华为USG 防火墙发送会话日志和URL业务日志

本文最后更新于 2025年2月14日 下午

简介

日志是FW在运行过程中产生的信息,记录了FW上各个功能模块的工作情况以及网络中各种业务的运行状态。管理员通过查看这些日志信息,实时了解FW的运转情况,掌握网络中的业务状态、安全情况和流量趋势。管理员还可以通过日志信息来进行回溯取证,定位问题等。

本文主要收集用户的上网流量日志,用于日后分析。

syslog日志服务器搭建可参考:https://songxwn.com/tags/syslog/

华为USG防火墙 支持输出多种类型的日志,每种类型的日志功能不同,具体如下:

会话日志

报文经过FW处理后将会在FW上建立会话。FW支持会话信息的输出,管理员可以根据实际需要,选择在会话老化后输出、新建会话时输出、或者定期输出会话信息。

丢包日志

报文被FW丢弃后,FW支持将报文的信息以及被丢弃的原因输出。报文被丢弃的原因包括未命中会话表而被丢弃、未通过安全策略检查而被丢弃等。

业务日志

当流量到达或通过FW时,FW会基于应用、服务等信息,对用户的各种业务流量进行业务识别和威胁管控,同时记录日志信息。FW支持输出威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤日志以及审计日志等业务日志。

系统日志

FW支持将功能模块在运行过程中产生的信息输出,管理员可以通过查阅《日志参考》来了解FW上各个功能模块产生的系统日志信息。

端口预分配日志

通过端口预分配(NAT Port Range)日志可以了解FW(CGN)上的端口预分配和增量分配的情况,也可以实现NAT溯源。

发送会话日志到Syslog 服务器

CLI 示例

安全策略开启会话日志记录

1
2
3
4
5
6
7
security-policy 
rule name trust_untrust
session logging
source-zone trust
destination-zone untrust
source-address 192.168.0.0 24
action permit

  • session logging 为开启此安全策略记录会话日志,只要匹配就会发送(协议 源 目标 IP 和端口号等)。

指向多个syslog服务器

1
2
3
4
5
firewall log session multi-host-mode concurrent                                                                                    
firewall log host 1 172.16.0.2 514
firewall log host 2 172.16.0.3 514
firewall log source 172.16.0.1 6000
firewall log session log-type syslog
  1. firewall log session multi-host-mode concurrent

    • 这条指令配置防火墙日志系统为多主机并发模式。这意味着日志信息可以同时发送到多个日志服务器。
  2. firewall log host 1 172.16.0.2 514

    • 这是定义了第一个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.2的服务器的514端口(通常是syslog服务的默认端口)。
  3. firewall log host 2 172.16.0.3 514

    • 这是定义了第二个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.3的服务器的514端口。
  4. firewall log source 172.16.0.1 6000

    • 这配置了日志的源IP地址和端口。日志信息将从IP地址172.16.0.1的6000端口发出。这通常是防火墙设备的IP和端口,用于标识来自哪里的日志信息。
  5. firewall log session log-type syslog

    • 这指定了日志类型为syslog。syslog是一种常用的日志协议,可以将日志信息统一传输到syslog服务器进行收集和分析。

GUI示例

选择“系统 > 日志配置 > 日志配置”

PS:与CLI 配置一样。

发送系统日志到Syslog 服务器

CLI配置发送系统日志

1
2
3
4
info-center enable
info-center loghost 10.0.0.1 514
info-center loghost source Vlanif927

  1. info-center enable

    • 这个命令用于启用信息中心功能。这是一项全局配置,用于允许设备收集和处理系统日志和调试信息。
  2. info-center loghost 10.0.0.1 514

    • 此命令用于指定远程日志服务器的IP地址和端口号。在这个例子中,日志服务器的IP地址是 10.0.0.1,使用的端口是514。这意味着设备会将收集的日志通过网络发送到该指定的远程服务器。端口 514 是syslog协议的默认端口。
  3. info-center loghost source Vlanif927

    • 这个命令指定了日志消息的源接口。在这里,Vlanif927表示一组虚拟局域网接口(VLAN Interface 927)的设备IP地址作为发送日志的源IP。这对于在多个接口上有多个IP的设备很重要,因为它决定了从哪个接口发送日志消息。

GUI配置发送系统日志

选择“系统 > 日志配置 > 日志配置”

PS:与CLI 配置一样。

开启DHCP服务器分配日志、

需要进入接口下执行, 然后这个接口网段分配的DHCP日志就会和系统日志一起发送。

1
2
interface Vlanif 927
dhcp server logging

发送业务日志到Syslog - WEB URL

需要安全策略调用URL过滤,URL过滤配置需要配置所有的动作都是告警。

GUI 配置

创建URL 过滤配置文件 - 选择“对象 > 安全配置文件 > URL过滤”

PS:注意开启加密流量过滤,这样可以读取SNI的域名信息。 (QUIC协议无法读取)

安全策略调用URL 配置文件 - 选择“策略 > 安全策略 > 内容安全”

然后可以去 监控 - 日志 - URL日志 查看是否生效。

URL业务日志发送 - 日志发送配置与系统日志发送配置共享

选择“系统 > 日志配置 > 日志配置”

参考文档:

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100122844&id=ZH-CN_TASK_0178928379

运维技术交流群

发送邮件到 ➡️ [email protected]

或者关注WX公众号:网工格物

微信扫码

博客(最先更新)

https://songxwn.com/


华为USG 防火墙发送会话日志和URL业务日志
https://songxwn.com/Huawei-USG-Syslog/
作者
Song
发布于
2025年2月14日
更新于
2025年2月14日
许可协议