[求助]有没有人会分析NetScreen的log?

guaguatou

不是存心要一稿多投的，发现还是水版的人多啊。;#
[求助]有没有人会分析NetScreen的log?


我的目的：是要找到在某一个时刻，局域网内有一台smtp的服务器是不是发信了。

NetScreen的log怎么看？下面这些东西分别说明了啥？
1。Time Stamp： 这个我知道，是发生的时间
2。Action： 这个是什么意思？现在看到的有Permit 和Deny2种
3。Source：如果这个没有理解错的话，就是发起的源头的ip和端口吧。
4。Destination： 目标ip?什么意思啊
5。Translated Source：这个是什么意思，好像都是0.0.0.0:0么
6。Translated Dest：传送目标？还是目的地？
7。Duration：应该是时间吧。
8。Bytes Sent Bytes ： size?
9.Received Application： 这个是啥？现在有NETBOIS ,TCP PROT 445,HTTP,HTTPS，如果我要找的是SMTP服务器发信的话，应该是哪个呢？

例：
Time Stamp                    Action       Source                       Destination                    Translated Source   Translated Dest        Duration  Bytes Sent Bytes   Received Application
2007-07-09 16：41：02      Permit       XX.6.XX.158:XX388     2XX.1XX.XXX.10X.80       0.0.0.0:0               192.XXX.XXX.XX:80    5sec       2438  43155        HTTP   

非常感谢

yuechu

貌似应该找邮件服务器的log而不是防火墙的log

ritter

不支持直接点

[ 本帖最后由 ritter 于 2007-7-10 12:51 编辑 ]

ritter

字面上好理解:)

mark_mark

是防火墙上有类似的端口映射的设置，外网就可以访问到内网的服务器了吧？
收发邮件，至少要把tcp的25和110都打开（允许）吧

guaguatou

原帖由 yuechu 于 2007-7-10 12:33 发表
貌似应该找邮件服务器的log而不是防火墙的log

找到smtp服务器的log了，正在学习怎么看呢。不过，上面只列出了宛先的ip，没有具体是什么maildress

yuechu

防火墙上只要25和110端口开放了就可以。剩下就和防火墙无关了。

一般都只有IP，没有域名，不然要dns server干吗啊。

guaguatou

原帖由 yuechu 于 2007-7-10 15:16 发表
防火墙上只要25和110端口开放了就可以。剩下就和防火墙无关了。

一般都只有IP，没有域名，不然要dns server干吗啊。

昏，;# ;!! 怎么又出来一个dns server，一句话，能不能在smtp服务器上面找到发到某一个具体mail地址的log?
或者，什么地方能找到证明smtp已经把信发给了这个mail地址，但是被对方的mail服务器拒绝？

ritter

原帖由 guaguatou 于 2007-7-10 15:22 发表


昏，;# ;!! 怎么又出来一个dns server，一句话，能不能在smtp服务器上面找到发到某一个具体mail地址的log?
或者，什么地方能找到证明smtp已经把信发给了这个mail地址，但是被对方的mail服务器拒绝？

拒绝了么有mail error的。至于log，看你的防火墙设置了，如果设置为事无巨细，统统记录，肯定在防火墙找得到当时的连接信息。

smtp服务器应该也有的

ritter

找到对方的mail服务器ip地址，依此对log信息筛选