西门子工业WinCC软件经销总代理商

西门子工业WinCC软件经销总代理商记录安全事件Syslog 存储Syslog 表示“系统日志记录协议”，是存储、传输和收集安全事件触发的日志消息的标准。网络设备中的预定义事件被收集为设备（Syslog 客户端）中的安全事件，并作为 Syslog消息存储在本地缓存中。Syslog 服务器分类采集 Syslog 消息，然后可以通过多种方式对这些消息进行分析、过滤和显示。此外，还可以组态关键事件的通知。收集的这些安全事件存储在 CPU 诊断缓冲区中：• 使用正确或错误的密码转至在线• 检测到通信数据遭到篡改工业网络安全4.9 CPU 的安全操作自动化系统58 系统手册, 11/2023, A5E03461186-AL• 检测到存储卡中的数据遭到篡改• 检测到固件更新文件遭到篡改• 将更改的保护等级（访问保护）下载到 CPU 中• 启用或禁用密码验证（通过指令，或在适用情况下通过 CPU 显示屏）• 由于超出了所允许的并行访问尝试次数，在线访问遭到拒绝• 现有的在线连接未激活而导致超时• 使用正确或错误的密码登录 Web 服务器• 创建 CPU 的备份• 恢复 CPU 组态（恢复）自固件版本 V3.1 起，上面列出的安全事件也作为 Syslog 消息存储在 CPU 的本地缓存中。有关所有 Syslog 消息的概述，请前往以下“网址

国际化工业自动化科技产品供应商，西门子G120、G120C V20 变频器； S120 V90 伺服控制系统；6EP电源；电线；电缆；

网络交换机；工控机等工业自动化的设计、技术开发、项目选型安装调试等相关服务是专业从事工业自动化控制系统、机电一体化装备和信息化软件系统

集成和硬件维护服务的综合性企业。与西门子品牌合作，只为能给中国的客户提供值得信赖的服务体系，我们

的业务范围涉及工业自动化科技产品的设计开发、技术服务、安装调试、销售及配套服务领域。建立现代化仓

储基地、积累充足的产品储备、引入万余款各式工业自动化科技产品，我们以持续的卓越与服务，取得了年销

售额10亿元的佳绩，凭高满意的服务赢得了社会各界的好评及青睐。其产品范围包括西门子S7-SMART200、 S7-200CN、S7-300、S7-400、S7-1200、S7-1500、S7-ET200SP 等各类工业自动化产品。西门子授权代理商、西门子一级代理商 西门子PLC模块代理商﹐西门子模块代理商供应全国范围：

与此同时，我们还提供。

西门子中国授权代理商—— 浔之漫智控技术（上海）有限公司，本公司坐落于松江工业区西部科技园，西边和全球zhuming芯片制造商台积电毗邻，

东边是松江大学城，向北5公里是佘山国家旅游度假区。轨道交通9号线、沪杭高速公路、同三国道、松闵路等

交通主干道将松江工业区与上海市内外连接，交通十分便利。

目前，浔之漫智控技术（上海）有限公司将产品布局于中、高端自动化科技产品领域，

PLC模块S7-200、S7-1200、S7-300、S7-400、ET200分布式I/O等

HMI触摸屏、SITOP电源、6GK网络产品、ET200分布式I/O SIEMENS 驱动产品MM系列变频器、G110 G120变频器、直流调速器、电线电缆、

驱动伺服产品、数控设备SIEMENS低压配电与控制产品及软起动器等

yslog 消息使用 Syslog 消息举例来说，有关自动化组件 IT 安全的guojibiaozhun和国家法规要求能够记录安全相关事件。Syslog（系统日志记录）是用于传送已记录事件的 IETF 标准协议 (RFC 5424)，并满足这一要求。CPU 可以记录以下事件，例如：• 安全事件• 固件更新• 对用户程序的更改• 对组态的更改• 对运行状态的更改无法停用安全相关事件的收集。每个固件版本为 V3.1 及更高版本的 CPU 都会将 syslog 消息保存在本地缓存中。通过查询该缓冲，可查看 syslog 消息并识别潜在的安全风险。CPU 的本地缓存被组织为环形缓冲区。当达到缓存的存储限制并且发生其它安全事件时，缓存中Zui旧的消息将被覆盖。如果要使用 syslog 消息访问本地缓存，请使用 Web 服务器的 Web API（API 方法Syslog.Browse）。有关操作步骤的信可选择将 CPU 收集的事件传送到网络中的 syslog 服务器。转发给 syslog 服务器自 STEP 7 V19 起，对于固件版本为 V3.1 及更高版本的 CPU，可以将 syslog 消息传送到服务器，例如 SINEC INS。Syslog 消息通过 syslog 协议传送到 syslog 服务器。Syslog 服务器会保存所连接设备发出的所有 syslog 消息。系统和网络事件的消息集中存储在 syslog服务器的存储位置中。在 syslog 服务器界面，可查看收集的 syslog 消息，从而确定潜在安全风险或问题的来源。默认情况下，Syslog 消息通过端口 514 (UDP) 或端口 6514（基于 TCP 的 TLS）发送到Syslog 服务器。说明如果使用 UDP 作为传输协议，则数据传输时不会加密。UDP 也省略了身份验证。在安全信息和事件管理系统（SIEM 系统）中进行处理为了能够接受传入的 syslog 消息，SIEM-系统必须根据 RFC 5424 理解 syslog 协议。否则，SIEM 系统无法接受或处理传入的消息。SIEM 系统将传入的 syslog 消息分为单独的元素。这些元素在 SIEM 系统中分配给其自有的事件。在该事件中，会分析各个 syslog 消息之间是否存在连接。SIEM 系统通过这种方式检测可能的攻击模型，并在必要时通知用户，比如系统中多个点遭受多次攻击的情况。手册。有关 syslog 消息结构的信息，请参见“Syslog 消息的结构 (页 65)”部分。4.9.11.1 将 syslog 消息传送到 syslog 服务器要求如果要将 CPU 的 syslog 消息传送到 syslog 服务器，必须满足以下要求：• STEP 7 版本 V19 及更高版本• CPU 的固件版本为 V3.1 及更高版本• 已在 STEP 7 中创建项目。• STEP 7 的设备或网络视图已打开操作步骤要将 CPU 组态为向 syslog 服务器传送 syslog 消息，请执行以下步骤：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 服务器”(Properties >Protection & Security > Syslog > Syslog server)。3. 在“连接到 Syslog 服务器”(Connection to syslog server) 区域中，选择“启用 Syslog 消息到 Syslog 服务器的传输”(Enable transfer of syslog messages to a syslog server) 选项。以下选项变为可编辑状态4. 从“传输协议”下拉列表中选择以下选项中的一项：– “传输层安全性 (TLS) - 服务器和客户端身份验证”(Transport Layer Security (TLS) -server and client authentication)：加密数据传输、syslog 服务器和客户端 (CPU) 必须验证自身身份。– “传输层安全性 (TLS) - 仅服务器身份验证”(Transport Layer Security (TLS) - onlyserver authentication)：加密数据传输，只有 syslog 服务器需要验证自身身份。– “UDP”：未加密的数据传输，syslog 服务器和客户端（CPU）都不需要验证自身身份。接下来的几部分将介绍如何根据指定的设置选择身份验证证书（登录）。5. 在“syslog 服务器的地址”列，输入有效的服务器地址。6. 在“端口”列，根据使用的传输协议输入以下端口号之一：– TLS 的标准 TCP 端口：6514– 标准 UDP 端口：514结果：已组态将 syslog 消息传送到 syslog 服务器。图 4-4 已组态将 syslog 消息传送到 syslog 服务器STEP 7 为 TLS 传输协议提供 CPU 所需的客户端证书。如果证书是在 CPU 内管理的，则可选择已有证书或创建新证书。为此，请按以下步骤操作：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 证书”(Properties >Protection & Security > Syslog > Certificates for Syslog)。3. 在“客户端证书”(Client certificate) 字段中选择相应的证书。选择 TLS 传输协议后，已组态的 syslog 服务器必须验证自己的身份，这样可确保 CPU 仅会连接到可信任的服务器。如果要放弃服务器身份验证，请激活运行过程中自动接受服务器证书。要组态这些设置，请按以下步骤操作：1. 在 STEP 7 的设备或网络视图中选择所需 CPU。2. 在巡视窗口中，导航至“属性 > 保护和安全 > Syslog > Syslog 证书”(Properties >Protection & Security > Syslog > Certificates for Syslog)。3. 在“可信任的服务器”(Trusted servers) 区域中，指定是否应对连接的 Syslog 服务器进行身份验证。在这种情况下，需要完善以下信息：– 添加可信任的服务器：在“使用者的公共名称”列中添加有效的服务器证书。– 运行过程中自动接受证书：激活“运行过程中自动接受服务器证书”选项。无法在表格中进行编辑。说明无需使用自动接受的服务器证书进行身份验证如果启用“运行过程中自动接受服务器证书”选项，则服务器不需要验证自身身份。这意味着 CPU 还可以连接到可能存在安全风险的未知服务器。仅在调试期间或在受保护的环境中选择此选项。Syslog 消息的结构CPU 在本地缓存中收集 syslog 消息。这些 syslog 消息的结构符合 syslog 协议 (RFC 5424)的规定，由以下元素组成：• HEADER• STRUCTURED-DATA• MSG (Message)下面几部分将介绍各个元素的结构和参数。HEADER 元素的结构标头包含对 syslog 消息进行进一步处理所需的所有数据。标头的各部分用空格分隔（例外情况：PRI 和 VERSION 之间没有空格）。举例来说，CPU 可在 syslog 消息中传送以下标头PRI 将 syslog 消息的优先级编码，分为 Severity（消息的严重程度）和Facility（消息来源）。PRI 值的组成方式如下：• PRI = 设施 x 8 + 严重程度可能值：• 严重程度– 0 = 紧急情况：系统不可用– 1 = 警报：必须立即采取行动– 2 = 严重：严重情况– 3 = 错误：错误情况– 4 = 警告：警告情况– 5 = 注意：正常但重要的情况– 6 = 信息：信息消息– 7 = 调试：调试级消息• 设施– 1 = 用户级消息– 2 = 邮件系统– 3 = 系统后台程序– 4 = 安全/授权消息– 5 = 由 syslog 内部生成的消息– 6 = 行式打印机子系统– 7 = 网络新闻子系统– 8 = UUCP 子系统– 9 = 时钟后台程序– 10 = 安全/授权消息– 11 = FTP 后台程序– 12 = NTP 子系统– 13 = 日志审计– 14 = 日志警报CPU 并不使用列出的所有严重程度/设施值。VERSION Syslog 规范的版本号