查看安全日志

日志和监控>日志>安全日志页面显示最近100条日志记录。

要加载更多的记录,请继续向下滚动页面。日志表会自动刷新。

在屏幕右侧的输入搜索查询搜索字段中输入你的查询,然后点击搜索图标

如果你需要帮助来创建查询:

  1. 单击搜索字段旁边的查询句法图标

  2. 打开查询句法窗口,并显示以下示例:

    • 常规搜索 - 一个简单的字符串或一个IP地址。

      示例:203.0.113.64

    • 重点搜索 -<Field-Name>:<criteria> 。字段名称可以是表列的名称,也可以是日志详细信息中的字段。

      例子:action:dropsource port:22

    • 你可以在搜索中使用运算符。示例:

      [NOT] text1 AND [NOT] text2 … AND [NOT] textn

      [NOT] text1 OR [NOT] text2 … OR [NOT] textn

      [NOT] field1:value1 AND [NOT] field2:value2 … AND [NOT] fieldn:valuen

      [NOT] field1:value1 OR [NOT] field2:value2 … OR [NOT] fieldn:valuen

注意事项

  • 搜索不区分大小写。

  • 确保字段名称和搜索条件之间没有空格。

要限制要搜索的日志数量:

  1. 单击设置选项卡。

  2. 安全日志设置窗口中,选中限制要搜索的日志数量复选框。

  3. 要搜索的最大日志数字段中,使用箭头选择所需的数量。

  4. 点击保存

  1. 从列表中选择一个日志条目。

  2. 点击“查看详情”或双击该条目。

    日志记录打开。

单击刷新图标

要停止本地日志记录:

必要时,你可以停止本地日志记录以获得更好的性能。这消除了创建和维护日志的开销。在你设置恢复选项之前,不会产生新的日志。

  1. 选择操作>停止本地日志记录

  2. 要恢复,请选择操作>恢复本地日志记录

    注意- 在R81.10.08及更低版本中,选择选项而不是操作

日志可以存储在设备的非持久性存储器上,或存储在外部SD卡上(持久性)。日志也可以被发送到外部管理的日志服务器关闭 专用的Check Point服务器,运行Check Point软件以存储和处理日志。上(见日志服务器页面)。

当你插入SD卡时,它会自动挂载,然后将本地日志保存在其中。在你弹出SD卡之前,确保卸载它。选择操作>安全弹出SD卡

注意 - 在R81.10.00及以上版本的固件中,SD卡是以ext4文件系统进行格式化的。在旧的固件版本中,SD卡是用FAT32 文件系统格式化的。即使升级到R77.20.85及以上版本,SD卡上的文件系统仍然是FAT32,以便向后兼容。

 

  1. 日志和监控>日志>安全日志页面中,单击清除日志

    一个确认窗口会打开。

  2. 单击"是"以删除日志。

    日志被删除后,日志界面会自动重新加载。

注意- 日志会从外部SD卡(如果插入了)或本地日志存储中删除。日志不会从远程日志服务器上删除。

日志被删除后,日志界面会自动重新加载。

如需导出安全日志,请参阅配置外部日志服务器