网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 用户手册 NAC3.12.0用户手册 附录2 Syslog功能报文字段说明
{{sendMatomoQuery("网络控制器NAC","附录2 Syslog功能报文字段说明")}}

附录2 Syslog功能报文字段说明

更新时间:2023-12-11

1Syslog协议

Syslog是一种标准化的日志服务协议,通常用于网络设备、服务器操作系统和应用程序等设备或软件中。它可以帮助管理员监控和诊断系统问题,并方便地收集和记录事件、警告和错误消息等信息。

Syslog协议使用UDP协议进行传输,而且不需要经过认证,因此可能存在安全风险。Syslog消息分为三个部分:头部、内容和可选部分。头部包含了设备信息、时间戳和事件类型等信息。内容则包括了事件的详细描述。可选部分可以包括任何其他有用的信息,例如进程ID、线程ID等。(日志例子:05-09-2023              10:09:21              User.Info              200.200.156.123              May  9 10:09:18 [4]时间=2023-05-09 10:09:18,日志=保存日志查看-Syslog配置,操作对象=对象定义,结果=成功,管理员=admin,IP地址=200.200.156.124

1.1协议头

按照syslog RFC3164标准,每个日志消息都包含以下信息:

- 时间戳:记录事件发生的日期和时间,并使用本地时区。

- 指示设备主机名或ip:生成日志消息的设备或主机的名称。

- 消息级别:标识事件的严重性,如警告、错误或信息。

协议头例子:05-09-2023 10:09:21 User.Info 200.200.156.123 May  9 10:09:18

1.2消息部分

消息是由系统管理员采集的各种类型的日志。它们可以是系统日志、管理日志、安全日志、认证日志、设备日志或警报日志。解析格式为UTF-8编码,并且每条消息将包括以下[x]字段之一:

[2] 系统日志:包含有关系统运行状况的信息。例如,这可能包括关于CPU利用率、内存利用率、磁盘空间利用率等的信息。

[4] 管理日志:包含与系统配置和管理相关的信息。例如,这可能包括关于用户帐户管理、额外软件安装、网络配置更改等的信息。

[8] 安全日志:包含有关系统安全的信息。例如,这可能包括与登录尝试、访问控制、防火墙规则等相关的信息。

[16] 认证日志:包含有关身份验证的信息。例如,这可能包括与用户登录、权限管理等相关的信息。

[32] 设备日志:包含与设备相关的信息。例如,这可能包括关于网络设备(如交换机、路由器和防火墙)的信息,例如端口状态、接口故障等。

[64] 告警日志:包含与任何系统错误或警报相关的信息。例如,这可能包括有关硬件故障、网络故障、应用程序问题等的信息。

系统日志:

WAC

字段

字段类型

字段说明

举例

备注

时间

time

varchar

日志上报的时间

2018/05/17 18:20:04

格式为:yyyy-mm-dd hh:mm:ss

日志

log_des

varchar

日志的具体描述

ap D4-68-BA-00-39-36 授权文件与WAC不匹配

等级

log_level

varchar

产生日志的等级

告警

常见的有:错误、告警、信息等

模块

module

varchar

产生日志的模块

ap授权服务模块

常见的有:ap授权服务模块、二层认证模块、在线用户模块等

日志信息前面[2]代表系统日志

日志实例:[2]time=2020-11-25 03:17:53, log_des=外部ldap服务器(123)获取组织树失败,请检查对应服务器是否可用, log_level=告警, module:inner_portal_srvd

管理日志:

WAC

字段

字段类型

字段说明

举例

备注

时间

time

varchar

日志上报的时间

2018/05/18 14:32:31

格式为:yyyy-mm-dd hh:mm:ss

日志

log_des

varchar

日志的具体描述

登录系统

常见的有:登录系统、退出系统、账号xxxx第一次尝试登录等

操作对象

oper

varchar

产生日志的操作对象

系统管理

结果

result

varchar

产生日志的结果

成功

常见的有:成功、失败

管理员

manager

varchar

产生日志的操作人员

admin

常见的有:

1:admin

2:xxxx(新增的管理员)

ip地址

ip_addr

varchar

操作的设备的IP地址

200.200.93.111

日志信息前面[4]代表管理日志

日志实例:[4]time=2020-11-25 03:15:48, log_des=保存Syslog配置, oper=系统管理, result=成功, manager=admin, ip_addr=200.200.93.109

安全日志:

WAC

字段

字段类型

字段说明

举例

备注

时间

时间

varchar

日志上报的时间

2018/05/18 10:35:22

格式为:yyyy-mm-dd hh:mm:ss

事件类型

事件类型

varchar

产生日志的事件类型

私设IP

常见的有:私设IP、ARP扫描估计、IP扫描攻击、DDoS攻击、端口扫描攻击等

攻击者MAC

攻击者MAC

varchar

攻击者的MAC地址

44-6D-57-DF-C6-C0

攻击者设备类型

攻击者设备类型

varchar

攻击者的设备类型

终端

发现后动作

发现后动作

varchar

发现攻击后wac的处理动作

告警并踢用户

常见的有:告警、告警并踢用户、加入黑名单等

接入点

接入点

varchar

产生日志的接入点

D4_68_BA_00_39_36

该名称为实际AP的名称。常见的有:

1:D4_68_BA_00_39_36

2:展厅AP1

接入点分组

接入点分组

varchar

产生日志的接入点所在分组

默认组

该分组为实际ap所在WAC的分组。常见的有

1:默认组

2:一楼(wac上新增的组)

描述

描述

varchar

产生日志的具体描述

非漫游用户[44-6D-57-DF-C6-C0],未发起DHCP或未使用DHCP所获取IP,DHCP保护生效,终端需重新接入网络,实际IP[151.151.1.7],DHCP[0.0.0.0],VLAN[1]

攻击者账号

攻击者账号

varchar

攻击者的账号

-

该日志显示为-

攻击者计算机名

攻击者计算机名

varchar

攻击者的计算机名

-

该日志显示为-

日志信息前面[8]代表安全日志

日志实例:[8]时间=2020-11-25 03:50:44, 事件类型=爆破攻击, 攻击者MAC:7C-76-68-C3-29-7F, 攻击者设备类型:终端, 发现后动作=告警, 接入点=D4_68_BA_00_CE_A1, 接入点分组=默认组, 描述=用户[7C-76-68-C3-29-7F]爆破攻击, 攻击者账号:1, 攻击者计算机名:Honor_Play-cc4c

认证日志:

WAC

字段

字段类型

字段说明

举例

备注

时间

时间

varchar

日志上报的时间

时间=2023-05-09 10:12:17

事件

事件

varchar

事件名称

事件=验证失败 (验证服务端拒绝连接)

用户名

用户名

varchar

认证用户的用户名

用户名=10531

用户组

用户组

varchar

用户所在用户组

用户组-

用户类型

用户类型

varchar

用户的用户类型

用户类型=-

认证方式

认证方式

varchar

用户接入的认证方式

验证方式=WPA/WPA2(企业)

IP地址

IP地址

varchar

用户的IP地址

IP地址=-

终端MAC

终端MAC

varchar

用户终端的MAC

设备MAC=02-4E-D3-1F-21-AE

接入点

接入点

varchar

用户接入的位置

接入点名称=默认接入点

接入点分组

接入点分组

varchar

用户接入的接入点分组

接入组=default-group

接入网络

接入网络

varchar

用户接入的网络SSID

接入网络=zt_yuancheng_test

VLAN

VLAN

varchar

用户所在VLAN

VLAN=0,

角色

角色

varchar

用户被分配的角色

角色=

计算机名

计算机名

varchar

用户终端的名称

计算机名=-

终端类型

终端类型

varchar

用户的终端类型

设备类型=Others

日志信息前面[16]代表认证日志

日志实例:[16]时间=2023-05-09 10:12:17,事件=验证失败 (验证服务端拒绝连接),用户名=10531,用户组-,用户类型=-,验证方式=WPA/WPA2(企业),IP地址=-,设备MAC=02-4E-D3-1F-21-AE,接入点名称=默认接入点,接入组=default-group,接入网络=zt_yuancheng_test,VLAN=0,角色=,计算机名=-,设备类型=Others

设备日志:

WAC

字段

字段类型

字段说明

举例

备注

时间

时间

varchar

日志上报的时间

2018/05/18 09:58:31

格式为:yyyy-mm-dd hh:mm:ss

设备名称

设备名称

varchar

产生日志的设备名称

D4_68_BA_00_39_36

AP的名称

1:D4_68_BA_00_39_36

2:负一楼门口

日志

日志

varchar

日志的具体描述

Failed to connect to the controller

模块

模块

varchar

产生日志的设备模块

ap状态灯显示模块

常见的有:系统维护模块、ap授权服务、配置模块、无线用户认证模块、ap状态灯显示模块、隧道模块等

等级

等级

varchar

产生日志的等级

告警

日志信息前面[32]代表设备日志

日志实例:[32]时间=2020-11-25 03:43:09, 设备名称=D4_68_BA_00_CE_A1, 模块:ap状态灯显示模块, 等级=告警, 日志=Failed to connect to the controller.

告警日志:

WAC

字段

字段类型

字段说明

举例

备注

事件

事件

varchar

事件名称

事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态

类型

类型

varchar

告警事件类型

类型=连接状态变化

时间

时间

varchar

日志上报的时间

时间=2023-05-09 10:11:38

日志信息前面[64]代表设备日志

日志实例: [64]事件=连接AP(D4_68_BA_00_80_60[D4-68-BA-00-80-60]):断开状态,类型=连接状态变化,时间=2023-05-09 10:11:38

1.3优点

Syslog是一种高度灵活的日志管理协议,可通过多个通信渠道进行数据传输,并且易于实施和使用。

系统管理员可以选择将消息发送到本地日志文件、远程syslog服务器或其他日志管理工具。

通过允许管理员确定记录特定事件的日志详细信息,Syslog可以帮助提高安全性并帮助管理员识别潜在的网络安全问题。