审计qq登录记录怎么查询

i目录1应用审计与管理1-11.
1应用审计与管理简介·1-11.
1.
1基本概念1-11.
1.
2应用审计与管理的实现流程1-21.
1.
3应用审计与管理策略1-21.
1.
4过滤条件1-31.
1.
5审计规则1-31.
1.
6审计日志1-31.
2配置准备·1-31.
3应用审计与管理策略配置任务简介·1-41.
4创建应用审计与管理策略·1-41.
5配置策略的过滤条件·1-41.
6配置策略的审计规则·1-51.
7配置审计规则的关键字1-61.
8管理和维护应用审计与管理策略·1-61.
9激活DPI各业务模块的策略和规则配置1-71.
10应用审计与管理策略典型配置举例·1-71.
10.
1应用审计与管理策略审计账号登录典型配置举例·1-71.
10.
2应用审计与管理策略审计敏感信息典型配置举例·1-81-11应用审计与管理本特性会解析出用户报文中的敏感信息和私密信息,请保证将本特性仅用于合法用途.

1.
1应用审计与管理简介应用审计与管理是在APR(ApplicationRecognition,应用层协议识别)的基础上进一步识别出应用的具体行为和行为内容,据此对用户的上网行为进行审计和记录.
1.
1.
1基本概念1.
应用行为各种应用和软件在使用过程中会表现不同的行为特征,比如IM聊天软件的登录、发消息;FTP的上传文件、下载文件等.
2.
行为内容行为内容是指某一行为的具体内容,比如IM聊天软件登录的行为内容是账号信息,FTP上传文件的行为内容是文件名信息等.
行为内容的匹配方式包括两种:字符串和数字.

1-21.
1.
2应用审计与管理的实现流程图1-1应用审计与管理的实现流程图1.
1.
3应用审计与管理策略不同类型的应用审计与管理策略能对符合过滤条件的报文进行差异化处理.

1.
策略类型应用审计与管理策略分为如下三种类型:审计策略:对匹配策略中所有过滤条件的报文进行审计.
免审计策略:对匹配策略中所有过滤条件的报文进行免审计.
阻断策略:对匹配策略中所有过滤条件的报文进行阻断.
2.
策略的匹配原则设备上可以存在多个应用审计与管理策略,报文按照策略的配置顺序进行匹配,一旦与某个策略匹配成功便结束匹配过程.
若报文未与任何策略匹配成功,则设备将根据应用审计与管理策略的缺省动作对报文进行处理.
应用审计与管理策略的配置顺序可在应用审计与管理视图下通过displaythis命令查看,配置顺序与策略的创建顺序有关,先创建的策略优先进行匹配.
同时,也可以通过移动策略的位置来调整策略的配置顺序.
根据以上应用审计与管理策略的匹配原理,为使设备上部署的应用审计与管理策略对流经设备的报文能够达到更好、更精准的审计效果,需要在配置应用审计与管理策略时遵循"深度优先"的原则,即先配置审计范围小的,再配置审计范围大的.
开始是阻断类型是否匹配过滤条件是否匹配审计规则阻断报文执行规则的缺省动作结束是否否执行策略的缺省动作免审计类型免审计允许通过审计类型执行规则中配置的动作判断策略类型1-31.
1.
4过滤条件应用审计与管理策略中可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、用户组、应用、应用组、服务和生效时间.
策略被匹配成功的条件是:策略中已配置的过滤条件均被匹配成功,但是对于用户和用户组只需匹配一项即可,应用和应用组也是只需匹配一项即可.
每种过滤条件中也可以配置多个匹配项,比如一个源IP地址中可以指定多个地址对象组等.
每种过滤条件被匹配成功的条件是:过滤条件的任何一个匹配项被匹配成功即可.

1.
1.
5审计规则在审计类型的应用审计与管理策略中可以配置一系列的审计规则对某一应用的具体行为和行为内容进行精细化审计,并输出审计信息.
审计规则的匹配模式分为顺序匹配和全匹配两种,不同模式下审计规则的匹配原则如下:顺序匹配:按照审计规则ID从小到大的顺序进行匹配,一旦报文与某条审计规则匹配成功便结束此匹配过程,并根据该审计规则中的动作对此报文进行相应处理.
全匹配:按照审计规则ID从小到大的顺序进行匹配,若报文与某条动作为允许的规则匹配成功,则继续匹配后续规则直到最后一条;若报文与某条动作为阻断的规则匹配成功,则不再进行后续规则的匹配.
设备将根据所有匹配成功的审计规则中优先级最高的动作(阻断的优先级高于允许)对此报文进行处理.
若报文未与任何审计规则匹配成功,则根据审计规则的缺省动作对此报文进行处理.

1.
1.
6审计日志设备可以对匹配审计规则的报文输出审计日志,其输出方式包括:输出到信息中心和快速日志.
缺省情况下,审计日志输出到信息中心;执行customlogformatdpi命令后,设备使用快速日志方式输出审计日志.
在多Context应用场景中,将产生大量的审计日志信息,建议使用快速日志方式输出审计日志,降低对设备处理性能的影响.
有关快速日志的详细介绍请参见"网络管理和监控配置指导"中的"快速日志输出".
有关Context的详细介绍请参见"虚拟化技术配置指导"中的"Context".
1.
2配置准备在配置应用审计与管理策略之前,需完成以下任务:配置时间段(请参见"ACL和QoS配置指导/ACL")配置IP地址对象组和服务对象组(请参见"安全配置指导/对象组")配置应用和应用组(请参见"安全配置指导/APR").
配置用户和用户组组(请参见"安全配置指导/用户身份识别与管理").
配置安全域(请参见"安全配置指导/安全域")1-41.
3应用审计与管理策略配置任务简介表1-1应用审计与管理策略配置任务简介配置任务说明详细配置创建应用审计与管理策略必选1.
4配置策略的过滤条件可选1.
5配置策略的审计规则必须1.
6配置审计规则的关键字可选1.
7管理和维护应用审计与管理策略可选1.
8激活DPI各业务模块的策略和规则配置必须1.
91.
4创建应用审计与管理策略1.
配置限制和指导每类策略中具体可配置的内容不同,其中application命令只能在免审计和阻断类型的策略下配置,rule、ruledefault-action和rulematch-method命令只能在审计类型的策略下配置.
创建应用审计与管理策略时必须指定策略类型,进入已存在的策略时不需要指定策略类型.

2.
配置步骤表1-2创建应用审计与管理策略操作命令说明进入系统视图system-view-进入应用审计与管理视图uapp-control-创建应用审计与管理策略,并进入应用审计与管理策略视图policynamepolicy-name[audit|deny|noaudit]缺省情况下,不存在应用审计与管理策略(可选)配置应用审计与管理策略的缺省动作policydefault-action{deny|permit}缺省情况下,应用审计与管理策略的缺省动作是允许1.
5配置策略的过滤条件表1-3配置策略的过滤条件操作命令说明进入系统视图system-view-进入应用审计与管理视图uapp-control-进入应用审计与管理策略视图policynamepolicy-name-1-5操作命令说明配置作为应用审计与管理策略过滤条件的源安全域source-zonesource-zone-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的目的安全域destination-zonedestination-zone-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的源IP地址source-address{ipv4|ipv6}object-group-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的目的IP地址destination-address{ipv4|ipv6}object-group-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的服务serviceservice-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的用户useruser-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的用户组user-groupuser-group-name缺省情况下,应用审计与管理策略下不存在过滤条件配置作为应用审计与管理策略过滤条件的应用和应用组application{appapplication-name|app-groupapplication-group-name}缺省情况下,应用审计与管理策略下不存在过滤条件仅在免审计和阻断类型的应用审计与管理策略中可配置应用和应用组配置应用审计与管理策略的生效时间time-rangetime-range-name缺省情况下,应用审计与管理策略在任何时间都生效1.
6配置策略的审计规则1.
配置限制和指导审计规则的功能仅支持在审计类型的应用审计与管理策略中配置.
2.
配置步骤表1-4配置策略的审计规则操作命令说明进入系统视图system-view-进入应用审计与管理视图uapp-control-进入应用审计与管理策略视图policynamepolicy-name-配置应用审计与管理策略的审计规则rulerule-id{appapp-name|app-categoryapp-category-name|any}behavior{behavior-name|any}bhcontent{bhcontent-name|any}{keyword{equal|exclude|include|unequal}{keyword-group-name|any}|integer{equal|greater|less|unequal}{number}}action{deny|permit}[audit-logging]缺省情况下,应用审计与管理策略中不存在审计规则1-6操作命令说明(可选)配置审计规则的匹配模式rulematch-method{all|in-order}缺省情况下,审计规则的匹配模式为顺序匹配(可选)配置审计规则的缺省动作ruledefault-action{deny|permit}缺省情况下,审计规则的缺省动作为允许1.
7配置审计规则的关键字表1-5配置审计规则的关键字操作命令说明进入系统视图system-view-进入应用审计与管理视图uapp-control-创建关键字组,并进入关键字组视图keyword-groupnamekeyword-group-name缺省情况下,不存在关键字组配置关键字组的描述信息descriptiontext缺省情况下,不存在关键字组的描述信息配置关键字keywordkeyword-value缺省情况下,不存在关键字1.
8管理和维护应用审计与管理策略为方便用户的管理和维护,应用审计与管理策略创建后,可以对其进行如下操作:复制重命名移动禁用表1-6管理和维护应用审计与管理策略操作命令说明进入系统视图system-view-进入应用审计与管理视图uapp-control-复制应用审计与管理策略policycopypolicy-namenew-policy-name-重命名应用审计与管理策略policyrenameold-policy-namenew-policy-name-移动应用审计与管理策略的位置policymovepolicy-name1{after|before}policy-name2-进入应用审计与管理策略视图policynamepolicy-name-关闭应用审计与管理策略disable缺省情况下,应用审计与管理策略处于开启状态1-71.
9激活DPI各业务模块的策略和规则配置当DPI各业务模块的策略和规则被创建、修改和删除后,需要配置此功能使其策略和规则配置生效.
配置此功能会暂时中断DPI业务的处理,为避免重复配置此功能对DPI业务造成影响,请完成部署DPI各业务模块的策略和规则后统一配置此功能.
有关此功能的详细介绍请参见"DPI深度安全配置指导"中的"应用层检测引擎".
表1-7激活DPI各业务模块的策略和规则配置操作命令说明进入系统视图system-view-激活DPI各业务模块的策略和规则配置inspectactivate缺省情况下,DPI各业务模块的策略被创建、修改和删除时不生效1.
10应用审计与管理策略典型配置举例1.
10.
1应用审计与管理策略审计账号登录典型配置举例1.
组网需求某公司内的各部门通过Device与Internet连接,该公司的工作时间为每周工作日的8点到18点.
通过配置应用审计与管理策略,对在上班时间登录的QQ账号均进行审计允许登录,并记录日志.
2.
组网图图1-2应用审计与管理策略审计账号登录典型配置组网图3.
配置步骤(1)配置各接口的IP地址(略)(2)创建安全域并将接口加入安全域(略)(3)配置相关的路由和安全策略,保证Trust安全域中的主机可以正常访Internet(略)HostA192.
168.
1.
2/24InternetDeviceHostDGE1/0/1GE1/0/22.
2.
2.
1/24HostB192.
168.
1.
3/24192.
168.
1.
1/245.
5.
5.
5/24TrustUntrustHostC192.
168.
1.
4/241-8(4)配置时间段#创建名为work的时间段,其时间范围为每周工作日的8点到18点.
system-view[Device]time-rangework08:00to18:00working-day(5)配置应用审计与管理策略#进入应用审计与管理视图.
[Device]uapp-control[Device-uapp-control]#创建一个名称为audit-qq的应用审计与管理策略,其类型为审计,并进入应用审计与管理策略视图.
[Device-uapp-control]policynameaudit-qqaudit[Device-uapp-control-policy-audit-qq]#配置应用审计与管理审计策略audit-qq过滤条件的源安全域为Trust.
[Device-uapp-control-policy-audit-qq]source-zonetrust#配置应用审计与管理审计策略audit-qq过滤条件的源安全域为Untrust.
[Device-uapp-control-policy-audit-qq]destination-zoneuntrust#配置应用审计与管理审计策略audit-qq的生效时间段为work.
[Device-uapp-control-policy-audit-qq]time-rangework#配置审计规则,对在上班时间登录的QQ账号均进行审计允许登录,并记录日志.
[Device-uapp-control-policy-audit-qq]rule1appQQbehaviorLoginbhcontentanykeywordequalanyactionpermitaudit-logging[Device-uapp-control-policy-audit-qq]quit[Device-uapp-control]quit(6)激活应用审计与管理的策略和规则配置.
[Device]inspectactivate4.
验证配置以上配置完成后,若内网主机上有账号为1551281595的QQ登录,则设备会对此QQ账号登录进行审计允许登录,并会有审计日志信息输出.
1.
10.
2应用审计与管理策略审计敏感信息典型配置举例1.
组网需求某公司内的各部门通过Device与Internet连接,通过配置应用审计与管理策略,当内网用户使用微软必应搜索查找的信息中包含"机密"或"恐怖袭击"关键字时,拒绝此次搜索,并记录日志.