下一代安全防护平台设备上的日志展示一共分为四大类,包括系统事件、审计事件、配置审计和安全事件。有些模块在短时间内会产生大量相同的日志,不利于用户去查看,对此,对此类日志可以按源 IP 与目的 IP 进行合并。可以进行合并的日志包括:流量控制,防 DOS 攻击,防火墙策略,防扫描,防 flood 攻击,本地安全策略以及黑名单。合并周期默认 60 秒。
进入日志>日志管理>日志合并,如下图:
参数说明:
全局启用日志合并:日志合并开关。
合并周期:多少秒进行一次日志合并,默认 60 秒。
流量控制:流量控制日志合并开关。
防 DOS 攻击:防 DOS 攻击日志合并开关。
防火墙:防火墙策略日志合并开关。
防扫描:防扫描日志合并开关。
防 Flood 攻击:防 Flood 攻击日志合并开关。
本地安全策略:本地安全策略日志合并开关。
黑名单:黑名单日志合并开关。
点击提交。
配置步骤:
- 勾选全局启用日志合并开关。
- 配置合并周期。
- 选择要合并的日志模块。
- 点击确定。
注意:
1、 开启日志合并后会依据选择的类型,若类型(源 IP、目的 IP、源+目的 IP)相同,匹配的策略 ID 相同(若策略存在 ID),匹配的策略动作相同(若策略存在动作)则会合并为同一条日志,在日志上报周期时间内都会合并为同一条日志,仅增加日志合并次数。
2、 当配置类型为源 IP 时,若日志进行了日志合并,目的 IP 字段会变为 merged,表示这条日志依据源 IP 进行了日志合并,目的 IP地址进行了合并。(目的 IP 类型时,合并日志源 IP 字段为 merged)。
