天融信防火墙日志的查询

1、增加日志服务器

打开集中管理器，选项管理／安全设备登录控制，增加日志服务器（日志服务器IP内网：202.96.100.186）。

2、修改安全设备调试级别

在安全设备选项／把安全设备调试级别设为4或5,级别太低，记录可能会很少，值可修改。（telnet 防火墙，可以用tcpdump -i eth2 udp port 514命令检查设置正确与否） 　

3、登录（审计中心）设置

在202.96.100.186上安装并打开安全审计中心综合分析系统管理器（以下简写TA），审计中心IP：202.96.100.186,登录帐号：superman/talent.

4、设定日志收集源和日志代理策略

日志收集源：专用版的审计服务器只接收防火墙的日志，必须在日志收集源处添加该防火墙的日志源，添加成功后，该日志源显示在日志源列表中，新添加的日志源的状态灯为灰色，表示没有启动，请手工启动日志源，请点击右键“启用”，并在“日志插件中”配置该日志源，请参考日志插件部分。只有启动了日志源，该设备或者系统才可以正确发送日志到审计域服务器，如果想暂时停止日志的接收，请点击右键“禁用”，则该日志源被禁止继续向审计服务器发送日志。 日志代理策略：日志插件域控制代理通过日志插件收集日志。专用版只包括Syslog日志插件，用来收集防火墙日志。Syslog日志插件收集Syslog日志,可以收集多种设备的Syslog日志数据，在专用版中，只支持防火墙类型的日志。 双击Syslog日志插件打开TopSEC Syslog日志引擎配置窗体，可以看到本引擎在udp端口514接收标准的Syslog日志。

5、日志查询

点击系统主菜单中的“功能”，在其下拉菜单中点击“日志查询”，当然要调出右边工作区，也可在点击主菜单中的“日志查询”，从下拉菜单中选择需要查询的日志类型。系统会弹出如下图的“查询条件”窗口：可以按照查询界面提供的各种条件进行组合查询。除了时间范围和记录数外，一般可以直接确定。双击某条记录有其详细的信息。至此，安装完成。