5.0r4手冊運維管理

1、目錄第 1 章 統(tǒng)計1統(tǒng)計功能介紹1配置基于接口的統(tǒng)計功能1查看基于接口的統(tǒng)計信息1配置基于地址的統(tǒng)計功能1查看基于地址的統(tǒng)計信息2配置基于應(yīng)用的統(tǒng)計功能2查看基于應(yīng)用的統(tǒng)計信息2配置統(tǒng)計集3預(yù)定義統(tǒng)計集3自定義統(tǒng)計集4創(chuàng)建統(tǒng)計集4配置統(tǒng)計數(shù)據(jù)類型5配置數(shù)據(jù)組織方式5配置過濾條件10開啟/關(guān)閉統(tǒng)計集統(tǒng)計功能12查看統(tǒng)計集信息12導(dǎo)出統(tǒng)計信息12第 2 章 日志14日志介紹14日志的嚴(yán)重等級14日志信息輸出目的地15日志信息格式15配置系統(tǒng)日志功能15開啟和關(guān)閉日志功能16事件日志信息的輸出及過濾16配置接收事件日志信息機號碼17安全日志信息的輸出18配置、調(diào)試和網(wǎng)絡(luò)日志信息的輸出19流量日志信

2、息的輸出20配置流量日志信息輸出到文件20IPS 日志信息的輸出21NBC 日志信息的輸出23配置 Syslog Server24指定場所24設(shè)置流量日志的主機名稱/用戶名稱的顯示狀態(tài)25配置地址25配置 SMTP 實例25顯示日志配置信息26顯示日志信息26導(dǎo)出日志信息27清除日志信息27日志分布式外發(fā)27日志功能配置示例28示例 1：向 Console 口輸出事件日志信息28示例 2：向Syslog Server 輸出事件日志信息29示例 3：向本地文件輸出流量日志信息29關(guān)于本手冊手冊內(nèi)容該手冊介紹 StoneOS 的應(yīng)用控制相關(guān)功能。具體內(nèi)容包括：第 1 章：統(tǒng)計。介紹安全網(wǎng)關(guān)的統(tǒng)計功

3、能。第 2 章：日志。介紹安全網(wǎng)關(guān)的日志功能。手冊約定為方便用戶閱讀與理解，本手冊遵循以下約定：內(nèi)容約定本手冊內(nèi)容約定如下：提示：為用戶提供相關(guān)參考信息。說明：為用戶提供有助于理解內(nèi)容的說明信息。注意：如果該操作不正確，會導(dǎo)致系統(tǒng)出錯。 ：用該方式表示 Hillstone 設(shè)備 WebUI 界面上的登錄按鈕進入 Hillstone 設(shè)備的主頁”。、或者按鈕。例如，“點擊：用該方式表示W(wǎng)ebUI 界面上提供的文本信息，包括單選按鈕名稱、復(fù)選框名稱、文本框名稱、選項名稱以及文字描述。例如，“改變 MTU 值，選中單選按鈕，然后在文本框中輸入合適的值”。CLI 約定本手冊在描述 CLI 時，遵循以下

4、約定：大括?。?）：指明該內(nèi)容為必要元素。方括弧（ ）：指明該內(nèi)容為可選元素。 豎線（|）：分隔可選擇的互相排斥的選項。粗體：粗體部分為命令的關(guān)鍵字，是命令行中不可變部分，用戶必須逐字輸入。斜體：斜體部分為需要用戶提供值的參數(shù)。命令實例中，需要用戶輸入部分用粗體標(biāo)出；需要用戶提供值的變量用斜體標(biāo)出；命令實例包括不同的輸出，可能會有些許差別。命令實例中，命令提示符中的主機名稱均使用“hostname”。第 1 章 統(tǒng)計統(tǒng)計功能介紹StoneOS 的統(tǒng)計功能包括基于接口的統(tǒng)計功能、基于地址的統(tǒng)計功能、基于應(yīng)用的統(tǒng)計功能以及統(tǒng)計集功能?；诮涌诘慕y(tǒng)計功能：統(tǒng)計流經(jīng)特定接口的數(shù)據(jù)量、數(shù)據(jù)包?；诘刂返?/p>

5、統(tǒng)計功能：統(tǒng)計以特定地址為源/目的地址的數(shù)據(jù)量、數(shù)據(jù)包?；趹?yīng)用的統(tǒng)計功能：統(tǒng)計屬于特定應(yīng)用的數(shù)據(jù)量、數(shù)據(jù)包。統(tǒng)計集：統(tǒng)計流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)量。配置基于接口的統(tǒng)計功能StoneOS 的基于接口的統(tǒng)計功能是一直處于開啟狀態(tài)的，用戶不能關(guān)閉?；诮涌诘慕y(tǒng)計功能可以統(tǒng)計指定接口前 60 秒每 5 秒的流量統(tǒng)計信息、前 60 分鐘每分鐘的流量統(tǒng)計信息和前 24小時每小時的流量統(tǒng)計信息。查看基于接口的統(tǒng)計信息在任何模式下，使用以下命令查看指定接口的流量統(tǒng)計信息：show s| houristicserface-countererfaceerface-name second | minuteerface-

6、name 指定接口名稱。 指定顯示接口前 60 秒鐘每 5 秒的流量統(tǒng)計信息。 指定顯示接口前 60 分鐘每分鐘的流量統(tǒng)計信息。指定顯示接口前 24 小時每小時的流量統(tǒng)計信息。secondminutehour 配置基于地址的統(tǒng)計功能基于地址的統(tǒng)計功能可以統(tǒng)計指定地址的即時流量統(tǒng)計信息、前 60 分鐘每 30 秒的流量統(tǒng)計信息、前 24 小時每 10 分鐘的流量統(tǒng)計信息和前 30 天每天的流量統(tǒng)計信息。StoneOS 的基于地址的統(tǒng)計功能默認(rèn)處于關(guān)閉狀態(tài)。開啟該功能，在全局配置模式下，使用以下命令：sistics address address-entry-name1address-entry-

7、name 指定地址條目名稱。使用該命令 no 的形式關(guān)閉基于指定地址的統(tǒng)計功能：no sistics address address-entry-name查看基于地址的統(tǒng)計信息在任何模式下，使用以下命令查看基于地址的流量統(tǒng)計信息：show sistics address address-entry-name current | lasthour | lastday| lastmonthaddress-entry-name 指定地址條目名稱。如果不指定該參數(shù)，該命令將顯示系統(tǒng)中所有被統(tǒng)計功能所地址條目的流量統(tǒng)計信息。current 指定顯示地址條目的即時流量統(tǒng)計信息。lasthour 指定顯示地

8、址條目前 60 分鐘每 30 秒的流量統(tǒng)計信息。lastday 指定顯示地址條目前 24 小時每 10 分鐘的流量統(tǒng)計信息。lastmonth 指定顯示地址條目前 30 天每天的流量統(tǒng)計信息。配置基于應(yīng)用的統(tǒng)計功能基于應(yīng)用的統(tǒng)計功能可以統(tǒng)計指定應(yīng)用的即時流量統(tǒng)計信息、前 60 分鐘每 30 秒的流量統(tǒng)計信息、前 24 小時每 10 分鐘的流量統(tǒng)計信息和前 30 天每天的流量統(tǒng)計信息。StoneOS 的基于應(yīng)用的統(tǒng)計功能默認(rèn)處于關(guān)閉狀態(tài)。開啟該功能，在全局配置模式下，使用以下命令：sistics application-groupapplication-group-nameapplication

9、-group-name 指定服務(wù)組名稱。使用該命令 no 的形式關(guān)閉基于應(yīng)用的統(tǒng)計功能：no sistics application-group查看基于應(yīng)用的統(tǒng)計信息在任何模式下，使用以下命令查看基于應(yīng)用的流量統(tǒng)計信息：show sistics application-group application-group-name current |lasthour | lastday | lastmonthapplication-group-name 指定應(yīng)用組名稱。如果不指定該參數(shù)，該命令將顯示系統(tǒng)中所有被流量統(tǒng)計功能所應(yīng)用組的流量統(tǒng)計信息。current 指定顯示應(yīng)用組的即時流量統(tǒng)計信息。la

10、sthour 指定顯示應(yīng)用組前 60 分鐘每 30 秒的流量統(tǒng)計信息。lastday 指定顯示應(yīng)用組前 24 小時每 10 分鐘的流量統(tǒng)計信息。2lastmonth 指定顯示應(yīng)用組前 30 天每天的流量統(tǒng)計信息。配置統(tǒng)計集StoneOS 的統(tǒng)計集功能可以對所有流經(jīng)安全網(wǎng)關(guān)的數(shù)據(jù)進行統(tǒng)計。配置統(tǒng)計集功能后，用戶可以查的或者一定統(tǒng)計周期內(nèi)，基于不同的統(tǒng)計數(shù)據(jù)類型以及數(shù)據(jù)組織方式的系統(tǒng)統(tǒng)計信息，并且可以根據(jù)不同需求過濾統(tǒng)計信息，從而幫助用戶更加詳細(xì)和精確地了解系統(tǒng)的資源分配及網(wǎng)絡(luò)安全狀態(tài)。目前，系統(tǒng)可統(tǒng)計 1 小時、24 小時或者 30 天內(nèi)的統(tǒng)計信息；系統(tǒng)可統(tǒng)計的數(shù)據(jù)類型包括：流量、會話、新建會話

11、數(shù)速率、速率、個數(shù)、次數(shù)、URL 命中次數(shù)、關(guān)鍵字阻斷次數(shù)和應(yīng)用阻斷次數(shù)；支持的數(shù)據(jù)組織方式包括：IP、接口、安全域、類型、應(yīng)用、用戶、用戶數(shù)（內(nèi)網(wǎng)發(fā)起會話的 IP 個數(shù)）、特征 ID、URL、URL 類別、關(guān)鍵字和阻斷類型。提示：Web 界面可以更加直觀的顯示統(tǒng)計集的數(shù)據(jù)信息，因此建議用戶通過 WebUI 配置統(tǒng)計集功能和查看統(tǒng)計結(jié)果，不建議使用CLI。預(yù)定義統(tǒng)計集StoneOS 提供多種預(yù)定義統(tǒng)計集。用戶可在統(tǒng)計集配置模式下使用 active 命令開啟預(yù)定義統(tǒng)計集，不需要做任何設(shè)置就可以查看自己所關(guān)注的系統(tǒng)統(tǒng)計數(shù)據(jù)。下表列出了所有預(yù)定義統(tǒng)計集和其相應(yīng)描述。表 1：StoneOS 預(yù)定義統(tǒng)計

12、集列表3類別名稱描述流量predef_zone_ bw統(tǒng)計所有安全域的流量。predef_if_bw統(tǒng)計所有接口的流量。predef_user_bw統(tǒng)計所有用戶的流量。predef_app_bw統(tǒng)計所有應(yīng)用的流量。predef_zone_sess統(tǒng)計所有安全域的會話數(shù)。predef_if_sess統(tǒng)計所有接口的會話數(shù)。predef_user_sess統(tǒng)計所有用戶的會話數(shù)。predef_app_sess統(tǒng)計所有應(yīng)用的會話數(shù)。predef_user_app_bw統(tǒng)計所有用戶下應(yīng)用的流量。predef_exs_bw統(tǒng)計所選地址簿或應(yīng)用組的流量predef_exs_sess統(tǒng)計所選地址簿或應(yīng)用組的會話

13、數(shù)自定義統(tǒng)計集StoneOS 允許用戶自定義統(tǒng)計集，從而幫助用戶更加靈活地配置自己需要的統(tǒng)計集。自定義統(tǒng)計集配置包括：創(chuàng)建統(tǒng)計集配置統(tǒng)計數(shù)據(jù)類型配置數(shù)據(jù)組織方式配置過濾條件創(chuàng)建統(tǒng)計集創(chuàng)建統(tǒng)計集，在全局模式下使用以下命令：sistics-set name4predef_vir_num統(tǒng)計所有類型的數(shù)。predef_app_vir統(tǒng)計所有應(yīng)用的數(shù)。predef_user_vir統(tǒng)計所有用戶的數(shù)。predef_user_app_vir統(tǒng)計所有用戶下應(yīng)用的數(shù)。predef_ad_num統(tǒng)計所有類型的次數(shù)。predef_ip_ad統(tǒng)計所有 IP 的次數(shù)或者被次數(shù)。predef_ip_dip_ad統(tǒng)計所有

14、源 IP 到目的 IP 的次數(shù)。predef_ips_num統(tǒng)計所有特征 ID 的次數(shù)。predef_ip_ips統(tǒng)計所有 IP 的次數(shù)或者被次數(shù)。predef_ip_dip_ips統(tǒng)計所有IP 到被IP 的次數(shù)。網(wǎng)絡(luò)行為控制predef_url_hit統(tǒng)計 URL 命中次數(shù)。predef_user_url統(tǒng)計用戶URL 的次數(shù)。predef_url_cat_hit統(tǒng)計 URL 類別中次數(shù)。predef_user_url_cat_hit統(tǒng)計用戶URL 類別的次數(shù)。predef_kw_block統(tǒng)計所有網(wǎng)頁關(guān)鍵字/郵件過濾關(guān)鍵字/Web 外發(fā)信息關(guān)鍵字的阻斷次數(shù)。predef_user_kw_b

15、lock統(tǒng)計用戶的關(guān)鍵字阻斷次數(shù)。predef_user_kw_kw_block統(tǒng)計用戶下各關(guān)鍵字的阻斷次數(shù)。predef_app_block統(tǒng)計所有應(yīng)用的阻斷次數(shù)。predef_user_app_block統(tǒng)計用戶的應(yīng)用阻斷次數(shù)。predef_user_app_app_block統(tǒng)計用戶下各應(yīng)用的阻斷次數(shù)。name 指定統(tǒng)計集名稱，范圍為 1 到 31 個字符。執(zhí)行該命令后，系統(tǒng)創(chuàng)建指定名稱的統(tǒng)計集并且進入統(tǒng)計集配置模式；如果指定的統(tǒng)計集名稱已存在，則直接進入統(tǒng)計集配置模式。在全局配置模式下，使用該命令no 的形式刪除指定統(tǒng)計集：no sistics-set name配置統(tǒng)計數(shù)據(jù)類型統(tǒng)計集的

16、統(tǒng)計數(shù)據(jù)類型包括帶寬、會話、新建會話速率、速率、個數(shù)、次數(shù)、URL命中次數(shù)、關(guān)鍵字阻斷次數(shù)和應(yīng)用阻斷次數(shù)。配置統(tǒng)計數(shù)據(jù)類型，在統(tǒng)計集配置模式下使用以下命令：-data bandwidth | ses| rup-rate | attack-rate |-num|ru| url-hit | keyword-block | application-block record-historybandwidth | ses| rup-rate | attack-rate |-num |ru| url-hit | keyword-block | application-block 指定統(tǒng)計集的統(tǒng)計數(shù)據(jù)類型。

17、可以為帶寬（bandwidth）、會話（ses）、新建會話速率（rup-rate）、速率（attack-rate）、個數(shù)（-num）、次數(shù)（ru）或者 URL 命中次數(shù)（url-hit）、關(guān)鍵字阻斷次數(shù)（keyword-block）或者應(yīng)用阻斷次數(shù)（application-block）。最近 5 分鐘和最近 24 小時內(nèi)的統(tǒng)計數(shù)據(jù)。record-history 在統(tǒng)計集配置模式下，使用該命令no 的形式取消指定統(tǒng)計集統(tǒng)計數(shù)據(jù)類型的配置：-datano注意：配置統(tǒng)計集時，個數(shù)統(tǒng)計數(shù)據(jù)類型僅對安裝有次數(shù)統(tǒng)計數(shù)據(jù)類型僅對安裝有IPS過濾證的用戶可用。證的用戶可用。URL 命中次數(shù)統(tǒng)計數(shù)據(jù)類型僅對安裝

18、有 URL證的用戶可用。配置數(shù)據(jù)組織方式統(tǒng)計集的數(shù)據(jù)組織方式包括IP、接口、安全域、類型、應(yīng)用、用戶、特征 ID、URL、URL 類別、關(guān)鍵字和關(guān)鍵字阻斷類型。可配置的數(shù)據(jù)組織方式會根據(jù)統(tǒng)計數(shù)據(jù)類型的不同而不同。配置數(shù)據(jù)組織方式，在統(tǒng)計集配置模式下使用以下命令：group-by ip directional initiator |zone-name | not-belong-to-zone zone-nameresponder | belong-to-zone| belong-to-erfaceerface-name | not-belong-to-erfaceerface-nameerfac

19、edirectionalzonedirectionalapplicationattack-typedirectionalsig-idurlurl-categorykeywordblock-typeuser5ip 指定統(tǒng)計集的數(shù)據(jù)組織方式為 IP 地址。用戶可以通過 initiator | responder |belong-to-zonezone-name|not-belong-to-zonezone-name|belong-to-erfaceerface-name|not-belong-to-erfaceerface-name 參數(shù)指定被統(tǒng)計 IP 的范圍，可以是發(fā)起會話的 IP（initi

20、ator），接收會話的 IP（responder），屬于某特定安全域的 IP（belong-to-zone zone-name），不屬于某特定安全域的 IP（not-belong-to-zone zone-name），屬于某特定接口的 IPerface-name ） 或 者不 屬于 某特 定接 口的 IPerface-name）。（ belong-to-erface（not-belong-to-erfacedirectional 指定統(tǒng)計結(jié)果為雙向的，即統(tǒng)計以 IP、接口或者安全域為數(shù)據(jù)組織方式時的上行和下行帶寬、接收和發(fā)送會話數(shù)、接收和發(fā)送新建會話速率；如不配置，系統(tǒng)默認(rèn)統(tǒng)計結(jié)果為無方向的，

21、即統(tǒng)計以 IP、接口或者安全域為數(shù)據(jù)組織方式的所有帶寬、會話或者新建會話速率。erface 指定統(tǒng)計集的數(shù)據(jù)組織方式為接口。zone 指定統(tǒng)計集的數(shù)據(jù)組織方式為安全域。application 指定統(tǒng)計集的數(shù)據(jù)組織方式為應(yīng)用，此時的統(tǒng)計數(shù)據(jù)類型不可以為速率、URL 命中次數(shù)和關(guān)鍵字阻斷次數(shù)。attack-type 指定統(tǒng)計集的數(shù)據(jù)組織方式為擊速率。類型，此時的統(tǒng)計數(shù)據(jù)類型只能為攻 指定統(tǒng)計集的數(shù)據(jù)組織方式為，此時的統(tǒng)計數(shù)據(jù)類型只能為個數(shù)。user 指定統(tǒng)計集的數(shù)據(jù)組織方式為用戶。sig-id - 指定統(tǒng)計集的數(shù)據(jù)組織方式為特征 ID，此時的統(tǒng)計數(shù)據(jù)類型只能為次數(shù)。url - 指定統(tǒng)計集的數(shù)據(jù)組織

22、方式為 URL，此時的統(tǒng)計數(shù)據(jù)類型只能為 URL 命中次數(shù)。url-category - 指定統(tǒng)計集的數(shù)據(jù)組織方式為 URL 類別，此時的統(tǒng)計數(shù)據(jù)類型只能為URL 命中次數(shù)。keyword - 指定統(tǒng)計集的數(shù)據(jù)組織方式為關(guān)鍵字，此時的統(tǒng)計數(shù)據(jù)類型只能為關(guān)鍵字阻斷次數(shù)。block-type - 指定統(tǒng)計集的數(shù)據(jù)組織方式為關(guān)鍵字阻斷類型，此時的統(tǒng)計數(shù)據(jù)類型只能為關(guān)鍵字阻斷次數(shù)。在統(tǒng)計集配置模式下，使用該命令no 的形式取消指定統(tǒng)計集數(shù)據(jù)組織方式的配置：no group-by表 2 列出了以 IP 為數(shù)據(jù)組織方式時的數(shù)據(jù)統(tǒng)計信息，表 3 列出了以接口、安全域、應(yīng)用、病6毒、類型、用戶、特征 ID、U

23、RL、URL 類別、關(guān)鍵字和關(guān)鍵字阻斷類型為數(shù)據(jù)組織方式時的數(shù)據(jù)統(tǒng)計信息：表 2：基于 IP 的信息統(tǒng)計列表7方式條件統(tǒng)計數(shù)據(jù)類型帶寬會話新建會話速率個數(shù)速率次數(shù)URL 命中次數(shù)關(guān)鍵字阻斷次數(shù)應(yīng)用阻斷次數(shù)無方向發(fā)起者(initiator)統(tǒng)計發(fā)起會話 IP 的帶寬統(tǒng)計發(fā)起會話 IP 的會話個數(shù)統(tǒng)計發(fā)起會話 IP 的新建會話速率統(tǒng)計 IP 的個數(shù)統(tǒng)計 IP 的速率和被速率統(tǒng)計 IP 的網(wǎng)絡(luò)次數(shù)統(tǒng)計 IP 的 URL 命中次數(shù)統(tǒng)計 IP的關(guān)鍵字阻斷次數(shù)統(tǒng)計 IP 的應(yīng)用阻斷次數(shù)回應(yīng)者(responder)統(tǒng)計接收會話 IP 的帶寬統(tǒng)計接收會話 IP 的會話個數(shù)統(tǒng)計接收會話 IP 的新建會話速率屬于

24、安全域 (belong to zone)統(tǒng)計屬于某安全域的IP 的帶寬統(tǒng)計屬于某安全域的IP 的會話數(shù)統(tǒng)計屬于某安全域的IP 的新建會話速率不屬于安全域(not belong to zone)統(tǒng)計不屬于某安全域的 IP 的帶寬統(tǒng)計不屬于某安全域的 IP 的會話數(shù)統(tǒng)計不屬于某安全域的 IP 的新建會話速率屬于接口(belong to erface)統(tǒng)計屬于某接口的 IP 的帶寬統(tǒng)計屬于某接口的 IP 的會話數(shù)統(tǒng)計屬于某接口的 IP 的新建會話速率不屬于接口 (not belong toerface)統(tǒng)計不屬于某接口的IP 的帶寬統(tǒng)計不屬于某接口的IP 的會話數(shù)統(tǒng)計不屬于某接口的IP 的新建會話速

25、率雙向發(fā)起者(initiator)統(tǒng)計發(fā)起會話 IP 的上行和下行帶寬統(tǒng)計發(fā)起會話 IP 的接收和發(fā)送會話個數(shù)統(tǒng)計發(fā)起會話 IP 的接收和發(fā)送新建會話速率回應(yīng)者統(tǒng)計接收統(tǒng)計接收統(tǒng)計接收表 3：基于接口/安全域/應(yīng)用/計列表/類型/用戶/特征 ID/URL/URL 類別/關(guān)鍵字/關(guān)鍵字阻斷類型的信息統(tǒng)8組織方式方式統(tǒng)計數(shù)據(jù)類型帶寬會話新建會話速率個數(shù)速率次數(shù)URL 命中次數(shù)關(guān)鍵字阻斷次數(shù)應(yīng)用阻斷次數(shù)接口無方向統(tǒng)計接口的帶寬統(tǒng)計接口的會話個數(shù)統(tǒng)計接口的新建會話速率統(tǒng)計接口的 個數(shù)統(tǒng)計接口的 速率統(tǒng)計接口的網(wǎng)絡(luò)入侵次數(shù)N/AN/AN/A雙向統(tǒng)計接口的上行和統(tǒng)計接口的接收和統(tǒng)計接口的接收和方式條件統(tǒng)計

26、數(shù)據(jù)類型帶寬會話新建會話速率個數(shù)速率次數(shù)URL 命中次數(shù)關(guān)鍵字阻斷次數(shù)應(yīng)用阻斷次數(shù)(responder)會話 IP 的上行和下行帶寬會話 IP 的接收和發(fā)送會話個數(shù)會話 IP 的接收和發(fā)送新建會話速率屬于安全域 (belong to zone)統(tǒng)計屬于某安全域的IP 的上行和下行帶寬統(tǒng)計屬于某安全域的IP 的接收和發(fā)送會話個數(shù)統(tǒng)計屬于某安全域的IP 的接收和發(fā)送新建會話速率不屬于安全域(not belong to zone)統(tǒng)計不屬于某安全域的 IP 的上行和下行帶寬統(tǒng)計不屬于某安全域的 IP 的接收和發(fā)送會話個數(shù)統(tǒng)計不屬于某安全域的 IP 的接收和發(fā)送新建會話速率屬于接口(belong to

27、 erface)統(tǒng)計屬于某接口的 IP 的上行和下行帶寬統(tǒng)計屬于某接口的 IP 的接收和發(fā)送會話個數(shù)統(tǒng)計屬于某接口的 IP 的接收和發(fā)送新建會話速率不屬于接口 (not belong toerface)統(tǒng)計不屬于某接口的 IP 的上行和下行帶寬統(tǒng)計不屬于某接口的 IP 的接收和發(fā)送會話個數(shù)統(tǒng)計不屬于某接口的 IP 的接收和發(fā)送新建會話速率9組織方式方式統(tǒng)計數(shù)據(jù)類型帶寬會話新建會話速率個數(shù)速率次數(shù)URL 命中次數(shù)關(guān)鍵字阻斷次數(shù)應(yīng)用阻斷次數(shù)下行帶寬發(fā)送會話個數(shù)發(fā)送新建會話速率安全域無方向統(tǒng)計安全域的帶寬統(tǒng)計安全域的會話個數(shù)統(tǒng)計安全域的新建會話速率統(tǒng)計安全域的個數(shù)統(tǒng)計安全域的速率統(tǒng)計安全域的網(wǎng)絡(luò)次數(shù)

28、N/AN/AN/A雙向統(tǒng)計安全域的上行和下行帶寬統(tǒng)計安全域的接收和發(fā)送會話個數(shù)統(tǒng)計安全域的接收和發(fā)送新建會話速率應(yīng)用N/A統(tǒng)計應(yīng)用的帶寬統(tǒng)計應(yīng)用的會話個數(shù)統(tǒng)計應(yīng)用的新建會話速率統(tǒng)計應(yīng)用的 個數(shù)N/A統(tǒng)計應(yīng)用的網(wǎng)絡(luò)入侵次數(shù)N/AN/A統(tǒng)計應(yīng)用的應(yīng)用阻斷次數(shù)N/AN/AN/AN/A統(tǒng)計的個數(shù)N/AN/AN/AN/AN/A類型N/AN/AN/AN/AN/A統(tǒng)計類型的攻擊速率N/AN/AN/AN/A用戶無方向統(tǒng)計用戶的帶寬統(tǒng)計用戶的會話個數(shù)統(tǒng)計用戶的新建會話速率統(tǒng)計用戶的 個數(shù)N/A統(tǒng)計用戶的網(wǎng)絡(luò)入侵次數(shù)統(tǒng)計用戶的URL 命中次數(shù)統(tǒng)計用戶的關(guān)鍵字阻斷次數(shù)統(tǒng)計用戶的應(yīng)用阻斷次數(shù)雙向統(tǒng)計用戶的上行和下行帶

29、寬特征 IDN/AN/AN/AN/AN/AN/A統(tǒng)計特征ID 的網(wǎng)絡(luò)次數(shù)N/AN/AN/AURLN/AN/AN/AN/AN/AN/AN/A統(tǒng)計 URL的URL 命中次數(shù)N/AN/AURL 類別N/AN/AN/AN/AN/AN/AN/A統(tǒng)計 URL類別的 URL 命中次數(shù)N/AN/A關(guān)鍵字N/AN/AN/AN/AN/AN/AN/AN/A統(tǒng)計關(guān)鍵字的關(guān)鍵字阻斷次N/A配置過濾條件用戶可以為統(tǒng)計集配置過濾條件，以統(tǒng)計特定條件下的數(shù)據(jù)信息，比如統(tǒng)計某個特定安全域的會話數(shù)、統(tǒng)計某個特定目的 IP 的帶寬等等。表 4 列出了 StoneOS 統(tǒng)計集功能的所有過濾條件類型。表 4：StoneOS 統(tǒng)計集過濾

30、條件類型列表配置過濾條件，在統(tǒng)計集配置模式下，使用以下命令：filter ip A.B.C.D/M | address-entry sourcename ingress | egress | zone name ingress | destination |erfaceegress | application name| attack-type name| service name | role name | user user-name aaa-server-name| user-group user-group-name aaa-server-nameip A.B.C.D/M | addr

31、ess-entry 以指定 IP 為條件進行過濾。IP 可以是地址范圍（比如 或者 /24）或者系統(tǒng)地址簿中的地址10類型描述Filter ip以 IP 為條件進行過濾Filter ip source以源 IP 為條件進行過濾Filter ip destination以目的 IP 為條件進行過濾Filtererface以接口為條件進行過濾Filtererface ingress以入接口為條件進行過濾Filtererface egress以出接口為條件進行過濾Filter zone以安全域為條件進行過濾Filter zone ingress以入安全域為條件進行過濾Filter zone egre

32、ss以出安全域為條件進行過濾Filter application以應(yīng)用為條件進行過濾Filter attack-type以類型為條件進行過濾Filter role以角色名稱為條件進行過濾Filter user以用戶名稱為條件進行過濾Filter user-group以用戶組名稱為條件進行過濾組織方式方式統(tǒng)計數(shù)據(jù)類型帶寬會話新建會話速率個數(shù)速率次數(shù)URL 命中次數(shù)關(guān)鍵字阻斷次數(shù)應(yīng)用阻斷次數(shù)數(shù)關(guān)鍵字阻斷類型N/AN/AN/AN/AN/AN/AN/AN/A統(tǒng)計關(guān)鍵字阻斷類型的關(guān)鍵字阻斷次數(shù)N/A條目。source|destination 以源IP 地址（source）或者目的 IP 地址（desti

33、nation）為條件進行過濾。erface name 以指定接口為條件進行過濾。ingress | egress 以入接口（ingress）或出接口（egress）為條件進行過濾。zone name 以指定安全域為條件進行過濾。ingress | egress 以入安全域（ingress）或出安全域（egress）為條件進行過濾。application name 以指定應(yīng)用為條件進行過濾。attack-type name 以指定類型為條件進行過濾。service name 以指定服務(wù)類型為條件進行過濾。name 以指定角色名稱為條件進行過濾。user-name aaa-server-name

34、以指定用戶名稱為條件進行過濾。roleuseruser-group user-group-name aaa-server-name 以指定用戶組名稱為條件進行過濾。用戶可以配置多條該命令，添加多個過濾條件。系統(tǒng)最多允許每個統(tǒng)計集配置 32 條過濾條件。如果為同一個統(tǒng)計集配置的多個過濾條件屬于同一類型，那么這些過濾條件之間為邏輯“或”（or）的關(guān)系；如果分屬不同類型，那么這些過濾條件之間為邏輯“與”（and）的關(guān)系。在統(tǒng)計集配置模式下，使用該命令no 的形式刪除指定類型的過濾條件：no filter ip A.B.C.D/M | address-entry source | destinatio

35、n |erfacename ingress | egress | zone name ingress | egress | application name| attack-type name | service name | role name | user user-name aaa-server-name| user-group user-group-name aaa-server-name取消所有類型的過濾條件，在統(tǒng)計集配置模式下使用以下命令：no filter all注意：配置統(tǒng)計集時，如果統(tǒng)計數(shù)據(jù)類型為帶寬、會話、新建會話速率、個數(shù)、次數(shù)、URL 命中次數(shù)、類型。關(guān)鍵字阻斷次數(shù)或者

36、應(yīng)用阻斷次數(shù)，則相應(yīng)的過濾條件不能為如果統(tǒng)計數(shù)據(jù)類型為速率或者URL 命中次數(shù)，則相應(yīng)的過濾條件不能為應(yīng)用和服務(wù)。如果統(tǒng)計數(shù)據(jù)類型為關(guān)鍵字阻斷次數(shù)或應(yīng)用阻斷次數(shù)，則相應(yīng)的過濾條件不能為應(yīng)用。如果數(shù)據(jù)組織方式為應(yīng)用，則相應(yīng)的過濾條件不能為類型。如果數(shù)據(jù)組織方式為類型，則相應(yīng)的過濾條件不能為應(yīng)用和服務(wù)。11開啟/關(guān)閉統(tǒng)計集統(tǒng)計功能默認(rèn)情況下，僅流量預(yù)定義統(tǒng)計集為開啟狀態(tài)，其他所有預(yù)定義統(tǒng)計集的統(tǒng)計功能均為關(guān)閉狀態(tài)。在統(tǒng)計集配置模式下，使用以下命令開啟或關(guān)閉統(tǒng)計集的統(tǒng)計功能：開啟：active關(guān)閉：no active查看統(tǒng)計集信息用戶可以在任何模式下通過以下命令查看系統(tǒng)預(yù)定義和用戶自定義統(tǒng)計集的配置

37、信息：show sistics-set name current | history | history-max sort-by up| item|downshow sistics-set 顯示系統(tǒng)中所有統(tǒng)計集的配置信息。name 指定統(tǒng)計集名稱，顯示特定統(tǒng)計集的配置信息。current | history | history-max 指定顯示特定統(tǒng)計集的數(shù)據(jù)統(tǒng)計信息，包括：current 顯示特定統(tǒng)計集的當(dāng)前數(shù)據(jù)統(tǒng)計信息。history 顯示特定統(tǒng)計集的歷史數(shù)據(jù)統(tǒng)計信息。系統(tǒng)以每 5 分鐘為樣。進行數(shù)據(jù)采history-max 顯示特定統(tǒng)計集的歷史數(shù)據(jù)峰值統(tǒng)計信息。該參數(shù)僅用于統(tǒng)計數(shù)據(jù)類型為

38、會話（sessort-by up | down列）：）的統(tǒng)計集。| item 指定特定統(tǒng)計集統(tǒng)計數(shù)據(jù)的排列順序（從大到小排up - 按上行數(shù)據(jù)進行排序。down 當(dāng)配置 group-by 時指定了 directional 參數(shù)，使用該參數(shù)按下行數(shù)據(jù)進行排序。item - 按照 group-by 的對象進行排序。導(dǎo)出統(tǒng)計信息用戶可以導(dǎo)出統(tǒng)計數(shù)據(jù)類型為會話（ses的地包括FTP 服務(wù)器、TFTP 服務(wù)器和 U 盤。）的統(tǒng)計集的歷史數(shù)據(jù)峰值統(tǒng)計信息，導(dǎo)出的目導(dǎo)出歷史數(shù)據(jù)峰值統(tǒng)計信息到FTP 服務(wù)器，在執(zhí)行模式使用以下命令：export sistics-set name history-max sor

39、t-by up | down | item to ftpserver ip-address user user-name password password file-name | file-namename 指定統(tǒng)計集名稱，導(dǎo)出特定統(tǒng)計集的統(tǒng)計數(shù)據(jù)。12sort-by up | down | item 指定導(dǎo)出的統(tǒng)計數(shù)據(jù)的排列順序。ip-address 指定 FTP 服務(wù)器的 IP 地址。user user-name password password 指定file-name 指定導(dǎo)出的統(tǒng)計信息文件的名稱。FTP 服務(wù)器的用戶名和。導(dǎo)出歷史數(shù)據(jù)峰值統(tǒng)計信息到 TFTP 服務(wù)器，在執(zhí)行模式下使

40、用以下命令：export sistics-set name history-max sort-by up | down | item to tftpserver ip-address file-name導(dǎo)出歷史數(shù)據(jù)峰值統(tǒng)計信息到U 盤，在執(zhí)行模式下使用以下命令：export sistics-set name history-max sort-by up | down | item to usb0file-name|usb113第 2 章 日志日志介紹Hillstone 山石網(wǎng)科多核安全網(wǎng)關(guān)擁有日志管理功能。StoneOS 的日志功能并輸出安全網(wǎng)關(guān)的各種日志信息，分別是事件（Event）、安全（

41、Security）、配置（Configuration）、網(wǎng)絡(luò)（Network）、流量（Traffic）和調(diào)試（Debug）信息。事件 事件日志信息，包括錯誤、警告、通告、信息、緊急、警報、嚴(yán)重和調(diào)試 8 個級別的系統(tǒng)事件信息。關(guān)于日志信息級別，請參考日志的嚴(yán)重等級一節(jié)。安全 安全日志信息，與系統(tǒng)安全相關(guān)的日志信息，例如防護和應(yīng)用安全等。IPS IPS 日志信息，與網(wǎng)絡(luò)防御系統(tǒng)相關(guān)的日志信息。配置網(wǎng)絡(luò)NBC網(wǎng)頁流量調(diào)試配置日志信息，與 CLI 配置相關(guān)的日志信息，例如接口配置等。網(wǎng)絡(luò)日志信息，與網(wǎng)絡(luò)服務(wù)操作相關(guān)的日志信息，例如 PPPoE 以及DDNS 等。NBC 日志信息，與網(wǎng)絡(luò)行為控制相關(guān)的

42、日志信息，例如用戶的 MSN 聊天內(nèi)容以及情況等。流量日志信息，與流量相關(guān)的日志信息，例如流量對策略規(guī)則的匹配情況。系統(tǒng)調(diào)試信息。關(guān)于調(diào)試信息的具體信息，請參閱本章的系統(tǒng)調(diào)試功能一節(jié)。StoneOS 的多種日志信息能夠有效的設(shè)備的運行情況，從而為用戶分析網(wǎng)絡(luò)情況和防護網(wǎng)絡(luò)提供依據(jù)。日志的嚴(yán)重等級StoneOS 的事件日志信息根據(jù)日志信息的嚴(yán)重程度區(qū)分的。系統(tǒng)日志的嚴(yán)重等級可分為8 級，關(guān)于各級的具體信息，請參閱下表：表 5：日志信息級別14級別級別號描述日志定義緊急（Emergencies）0系統(tǒng)不可用信息。LOG_EMERG警報（Alerts）1需要立即處理的信息，如設(shè)備受到等。LOG_AL

43、ERT嚴(yán)重（Critical）2危急信息，如硬件出錯。LOG_CRIT錯誤（Errors）3錯誤信息。LOG_ERR警告（Warnings）4信息。LOG_WARNING日志信息輸出目的地日志信息可以輸出到不同的目的地，安全網(wǎng)關(guān)支持以下幾種日志信息輸出目的地，用戶可以根據(jù)自己的需要指定：Console - Console 端口終端。終端（Remote） 包括net 和 SSH 兩種終端。內(nèi)存緩存（Buffer）- 內(nèi)存緩存。文件（File） 默認(rèn)情況下，StoneOS 會生成一個文件息輸出到 USB 口的文件中。日志信息，用戶可以指定將信系統(tǒng)（Syslog Server）- 系統(tǒng)可以將日志信息

44、發(fā)往 UNIX 或Windows Syslog Server。地址將日志到某個郵件地址。本地數(shù)據(jù)庫（Localdb）- 將日志到本地數(shù)據(jù)庫。本地數(shù)據(jù)庫存在于設(shè)備中，包括 SD卡、U 盤和Hillstone 山石網(wǎng)科提供的擴展模塊。- 將告警日志信息以的形式發(fā)送到某個上。事件日志信息可以輸出到除本地數(shù)據(jù)庫以外的其它目的地，安全日志信息可以輸出到除和本地數(shù)據(jù)庫以外的其它目的地，流量日志可以輸出到 Console、內(nèi)存緩存、系統(tǒng)日志服務(wù)器和文件，而網(wǎng)絡(luò)和調(diào)試日志信息只能輸出到 Console、內(nèi)存緩存和系統(tǒng)日志服務(wù)器。NBC 日志可以輸出到除以外的其它目的地。關(guān)于NBC 日志的詳細(xì)信息，請參閱日志管

45、理。日志信息格式為方便用戶查閱和分析系統(tǒng)日志信息，StoneOS 按照固定的格式輸出日志信息。該格式為：時間，級別模塊：日志描述。請參閱以下示例：2000-02-05 01:51:21, WARNINGLOGIN: Admin user hillstone logged in through console from localhost.配置系統(tǒng)日志功能通過 CLI，用戶可以對系統(tǒng)日志功能做以下配置：開啟和關(guān)閉日志功能事件日志信息的輸出及過濾15通告（Notifications）5非錯誤信息，但需要特殊處理。LOG_NOTICE信息（Informational）6通知信息。LOG_INFO調(diào)試

46、（Debugging）7調(diào)試信息，包括正常的使用信息。LOG_DEBUG安全日志信息的輸出流量、調(diào)試和網(wǎng)絡(luò)日志信息的輸出調(diào)試日志信息的輸出配置Syslog Server指定場所配置地址配置 SMTP 實例顯示日志配置相關(guān)信息導(dǎo)出日志信息清除日志信息開啟和關(guān)閉日志功能默認(rèn)情況量日志功能是關(guān)閉的（打開流量日志功能會影響系統(tǒng)性能）。開啟或者關(guān)閉系統(tǒng)的各種日志功能，請在全局配置模式下輸入以下命令：開啟：logging event | security | configuration | network | trafficses| nat | web-surfing | debug | ips on關(guān)閉

47、：no logging event | security | configuration | network | trafficses| nat | web-surfing | debug | ips on事件日志信息的輸出及過濾用戶可以根據(jù)需要指定事件日志信息的輸出目的地，并且按照日志信息的嚴(yán)重級別對輸出信息進行過濾。將事件日志信息輸出到 console、終端、系統(tǒng)日志服務(wù)器、或者使用事件日志提醒功能，并且對日志信息進行過濾，在全局配置模式下使用以下命令：logging event to console | remote | syslog| sms |severity-level sever

48、ityconsole 指定將事件日志信息輸出到 console 口。remote 指定將事件日志信息輸出到終端。syslog 指定將事件日志信息輸出到 Syslog Server。關(guān)于如何配置 Syslog Server，請參閱配置 Syslog Server 一節(jié)。sms 指定將嚴(yán)重等級在嚴(yán)重（Critical）以上的事件日志信息以的形式輸出到某個。關(guān)于如何設(shè)置號碼，請參閱配置接收事件日志信息機號碼一節(jié)。16 使用事件日志地址一節(jié)。提醒功能。關(guān)于如何配置地址，請參閱配置 severity severity-level 指定輸出的事件日志信息的級別從而對事件日志信息進行過濾。日志信息的級別和對

49、應(yīng)的級別號請參閱表 5。輸出信息的級別將會是指定級別或者高于指定級別，即數(shù)字等于或者小于指定級別。例如指定級別是通告，StoneOS 將會輸出通告、警告和錯誤級別的日志信息。在全局配置模式下，用以上命令no 的形式可以關(guān)閉相關(guān)的輸出功能。命令如下：no logging event to console | remote | syslog | sms |將事件日志信息輸出到內(nèi)存緩存，并且對日志信息進行過濾，在全局配置模式下使用以下命令：logging event to buffer severity severity-level size buffer-sizeseverity severity

50、-level 指定輸出的事件日志信息的級別從而對事件日志信息進行過濾。日志信息的級別和對應(yīng)的級別號請參閱表 5。輸出信息的級別將會是指定級別或者高于指定級別，即數(shù)字等于或者小于指定級別。例如指定級別是通告，StoneOS 將會輸出通告、警告和錯誤級別的日志信息。size buffer-size 指定內(nèi)存緩存的大小。范圍是 4096 到 1048576 字節(jié)。默認(rèn)值為 1048576。在全局配置模式下，用以上命令 no logging event to buffer 命令關(guān)閉相關(guān)的輸出功能。將事件日志信息輸出到文件，并且對日志信息進行過濾，在全局配置模式下使用以下命令：logging event

51、 to file severity severity-level name usb0 | usb1 file-namesizefile-sizeseverity severity-level 指定輸出的事件日志信息的級別從而對事件日志信息進行過濾。日志信息的級別和對應(yīng)的級別號請參閱表 5。輸出信息的級別將會是指定級別或者高于指定級別，即數(shù)字等于或者小于指定級別。例如指定級別是通告，StoneOS 將會輸出通告、警告和錯誤級別的日志信息。name usb0 | usb1 file-name 該參數(shù)用來指定保存日志信息的U 盤和日志信息文件的名稱。size file-size 將事件日志信息輸出到

52、文件（U 盤或者 Flash）時，該參數(shù)用來指定日志信息文件的大小。范圍是 4096 到 1048576 字節(jié)。默認(rèn)是 1048576 字節(jié)。在全局配置模式下，用以上命令 no logging event to file 命令關(guān)閉相關(guān)的輸出功能。配置接收事件日志信息機號碼用戶可將嚴(yán)重等級在嚴(yán)重（Critical）以上的事件日志信息以的形式輸出到某個。指17定接收事件日志機號碼，在全局配置模式下，使用以下命令：logging sms phone-numberphone-number 指定接收事件日志機號碼。在全局配置模式下使用 no logging sms phone-number 命令取消號碼

53、的指定。安全日志信息的輸出用戶可以根據(jù)需要指定安全日志信息的輸出目的地。將安全日志信息輸出到console、終端、系統(tǒng)日志服務(wù)器或者使用安全日志提醒功能，在全局配置模式下使用以下命令：logging security to console | remote | syslog custom-format distributedround-robin | src-ip-hash|console 指定將安全日志信息輸出到 console 口。remote 指定將安全日志信息輸出到終端。syslog 指定將安全日志信息輸出到 Syslog Server。關(guān)于如何配置 Syslog Server，請參閱

54、配置 Syslog Server 一節(jié)。custom-format 發(fā)送明文日志信息。默認(rèn)情況下，系統(tǒng)發(fā)送明文日志信息。distributed 分布發(fā)送日志信息到多臺日志服務(wù)器。src-ip-hash | round-robin 指定服務(wù)器選擇算法。src-ip-hash 為源地址哈希算法。round-robin 為輪詢調(diào)度算法，該算法為系統(tǒng)默認(rèn)算法。 使用安全日志提醒功能。關(guān)于如何配置地址，請參閱配置 地址一節(jié)。在全局配置模式下，用以上命令no 的形式可以關(guān)閉相關(guān)的輸出功能。命令如下：no logging security to console | remote | syslog custo

55、m-formatdistributed round-robin | src-ip-hash |將安全日志信息輸出到內(nèi)存緩存，在全局配置模式下使用以下命令：logging security to buffer size buffer-sizesize buffer-size 指定內(nèi)存緩存的大小。范圍是 4096 到 1048576 字節(jié)。默認(rèn)值為 1048576。在全局配置模式下，用該命令no logging security to buffer 命令關(guān)閉相關(guān)的輸出功能。18將安全日志信息輸出到文件，在全局配置模式下使用以下命令：logging security to file name usb

56、0 | usb1 file-name size file-sizename usb0 | usb1 file-name 該參數(shù)用來指定保存日志信息的U 盤和日志信息文件的名稱。size file-size 將安全日志信息輸出到文件（U 盤或者 Flash）時，該參數(shù)用來指定日志信息文件的大小。范圍是 4096 到 1048576 字節(jié)。默認(rèn)是 1048576 字節(jié)。在全局配置模式下，用以上命令 no logging security to file 命令關(guān)閉相關(guān)的輸出功能。配置、調(diào)試和網(wǎng)絡(luò)日志信息的輸出配置、調(diào)試和網(wǎng)絡(luò)日志信息可以輸出到緩存、Console 口和 Syslog 服務(wù)器。用戶可以

57、根據(jù)需要指定調(diào)試和網(wǎng)絡(luò)日志信息的輸出目的地。將配置、調(diào)試和網(wǎng)絡(luò)日志信息輸出到 Console 口或者 Syslog 服務(wù)器，在全局配置模式下使用以下命令：logging configuration | debug | network to console | syslogconfiguration | debug | network 指定將要輸出的日志信息的類型，可以是配置（configuration）、調(diào)試（debug）或者網(wǎng)絡(luò)（network）。console | syslog 指定日志信息的輸出目的地，可以是 Console 口（console）或者輸出到Syslog Server（sy

58、slog）。關(guān)于如何配置 Syslog Server，請參閱配置 Syslog Server 一節(jié)。在全局配置模式下，用 no logging configuration | debug | network to console| syslog命令關(guān)閉相關(guān)的輸出功能。將配置、調(diào)試和網(wǎng)絡(luò)日志信息輸出到內(nèi)存緩存，在全局配置模式下使用以下命令：logging configuration | debug | network to buffer size buffer-sizeconfiguration | debug | network 指定將要輸出的日志信息的類型，可以是配置（configurati

59、on）、調(diào)試（debug）或者網(wǎng)絡(luò)（network）。size buffer-size - 內(nèi)存緩存的大小。范圍是 4096 到 524288 字節(jié)。默認(rèn)值為1048576。在全局配置模式下，用 no logging configuration | traffic | debug | networkto buffer 命令關(guān)閉相關(guān)的輸出功能。19流量日志信息的輸出流量日志信息分為會話、NAT 和上網(wǎng)日志信息三部分，可以輸出到緩存、Console 口、Syslog服務(wù)器和文件。用戶可以根據(jù)需要指定不同類別日志信息的輸出目的地。將流量日志信息輸出到 Console 口或者 Syslog 服務(wù)器，在

60、全局配置模式下使用以下命令：logging traffic ses| nat | web-surfing to console | syslogweb-surfing 指定將要輸出的日志信息的類型，可以是會話ses（sesconsole| nat |）、NAT（nat）或者上網(wǎng)（web-surfing）。| syslog 指定日志信息的輸出目的地，可以是 Console 口（console）或者輸出到Syslog Server（syslog）。關(guān)于如何配置 Syslog Server，請參閱配置 SyslogServer 一節(jié)。在全局配置模式下，用 no logging traffic ses