止OS 命令注入、SQL 注入、XSS 攻击等各种针对WEB 应用的攻击行为,以及针对WEB服务器进行防泄密设置。
如图查询到的攻击日志:

③如何查询IPS攻击(前提是设备有购买IPS模块并且在首页栏IPS模块栏新增IPS策略并勾选日志记录这边才可有日志:),筛选查询条件,这边默认,如图:
IPS的作用:保护服务器应用漏洞以及保护服务器不被口令暴力破解,保护客户端漏洞以及对客户端恶意软件的检测。
如图查询到的攻击日志,:

④查询僵尸网络日志(前提需要开通授权序列号并且在内容安全-僵尸网络-新增僵尸网络策略并且勾选日志记录才有效),根据需求筛选,这边默认,如图:
僵尸网络作用:主要用于发现和隔离内网感染了病毒、 木马等恶意软件的 PC, 当病毒、木马试图与外部网络通信时, AF 识别出该流量, 并根据用户策略进行阻断和记录日志
如图查询到的病毒文件威胁日志:

⑤内容安全日志查询:AF的内容安全包括应用控制策略、内容安全策略和僵尸网络,首先需要在控制台-内容安全-内容安全策略-新增策略并且开启日志记录方可查询,如图设置内容安全策略。
如图①:
接着图②:
接下来去内置数据中心根据情况选择查询条件,即可,具体操作可参照第一大栏的第⑥步

⑥如何查询应用控制策略(前提需要在内容安全-应用控制策略-新增策略并开启日志记录才可查询),如图,根据需求筛选类型,这边默认:
注意应用控制策略:服务:由协议和端口来进行区分,例如,HTTP协议和80端口等
应用:AF会放通一小部分流量来进行识别,判断为具体的应用,例如,淘宝,QQ等  
下图在策略里面设置的是服务,所以查询到行为记录以服务呈现:

⑦日志中心的本机安全事件查询:AF自身有抵御渗透攻击的功能。本机安全事件用于记录和查询AF被攻击的日志。如图根据需求设置条件,这边默认,如图:
可以查询的攻击类型包括:端口扫描、 ICMP洪水攻击、UDP洪水攻击、SYN洪水攻击、DNS洪水攻击、黑名单中的  IP报文,查询日志结果,值得注意的是:这边不用设置任何策略,只要系统有这类型攻击日志就可查询

⑧用户登录/注销主要是用于查询 AF开启认证系统模块后,普通用户通过AF的认证模块的登录和注销信息。例如可以查询出某一天中午12:00到13:00有哪些用户登录/注销查询,因未开启认证策略查不到用户登录信息,这边依然默认选择所有:
一般符合设备的条件数据如图:

⑨日志中心系统操作:用于查询用户登录控制面板的登录注销日志以及所做过的所有操作日志,例如:可以查询出 admin这个账号在某天登录控制台做过哪些操作。这边依然选择默认:
点击查询的admin账号记录如图(注意:AF5.1版本开始支持查询管理员对VPN模块的操作日志,因这边未配置vpn所有无法查询到vpn日志),如图:

三、报表:
报表功能模块用于设置自定义报表和订阅报表。主要分为两个模块:自定义报表、报表订阅
报表订阅用于生成周期性报表,并且可以定期将生成报表发送到指定的邮箱。可生成的报表分为两类,分别是:综合安全风险报表和汇总报表
①报表订阅:新增综合安全风险报表:用于分析指定的业务系统和终端用户,对指定对象进行安全风险分析。可以自定义报表的logo
确定之后如图样子:

报表订阅:汇总报表:包括业务系统安全状况、终端用户安全状况、流量排名、应用行为排名、访问网站排名等。用户可根据需要指定统计的内容,从而生成自己需要的报表,可以自定义报表的logo
订阅成功后截图:
攻击趋势可以从总体上看到最近几个月网络安全状况,业务安全针对内网服务器进行安全综合分析,找到被感染的服务器

②自定义报表的使用:用于用户自行定义自己所需信息的报表。自定义报表包括:综合安全风险报表、汇总报表以及健康检查报表三类。(注意:自定义报表只能生成一次性报表,不能循环生成)
自定义报表-综合安全风险报表查询如图,可自定义logo,并且生成PDF文档:

自定义报表-汇总报表,在报表设置页面设置统计的时间范围,报表内容处勾选 访问网站,并且勾选排行依据和统计方式,点击生成PDF文档即可。

自定义报表-健康检查报表,点击时间范围,报表内容,选择立即生成即可,如图:

③管理员操作报表:用于导出管理员在控制台上对系统的操作日志报表,可以查看指定管理员的系统操作。
按照需求选择时间、用户、格式立即生成报表即可,如图:

四、系统
主要用于设置与数据中心相关的一些设置,例如可以在系统中设置报表的生成时间具体到分钟,可以在系统中设置日志导出的条目数,设置超时时间,删除日志等操作。
①系统设置配置如图:
邮件服务器设置:此处的设置主要是用于报表订阅的时候设置发送邮件服务器。
日志设置:用于设置日志查询中导出日志的最大条目数以及支持显示的最大日志量,考虑设备性能损耗建议不要设置最大值。

②日志库:用于查询指定时间内的日志文件大小,并且做删除等操作,如图:
设置好查询日志范围,点击查询,设备会查询出指定日期范围内的日志,如图:
勾选某一天的日志,点击删除可以删除选中的日志
注意:设备只能删除以天为单位的日志,不能删除某一条日志

③配置业务系统:用于配置网络中的业务系统和域名/IP的对应关系,配置完成后,报表中就会显示对应的业务系统名称,这样比显示域名或 IP更直观。
如图:
设置业务系统名,设置业务系统对应的域名或 IP地址,一个业务系统配置支持多个IP,提交即可。

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

Sangfor_闪电回_朱丽 发表于 2017-6-22 09:30
  
很赞,楼主太用心啦,看完对AF的整个日志中心都了解了
翠湖大虾 发表于 2017-6-25 09:00
  
学习了,配置业务系统这个大赞,准备推给客户。
zoou 发表于 2017-8-9 13:20
  
写的真的很详细,很受用,谢谢。
双面猴 发表于 2017-8-9 14:05
  
写的真的很全面,仔细。收藏
小马哥0 发表于 2017-8-15 11:16
  
很详细啊,楼主辛苦了
Mr肖 发表于 2017-10-20 16:31
  

Friday hooray! +11 S豆

客户要些报表的资料,突然看到这个帖子,马上复制下来了,很详细的讲解,楼主辛苦了。
yl2352 发表于 2018-3-29 09:53
  
学习学习,好答题。
从现在开始 发表于 2019-5-17 16:01
  
客户要些报表的资料,突然看到这个帖子,马上复制下来了,很详细的讲解,楼主辛苦了。
头像被屏蔽
司马缸砸了光 发表于 2020-2-20 10:01
  
提示: 作者被禁止或删除 内容自动屏蔽
发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

12
185
6

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

本版达人

LoveTec...

本周分享达人

新手24116...

本周提问达人