高级防护规则建议可以选择是否记录日志

toscan · 发表于 2021-3-2 18:16:55

有些自己设置的高级防护规则，已经调试的很成熟了，无需再做日志跟踪。
而有些新规则需要跟踪日志查看效果。建议添加一个是否记录日志的开关，这样可以减少无效日志的产生。

另外，建议将高级防护里的ip协议控制的日志单列或者和系统防护里的联网控制单独归类到一起。放在高级防护里，和其他格格不入。而且功能入口控制联网和控制ip分开，逻辑也很奇怪。

火绒运营专员 · 发表于 2021-3-2 18:25:20

您好，您的建议收到，帮您转交给相关人员，感谢您的反馈~

toscan · 发表于 2021-3-2 21:31:39

火绒运营专员发表于 2021-3-2 18:25
您好，您的建议收到，帮您转交给相关人员，感谢您的反馈~

是每条规则组都加一个这个开关，不是整个高级防护哈！

火绒运营专员 · 发表于 2021-3-3 09:34:01

好的，收到，帮您转交相关人员~

火绒运营专员 · 发表于 2021-3-4 19:49:18

不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。
[backcolor=rgba(0, 0, 0, 0.7)]

建议2：因为IP协议控制相较于联网控制配置规则更复杂，并且对于用户了解网络协议有一定要求，所以此功能放在了高级防护中。

toscan · 发表于 2021-3-5 17:59:16

火绒运营专员发表于 2021-3-4 19:49
不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。

建议一，问题是某些阻止条目一天1万多条的日志量，有必要么？
日子的log.db体积达到一天增长500M-1.2GB有意义么？

建议二，IP协议这块单列或者加个筛选吧，否则和前边一万多条的阻止混在一起，基本不知道有没有拦截到东西，即使导出筛选，也得有个目标去筛才是。

Dzrjks6606 · 发表于 2021-3-5 18:21:27

火绒运营专员发表于 2021-3-4 19:49
不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。

同意楼主的意见，日志洪水问题有的规则配置目的就是屏蔽某一个动作，但是如果发生了其它的事件比如网络入侵恰巧被火绒拦截了，因为日志过多造成无法第一时间看到而清空更是不好的情况。虽然可以直接筛选但杂项日志过多的话不是一个好的状况。

a77841s · 发表于 2021-3-5 18:25:57

官方還是考慮一下吧
畢竟都自行寫規則了，出個選項需要時再打開紀錄也行呀
不然一直刷真的會受不了..也影響美觀跟正常查看紀錄

Nobuchika · 发表于 2021-3-7 09:02:47

火绒运营专员发表于 2021-3-4 19:49
不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。

這個問題已經提過多次，請官方認真考慮。
對於規則熟練的用戶來說，大量日誌紀錄讓自訂規則完全沒辦法活用阿.....

toscan · 发表于 2021-3-8 00:19:57

火绒运营专员发表于 2021-3-4 19:49
不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。

本来就是面向高级用户的规则，对高级用户来说，灵活配置，自定日志才是关键啊。官方排查需要日志的时候，高级用户自己也能给打出来啊。

另外日志的log.db，各种hips.db建议安装目录下，单独建立一个DB文件夹放置，都一股脑丢在huorong\Sysdiag\下，每次打开一堆db，db-wal，db-shm的数据库IO，排查大小占用也很烦人的

Nobuchika · 发表于 2021-3-8 21:13:39

火绒运营专员发表于 2021-3-4 19:49
不考虑让用户选择性记录日志，不记录日志的话不利于我们排查问题。

請回復一下評估結果，謝謝。

火绒运营专员 · 发表于 2021-3-9 09:21:26

Nobuchika 发表于 2021-3-8 21:13
請回復一下評估結果，謝謝。

您好，不知道您指的评估结果的哪方面，楼上已回复不考虑让用户选择性记录日志，因为不记录日志的话不利于我们排查问题，感谢反馈~

Dzrjks6606 · 发表于 2021-3-9 09:31:13

火绒运营专员发表于 2021-3-9 09:21
您好，不知道您指的评估结果的哪方面，楼上已回复不考虑让用户选择性记录日志，因为不记录日志的话不利于 ...

之前配置过一个文件规则，设置自动阻止，火绒日志持续占用IO，一分钟接近1万条，焦点在日志这"刷新"按钮上按住回车可看到数字上涨迅速。然而这些都是不需要记录的，请问这种情况如何解决？使用其它Hips软件吗

Nobuchika · 发表于 2021-3-10 18:19:20

火绒运营专员发表于 2021-3-9 09:21
您好，不知道您指的评估结果的哪方面，楼上已回复不考虑让用户选择性记录日志，因为不记录日志的话不利于 ...

對於自訂規則造成大量讀取/寫入的狀況，官方是否有改善方案？

不提供使用者關閉，可以，但總要有解決方法吧？尤其這個問題已經提出非常多次，官方也未提出妥善的解決方案

謝謝

toscan · 发表于 2021-3-12 01:54:56

火绒运营专员发表于 2021-3-9 09:21
您好，不知道您指的评估结果的哪方面，楼上已回复不考虑让用户选择性记录日志，因为不记录日志的话不利于 ...

本来就是面向高级用户的规则，对高级用户来说，灵活配置，自定日志才是关键啊。官方排查需要日志的时候，高级用户自己也能给打出来啊。

另外日志的log.db，各种hips.db建议安装目录下，单独建立一个DB文件夹放置，都一股脑丢在huorong\Sysdiag\下，每次打开一堆db，db-wal，db-shm的数据库IO，排查大小占用也很烦人的