IDP 事件日志记录

启用 IDP 的设备会继续记录由于日常操作（例如用户登录到配置数据库）而发生的事件。它记录失败和错误条件，例如无法访问配置文件。您可以配置文件来记录系统消息，还可以为消息分配属性（如严重性级别）。除了常规的系统日志消息外，IDP 还会生成攻击事件日志。

当事件与启用了日志记录的 IDP 策略规则匹配时，IDP 会生成事件日志。配置日志记录规则时，设备会为与该规则匹配的每个事件创建一个日志条目。您可以使用 CLI 或 J-Web 配置策略规则以生成事件日志。

由于 IDP 事件日志是在攻击期间生成的，因此日志生成会突发进行，从而在攻击期间生成更多的消息。与其他事件消息相比，对于攻击生成的消息，消息大小也大得多。日志量和消息大小是日志管理的重要问题。为了更好地管理日志消息的数量，IDP 支持日志抑制。

通过配置日志抑制，可以抑制同一时间段内来自相同或类似会话的同一日志的多个实例。启用日志抑制可确保为多次发生的同一事件或攻击生成最少数量的日志。

日志抑制可确保为多次发生的同一事件或攻击生成最少数量的日志。默认情况下，日志抑制处于启用状态。您可以根据需要配置某些日志抑制属性来抑制日志。配置日志抑制时，请记住，如果将报告间隔设置得太高，日志抑制可能会对传感器性能产生负面影响。

您可以配置以下日志抑制属性：

• 执行日志抑制时包括目标地址 - 您可以选择将事件的日志记录与匹配的源地址合并。默认情况下，IDP 传感器在匹配日志抑制事件时不考虑目标。

• 日志抑制开始后的日志出现次数 - 您可以指定在日志抑制开始之前特定事件必须发生的实例数。默认情况下，日志抑制在第一次出现后开始。

• 日志抑制可以操作的最大日志数 - 启用日志抑制后，入侵检测和防御 （IDP） 必须缓存日志记录，以便识别同一事件何时发生多次。您可以指定 IDP 同时跟踪多少条日志记录。默认情况下，IDP 可以操作的最大日志记录数为 16,384。

• 报告抑制日志的时间 — 启用日志抑制后，IDP 会保留同一事件的发生次数。经过指定的秒数后，IDP 将写入一个包含发生次数的日志条目。默认情况下，IDP 会在 5 秒后报告禁止显示的日志。

此示例说明如何配置日志抑制属性。

用于统一访问控制 （UAC） 设备的 IC 系列 UAC 设备可以使用从瞻博网络设备发送的入侵检测和防御 （IDP） 攻击日志信息，对 IDP 日志指示已检测到攻击的流量应用访问策略。这些 IDP 日志使用安全的通信通道直接安全地发送到 IC 系列设备。IDP 攻击日志通过 JUEP 通信通道发送到 IC 系列设备。

本主题包含以下部分：

• 将消息过滤到 IC 系列 UAC 装置
• 配置 IC 系列 UAC 装置日志记录

默认情况下，IDP 会记录事件的发生，而不会向管理员发出警报。当系统配置为记录事件并设置了 potential-violation 该选项时，数据包转发引擎上的 IDP 日志将被转发到路由引擎。然后，路由引擎解析 IDP 攻击日志，并在必要时引发 IDP 告警。

• 要启用 IDP 警报，请使用 set security alarms potential-violation idp 命令。

• 要验证配置是否正常工作， show security alarms 请使用命令。