系统日志(syslog)激活系统日志:若是勾选此选项的话,syslog功能将被开启。
系统日志服务器:gqf500提供了外部syslog服务器收集系统信息功能。syslog为一项工业标准通讯协议,于网络上动态撷取有关的系统信息。gqf500的syslog提供了包含动作中的联机来源位置(source ip address)与目地(destination ip address)位置,服务编号(port number)以及型态(ip service)。输入您要接收syslog的服务器名称或是ip地址于“syslog server”的空格字段内。
电邮告警功能(e-mail alert)激活电邮警告:若是勾选此选项的话,电子邮件告警(e-mail alert)将会被开启。
电邮服务器:请输入电子邮件服务器的名称或是ip地址,如mail.abc.com。请注意,您必须有权限经由所填入的电子邮件服务器寄送log电子邮件,否则此log电子邮件将无法被寄出。
电邮地址:此为设定log收件人电子邮件信箱,例如abc@mail.abc.com。
自订日志数量:自订log数量,系统预设为50个。当到达此数量时,gqf500将会自动mail传送log。
自订系统日志传送时间:自订传送log间隔时间,系统预设为10分钟。当到达此时间时,gqf500将会自动mail传送此log。
gqf500将会自动判别当数量或是间隔时间哪一个参数先到达,就mail传送log讯息给管理者。
立即传送电邮警告:使用管理者可以直接按此按钮传送log。
系统日志配置(alert log)
gqf500提供了包含以下的告警内容讯息,您只要打勾点选即可包含在log讯息中。
syn flooding:即在短时间内传送大量的syn packet,造成系统记录联机的内存溢满。
ip spoofing:透过封包监听程序来拦截网络上所传送数据,并在读取后藉由程序修改原发送端地址(source ip address),进入原目的端的系统内,存取资源。
win nuke:透过侵入或设陷阱的方式将木马程序送入对方服务器中。
ping of death:透过传送来产生超过ip协议所能够允许的最大封包,造成系统当机。
登入认证错误:当系统发现有企图登入qvm100的入侵者时,就会将讯息传到系统日志中。
一般系统日志信息(general log)
gqf500提供了包含以下的一般性内容讯息,您只要打勾点选即可。系统错误讯息(system error messages),被阻挡的管制条例(deny policies),允许通过的管制条例(allow policies),认证登入(authorized login),系统配置变更(configuration changes)。
系统错误讯息:提供系统中各种错误给系统日志。例如:不正确的设定或是功能异常状况发生。
被阻挡的管制条例:当有user试图进行access rule不允许的规则时,此信息会传送到系统日志中。
允许通过的管制条例:当user进行access rule所允许的规则时,此信息会传送到系统日志中。
系统配置变更:当系统的设定值改变时,此信息回传送到系统日志中。
认证登入:每一个成功登入系统的ip地址都会传送并记录到系统日志中。
以下有四个有关查询log的按钮,分别叙述如下:
一、查看系统日志(view system log):
此为查看系统日志使用,其信息内容可以从下拉式选单中分类读取,包含所有讯息-all,系统日志-system log,防火墙日志-firewall log,vpn日志-vpn log。选择“刷新(refresh)”按钮可以刷新日志显示画面,“清除(clear)”按钮可以清除所有日志记录。如下图所示:
二、外出的封包(outgoing log table):
查看内部pc出internet的系统封包日志,此日志包含内部网络地址(lan ip),目的地地址(destination url/ip)以及所使用的通讯服务端口(port number)类型(type)等信息。
三、进入的封包(incoming log table):
查看外部进入gqf500的系统封包日志,此日志内涵外部来源网络地址(source ip地址),目的地地址与通讯端口号(destination port number)等信息。
四、清除日志(clear log now):
此按钮为清除所有目前gqf500的log相关信息。