公司新上了下一代防火墙,结果每天生成几十MB的日志文件,管理员小张翻着Excel表格查攻击IP,一查就是半小时——这事儿真不少见。
别让日志堆成‘数字垃圾山’
防火墙日志不是存着就完事了。没归档、没过滤、没告警,时间一长,硬盘满了,关键事件反而找不到了。就像你家邮箱塞满促销邮件,真正重要的通知早被埋没了。
三步起步:先看清、再分类、后行动
第一步,确认日志来源和格式。常见如Syslog(UDP 514)、JSON API 或本地文本。以FortiGate为例,默认Syslog输出里包含字段:date、time、srcip、dstip、action(accept/deny)、service(如https)、app(如wechat)。
第二步,用规则筛出重点。比如只保留 action=deny 且 app=ssh 的记录,能快速定位暴力破解尝试:
grep "action=deny" firewall.log | grep "app=ssh"第三步,定时归档+自动清理。Linux下可配cron脚本,每周压缩旧日志并删掉90天前的:
0 2 * * 0 find /var/log/firewall/ -name "*.log" -mtime +90 -exec gzip {} \;进阶建议:别硬扛,借力工具
单靠命令行撑不了太久。入门推荐ELK(Elasticsearch+Logstash+Kibana)轻量部署,或直接用Graylog——装好后导入Syslog,点几下就能做出“TOP10 拒绝源IP”图表。某教育局用Graylog后,原来要人工比对3小时的异常访问,现在看一眼仪表盘就定位到某台感染挖矿木马的终端。
最后提醒一句:日志保留时长得合规。等保2.0要求网络设备日志至少保存6个月,别等审计来了才手忙脚乱补归档策略。