威胁事件缺乏取证信息排查方法

现象描述

以租户身份登录华为乾坤控制台， 选择边界防护与响应服务，在右上角菜单栏选择“威胁事件”，威胁事件里没有取证数据。

可能原因

• 设备未开启全量取证。
• 设备剩余内存不够，取证信息未存储上报。
• 内容安全检测配置文件里没有打开取证信息开关。
• 不是所有日志都带有取证信息。

处理步骤

1. 在系统视图下执行dis cur | in ips collect-attack-evidence max-session-number查看是否开启全量取证，如果显示max-session-number为0，说明已开启全量取证，此时请执行3，否则执行2。

   

2. 执行如下命令开启全量取证。

   <sysname> system-view 
   [sysname] ips collect-attack-evidence max-session-number 0

3. 在诊断视图执行debugging collect-attack-evidence statistics，检STORED的取值是否为0，如果为0表示没有存储取证信息，此时请执行4，否则请执行5。

   

4. 执行如下命令修改设备存储取证的最小内存阈值。
   V600R007C20SPC603之前版本，缺省值是200，V600R007C20SPC603及之后版本，缺省值是50。内存小于最小内存阈值时，设备不存取证信息。

   <sysname> system-view 
   [sysname] diagnose 
   [sysname-diagnose] debugging collect-attack-evidence min-free-size min-free-size

5. 登录设备Web界面，选择“对象 > 安全配置文件 > 入侵防御”，查看使用的入侵防御配置文件是否开启攻击取证，如果没有开启，请启用。

   

6. 如果仍没有解决，请查看攻击取证相关约束，确认当前的日志信息是否带有取证信息，具体请参见防火墙产品文档的“配置入侵防御”章节。