1 前言

一个问题，一篇文章，一出故事。
最近想记录3C审计日志，于是整理此文。

2 最佳实践

2.1 配置日志服务器

详细请参阅如下章节，

如何配置Ubuntu RSyslog接收网络设备日志？

2.2 配置路由设备上传日志

如上图所示，
勾选【审计服务器地址】并填写服务器IP地址和端口,当前范例为“192.168.77.32”和“514”
单击【应用】即可完成配置

2.3 测试

2.3.1 监视日志

日志服务器端通过如下命令监视日志，

tail -f /var/log/router/192.168.77.1.log

2.3.2 配置网址黑名单

然后通过例如如下的Web地址登录路由器，
http://192.168.77.1

如上图所示，
单击【网址黑名单】
在“网址分类”栏位中输入“myBlock”
在“地址组”栏位中选择“所有用户”
在“时间组”栏位中选择“所有时间”
在“操作”中栏位选择单击【+】

如上图所示，
单击【设置网页关键字】按钮
在“网址关键字”栏位中输入“*cmdschool*”
在“操作”中栏位选择单击【+】
单击【确定】保存退出

2.3.3 配置网址黑名单

内网电脑浏览器尝试访问“https://www.cmdschool.org”，正常可见如下日志，

2025-03-06T10:55:45+08:00 _gateway [1741229745.000] message repeated 2 times: [ User:192.168.77.32  Action:Block   Urlfilter--> UrlClassification:myBlock  DestinationUrl:www.cmdschool.org]