IDP 事件日志记录

启用 IDP 的设备会继续记录由于日常作（例如用户登录到配置数据库）而发生的事件。它记录失败和错误情况，例如无法访问配置文件。您可以配置文件以记录系统消息，还可以为消息分配属性（如严重性级别）。除了常规的系统日志消息外，IDP 还会生成攻击事件日志。

当事件与启用日志记录的 IDP 策略规则匹配时，IDP 将生成事件日志。配置日志记录规则时，设备会为与该规则匹配的每个事件创建一个日志条目。您可以使用 CLI 或 J-Web 配置策略规则以生成事件日志。

由于 IDP 事件日志是在攻击期间生成的，因此日志生成会以突发方式进行，从而在攻击期间生成更大的消息量。与其他事件消息相比，攻击生成的消息的消息大小也要大得多。日志量和消息大小是日志管理的重要关注点。为了更好地管理日志消息量，IDP 支持日志抑制。

通过配置日志抑制，可以抑制同一时间段内相同或相似会话中发生的同一日志的多个实例。启用日志抑制可确保为多次发生的同一事件或攻击生成最少数量的日志。

日志抑制可确保为多次发生的同一事件或攻击生成最少数量的日志。默认情况下，日志抑制处于启用状态。您可以根据需要配置某些日志抑制属性来抑制日志。配置日志抑制时，请记住，如果将报告间隔设置得太高，日志抑制可能会对传感器性能产生负面影响。

您可以配置以下日志抑制属性：

• 在执行日志抑制时包括目标地址 - 您可以选择将事件的日志记录与匹配的源地址合并。默认情况下，IDP 传感器在匹配事件以进行日志抑制时不考虑目标。

• 日志禁止开始的日志出现次数 - 您可以指定在日志禁止开始之前必须发生特定事件的实例数。默认情况下，日志抑制在第一次出现后开始。

• 日志抑制可作的最大日志数 - 启用日志抑制后，入侵检测和防御 （IDP） 必须缓存日志记录，以便可以识别同一事件何时发生多次。您可以指定 IDP 同时跟踪多少条日志记录。默认情况下，IDP 可以作的最大日志记录数为 16,384。

• 报告禁止显示的日志的时间 - 启用日志禁止时，IDP 会记录同一事件的发生次数。经过指定的秒数后，IDP 将写入包含出现次数的单个日志条目。默认情况下，IDP 会在 5 秒后报告禁止显示的日志。

此示例说明如何配置日志抑制属性。

统一访问控制 （UAC） 设备的 IC 系列 UAC 设备可以使用从瞻博网络设备发送的入侵检测和防御 （IDP） 攻击日志信息，对 IDP 日志指示已检测到攻击的流量应用访问策略。使用安全的通信通道，这些 IDP 日志将直接安全地发送到 IC 系列设备。IDP 攻击日志通过 JUEP 通信通道发送到 IC 系列设备。

本主题包含以下部分：

• IC 系列 UAC 设备的消息过滤
• 配置 IC 系列 UAC 设备日志记录

默认情况下，IDP 会记录事件的发生，而不会向管理员发出警报。当系统配置为记录事件并 potential-violation 设置了选项时，数据包转发引擎上的 IDP 日志将转发到路由引擎。然后，路由引擎会解析 IDP 攻击日志，并在必要时发出 IDP 告警。

• 要启用 IDP 警报，请使用命令 set security alarms potential-violation idp 。

• 要验证配置是否工作正常，请使用 show security alarms 命令。