如何将自定义 URL 日志转发到一个日志服务器

详细

为了转发 URL 日志, 必须将严重性 "信息" 的威胁日志转发到日志服务器。这样做将除了 URL 日志之外, 还将转发其他信息威胁日志 (数据筛选)。

有关如何将 URL 日志转发配置为日志的详细信息, 请参阅以下文档:如何将威胁日志转发到日志服务器

默认情况下, 在将威胁日志转发到日志服务器时, 日志将包含包括源 ip、目标 ip 和其他许多字段 (包括 URL) 在内的所有几个域。

若要创建自定义的日志文件格式以包括日志中的 url, 请包括 "$misc" 字段, 如下所示, 获取日志中的 url。

在上面的示例中, $category = Cateogry 的 url, $misc == url, $src == 源 IP 被选中, 而日志如下所示:

URL 筛选和数据筛选使用 "信息性" 威胁严重性。

在此处配置转发设置。此设置不仅允许转发到日志, 还包括转发全景, SNMP 陷阱, 或电子邮件。

以下示例配置电子邮件警报的转发:

所有者︰ sdurga