SSMC Web 服务器和设备的访问日志记录
SSMC 允许您将所有 HTTP 和 TCP 级别访问事件记录到日志文件中,以进行任何取证分析和异常检测。
如果启用 HTTP 访问日志,则 SSMC Web 服务器将 HTTP 访问日志写入到 /opt/hpe/ssmc/ssmcbase/data/logs/HTTP_Access_yyyy_mm_dd*.log 中。
如果启用 TCP 访问日志,则 IP 表日志控制将 TCP 访问日志写入到 /var/log/kern.log 中。
启用或禁用 HTTP 访问日志记录
要启用 HTTP 访问日志,请执行以下命令:
sudo /ssmc/bin/config_security.sh -o set_service_http_access -a enable -f
要禁用 HTTP 访问日志,请执行以下命令:
sudo /ssmc/bin/config_security.sh -o set_service_http_access -a disable -f
以下是一个示例 HTTP 访问日志:
192.168.11.24 - - [18/Mar/2020:15:47:07 +0530] "GET / HTTP/1.1" 200 967
192.168.11.24 - - [18/Mar/2020:15:47:07 +0530] "GET /ssmc/css/ssmc-super-table.css?version=3.7.0.27779 HTTP/1.1" 200 2498
192.168.11.24 - - [18/Mar/2020:15:47:07 +0530] "GET /ssmc/css/ssmc-overrides.css?version=3.7.0.27779 HTTP/1.1" 200 2195
192.168.11.24 - - [18/Mar/2020:15:47:07 +0530] "GET /libs/piano/css/compiled/hpe-piano.css?version=3.7.0.27779 HTTP/1.1" 200 94903
192.168.11.24 - - [18/Mar/2020:15:47:08 +0530] "GET /libs/globalize/globalize.js HTTP/1.1" 200 5637
192.168.11.24 - - [18/Mar/2020:15:47:08 +0530] "GET /libs/globalize/cultures/globalize.cultures.js HTTP/1.1" 200 91302 启用或禁用 TCP 访问日志记录
要启用 TCP 访问日志,请执行以下命令:
sudo /ssmc/bin/config_security.sh -o set_service_tcp_access -a enable -f
要禁用 TCP 访问日志,请执行以下命令:
sudo /ssmc/bin/config_security.sh -o set_service_tcp_access -a disable -f
以下是一个示例 TCP 访问日志:
Mar 18 15:40:45 ssmc rsyslogd: No UDP socket could successfully be initialized, some functionality may be disabled. [v8.2001.0]
Mar 18 15:40:45 ssmc rsyslogd: create UDP socket bound to device failed: No such device [v8.2001.0]
Mar 18 15:41:47 ssmc kernel: [764591.964870] New TCP access IN=ens160 OUT= MAC=XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:08:00 SRC=192.168.11.24 DST=192.168.11.100 LEN=52 TOS=0x00 PREC=0x00 TTL=118 ID=14897 DF PROTO=TCP SPT=56556 DPT=22 WINDOW=65392 RES=0x00 SYN URGP=0
Mar 18 15:46:31 ssmc kernel: [764876.769608] New TCP access IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16354 DF PROTO=TCP SPT=49098 DPT=9200 WINDOW=43690 RES=0x00 SYN URGP=0在启用 TCP 访问日志记录之前,请启用主机访问控制功能。这是一个前提条件。
在启用远程 syslog 导出时,rsyslog 将 HTTP 访问日志作为具有 DEBUG 日志记录级别的 local5 工具发出,而将 TCP 访问日志作为具有 DEBUG 日志记录级别的 kern 工具发出。