华为USG 防火墙发送会话日志和URL业务日志
本文最后更新于 2025年2月14日 下午
简介
日志是FW在运行过程中产生的信息,记录了FW上各个功能模块的工作情况以及网络中各种业务的运行状态。管理员通过查看这些日志信息,实时了解FW的运转情况,掌握网络中的业务状态、安全情况和流量趋势。管理员还可以通过日志信息来进行回溯取证,定位问题等。
本文主要收集用户的上网流量日志,用于日后分析。
syslog日志服务器搭建可参考:https://songxwn.com/tags/syslog/
华为USG防火墙 支持输出多种类型的日志,每种类型的日志功能不同,具体如下:
会话日志
报文经过FW处理后将会在FW上建立会话。FW支持会话信息的输出,管理员可以根据实际需要,选择在会话老化后输出、新建会话时输出、或者定期输出会话信息。
丢包日志
报文被FW丢弃后,FW支持将报文的信息以及被丢弃的原因输出。报文被丢弃的原因包括未命中会话表而被丢弃、未通过安全策略检查而被丢弃等。
业务日志
当流量到达或通过FW时,FW会基于应用、服务等信息,对用户的各种业务流量进行业务识别和威胁管控,同时记录日志信息。FW支持输出威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤日志以及审计日志等业务日志。
系统日志
FW支持将功能模块在运行过程中产生的信息输出,管理员可以通过查阅《日志参考》来了解FW上各个功能模块产生的系统日志信息。
端口预分配日志
通过端口预分配(NAT Port Range)日志可以了解FW(CGN)上的端口预分配和增量分配的情况,也可以实现NAT溯源。
发送会话日志到Syslog 服务器
CLI 示例
安全策略开启会话日志记录
1 |
|
- session logging 为开启此安全策略记录会话日志,只要匹配就会发送(协议 源 目标 IP 和端口号等)。
指向多个syslog服务器
1 |
|
firewall log session multi-host-mode concurrent:
- 这条指令配置防火墙日志系统为多主机并发模式。这意味着日志信息可以同时发送到多个日志服务器。
firewall log host 1 172.16.0.2 514:
- 这是定义了第一个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.2的服务器的514端口(通常是syslog服务的默认端口)。
firewall log host 2 172.16.0.3 514:
- 这是定义了第二个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.3的服务器的514端口。
firewall log source 172.16.0.1 6000:
- 这配置了日志的源IP地址和端口。日志信息将从IP地址172.16.0.1的6000端口发出。这通常是防火墙设备的IP和端口,用于标识来自哪里的日志信息。
firewall log session log-type syslog:
- 这指定了日志类型为syslog。syslog是一种常用的日志协议,可以将日志信息统一传输到syslog服务器进行收集和分析。
GUI示例
选择“系统 > 日志配置 > 日志配置”
PS:与CLI 配置一样。
发送系统日志到Syslog 服务器
CLI配置发送系统日志
1 |
|
info-center enable
:- 这个命令用于启用信息中心功能。这是一项全局配置,用于允许设备收集和处理系统日志和调试信息。
info-center loghost 10.0.0.1 514
:- 此命令用于指定远程日志服务器的IP地址和端口号。在这个例子中,日志服务器的IP地址是
10.0.0.1
,使用的端口是514
。这意味着设备会将收集的日志通过网络发送到该指定的远程服务器。端口 514 是syslog协议的默认端口。
- 此命令用于指定远程日志服务器的IP地址和端口号。在这个例子中,日志服务器的IP地址是
info-center loghost source Vlanif927
:- 这个命令指定了日志消息的源接口。在这里,
Vlanif927
表示一组虚拟局域网接口(VLAN Interface 927)的设备IP地址作为发送日志的源IP。这对于在多个接口上有多个IP的设备很重要,因为它决定了从哪个接口发送日志消息。
- 这个命令指定了日志消息的源接口。在这里,
GUI配置发送系统日志
选择“系统 > 日志配置 > 日志配置”
PS:与CLI 配置一样。
开启DHCP服务器分配日志、
需要进入接口下执行, 然后这个接口网段分配的DHCP日志就会和系统日志一起发送。
1 |
|
发送业务日志到Syslog - WEB URL
需要安全策略调用URL过滤,URL过滤配置需要配置所有的动作都是告警。
GUI 配置
创建URL 过滤配置文件 - 选择“对象 > 安全配置文件 > URL过滤”
PS:注意开启加密流量过滤,这样可以读取SNI的域名信息。 (QUIC协议无法读取)
安全策略调用URL 配置文件 - 选择“策略 > 安全策略 > 内容安全”
然后可以去 监控 - 日志 - URL日志 查看是否生效。
URL业务日志发送 - 日志发送配置与系统日志发送配置共享
选择“系统 > 日志配置 > 日志配置”
参考文档:
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100122844&id=ZH-CN_TASK_0178928379
运维技术交流群
发送邮件到 ➡️ [email protected]
或者关注WX公众号:网工格物