下一代安全防護平臺設備上的日志展示一共分為四大類,包括系統(tǒng)事件、審計事件、配置審計和安全事件。有些模塊在短時間內會產生大量相同的日志,不利于用戶去查看,對此,對此類日志可以按源 IP 與目的 IP 進行合并。可以進行合并的日志包括:流量控制,防 DOS 攻擊,防火墻策略,防掃描,防 flood 攻擊,本地安全策略以及黑名單。合并周期默認 60 秒。
?
進入日志>日志管理>日志合并,如下圖:
參數(shù)說明:
全局啟用日志合并:日志合并開關。
合并周期:多少秒進行一次日志合并,默認 60 秒。
流量控制:流量控制日志合并開關。
防 DOS 攻擊:防 DOS 攻擊日志合并開關。
防火墻:防火墻策略日志合并開關。
防掃描:防掃描日志合并開關。
防 Flood 攻擊:防 Flood 攻擊日志合并開關。
本地安全策略:本地安全策略日志合并開關。
黑名單:黑名單日志合并開關。
點擊提交。
配置步驟:
- 勾選全局啟用日志合并開關。
- 配置合并周期。
- 選擇要合并的日志模塊。
- 點擊確定。
?
注意:
1、 開啟日志合并后會依據(jù)選擇的類型,若類型(源 IP、目的 IP、源+目的 IP)相同,匹配的策略 ID 相同(若策略存在 ID),匹配的策略動作相同(若策略存在動作)則會合并為同一條日志,在日志上報周期時間內都會合并為同一條日志,僅增加日志合并次數(shù)。
2、 當配置類型為源 IP 時,若日志進行了日志合并,目的 IP 字段會變?yōu)?merged,表示這條日志依據(jù)源 IP 進行了日志合并,目的 IP地址進行了合并。(目的 IP 類型時,合并日志源 IP 字段為 merged)。
