日志告警模块关于对安全策略当中deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)

一、场景说明
日志监控监测模块,通过收集网络设备发送的syslog中关于deny日志信息,来溯源到发出大量deny访问日志的设备所连接的二层设备的接口,通过降云产品平台有效对大量非法访问或攻击行为通过shutdown接入层接口的方式来阻断攻击蔓延,有效的保护内网安全。

二、已调研的产品支持范围

网络环境主要存在以下厂家的产品:

随着网络规模越来越大,网络设备种类繁多,并且各自的配置错综复杂,对网络管理能力的要求也越来越高。传统网络管理系统多数只能分析到三层网络拓扑结构,无法确定网络设备的详细拓扑信息、是否存在配置冲突等。因此需要有一个标准的二层信息交流协议。
LLDP提供了一种标准的链路层发现方式。通过LLDP获取的设备二层信息能够快速获取相连设备的拓扑状态;显示出客户端、交换机、路由器、应用服务器以及网络服务器之间的路径;检测设备间的配置冲突、查询网络失败的原因。企业网用户可以通过使用网管系统,对支持运行LLDP协议的设备进行链路状态监控,在网络发生故障的时候快速进行故障定位。
思科发现协议(Cisco Discovery Protocol,简称:CDP)基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使 用提供相关接口信息。CDP 是一种独立媒体协议,运行在所有思科本身制造的设备上,包括路由器、网桥、接入服务器和交换机。需要注意的是,CDP是工作在Layer2的协议,默认情况下,每60秒以01-00-0c-cc-cc-cc为目的地址发送一次组播通告,当达到180秒的holdtime上限后仍未获得邻居设备的通告时,将清除邻居设备信息。
三、拓扑展示
场景一:2个跳跃点

场景一主要描述了客户环境为二层架构的时候体现,用户的核心层与接入层交换数据.
场景二:3个跳跃点

场景三主要描述了客户网络环境为三层结构,主要体现为多楼层及网络分层的场景。

四、溯源接口流程

实现方式
以下以目前降云环境为例;
第一步:平台收到一条deny 日志告警;
Sep 15 18:43:49.322 beijing: %SEC-6-IPACCESSLOGDP: list logtsh-test denied icmp 100.7.101.100 (Vlan3 28d2.4412.d722) -> 0.91.218.99 (8/0), 1 packet
第二步:通过日志获取到源设备的mac地址为28d2.4412.d722
第三步:平台登录到核心交换机查询该mac地址

注意cisco与h3c MAC地址表现形式不一样,Cisco:28d2.4412.d722
H3C: 28d2-4412-d722
第四步:通过查询发现该mac地址是通过核心交换机的G1/0/4口学习到,继续执行网络邻接协议(LLDP)
<S5120-48P-EI-HX>display lldp neighbor-information
找到G1/0/4的领接关系:

找到核心交换机个G1/0/4的邻居为cisco 3750,管理地址为100.7.101.3
第五步:登录到查询到的领接二层设备,执行Mac地址查询

登录到二层设备执行 WS-C3750v2-48TS#show mac address-table | in 28d2.4412.d722
确认该MAC地址为二层设备的Fa1/0/26口
六、命令集整合
华为设备开启lldp命令:
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] lldp enable
华为兼容CDP命令:
执行命令system-view,进入系统视图。
执行命令interface?interface-type?interface-number,进入接口视图。
执行命令lldp compliance cdp receive,使能LLDP兼容CDP协议的功能。
缺省情况下,LLDP兼容CDP的功能未使能。
CISCO LLDP 协议开启命令:
Switch# configure terminal
Switch(config)# lldp run
Switch(config)# end
CISCO cdp 默认开启

原文地址:http://blog.51cto.com/13769225/2121015

时间: 2024-10-15 05:43:27

日志告警模块关于对安全策略当中deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)的相关文章

slf4j+logback搭建超实用的日志管理模块

文章转自http://www.2cto.com/kf/201702/536097.html slf4j+logback搭建超实用的日志管理模块(对日志有编号管理):日志功能在服务器端再常见不过了,我们非常有必要记录下发生在服务器上的活动,这些日志将用于debug.统计等各种用途. slf4j+logback这种实现方式是很常见的,好处自然是方便!.在这篇文章中,你将看到如何使用logback搭建你自己的日志组件并将日志输出到文件.如何查看这些文件.如何为每个线程上的访问分配独有的一个日志id.

python基础学习日志day5-各模块文章导航

python基础学习日志day5---模块使用 http://www.cnblogs.com/lixiang1013/p/6832475.html python基础学习日志day5---time和datetime模块 http://www.cnblogs.com/lixiang1013/p/6848245.html python基础学习日志day5---random模块http://www.cnblogs.com/lixiang1013/p/6849162.html python基础学习日志da

python 的日志logging模块学习

最近修改了项目里的logging相关功能,用到了python标准库里的logging模块,在此做一些记录.主要是从官方文档和stackoverflow上查询到的一些内容. 官方文档 技术博客 基本用法 下面的代码展示了logging最基本的用法. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 # -*- cod

python 的日志logging模块

1.简单的将日志打印到屏幕 import logging logging.debug('This is debug message') logging.info('This is info message') logging.warning('This is warning message') <strong>屏幕上打印:</strong><br /> WARNING:root:This is warning message 默认情况下,logging将日志打印到屏幕,

log4js-Node.js中的日志管理模块使用与封装

开发过程中,日志记录是必不可少的事情,尤其是生产系统中经常无法调试,因此日志就成了重要的调试信息来源. Node.js,已经有现成的开源日志模块,就是log4js,源码地址:点击打开链接 项目引用方法: npm install log4js 1.配置说明(仅以常用的dateFile日志类型举例,更多说明参考log4js-wiki): { "appenders": [ // 下面一行应该是用于跟express配合输出web请求url日志的 {"type": "

python 的日志logging模块介绍

最近在写使用python生成App的程序,发现直接用print打印信息不太方便和规范,所以使用了logging日志模块,简单记录下用法,正式项目中应该使用logging.config配置日志,可以实现类似log4j的日志文件大小限制,格式控制,输出位置等. 1.简单的将日志打印到屏幕 import logging logging.debug('This is debug message') logging.info('This is info message') logging.warning(

python(38):日志logging模块学习

1.简单的将日志打印到屏幕 import logging logging.debug('This is debug message') logging.info('This is info message') logging.warning('This is warning message') 屏幕上打印: WARNING:root:This is warning message 默认情况下,logging将日志打印到屏幕,日志级别为WARNING:日志级别大小关系为:CRITICAL > ER

python 的日志logging模块学习【转】

1.简单的将日志打印到屏幕 import logging logging.debug('This is debug message') logging.info('This is info message') logging.warning('This is warning message') 屏幕上打印: WARNING:root:This is warning message 默认情况下,logging将日志打印到屏幕,日志级别为WARNING: 日志级别大小关系为:CRITICAL > E

项目日志的管理和应用 log4js-Node.js中的日志管理模块使用与封装

开发过程中,日志记录是必不可少的事情,尤其是生产系统中经常无法调试,因此日志就成了重要的调试信息来源. Node.js,已经有现成的开源日志模块,就是log4js,源码地址:点击打开链接 项目引用方法: npm install log4js 1.配置说明(仅以常用的dateFile日志类型举例,更多说明参考log4js-wiki): [javascript] view plain copy { "appenders": [ // 下面一行应该是用于跟express配合输出web请求ur