10-Flow日志配置
本章节下载: 10-Flow日志配置 (203.90 KB)
Flow日志是指用户访问外部网络流信息的相关记录。设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问外部网络的流进行分类统计,并生成用户流(Flow)日志。Flow日志会记录报文的5元组和发送、接收的字节数等信息。网络管理员利用这些信息可以实时跟踪、记录用户访问网络的情况,增强网络的可用性和安全性。
Flow日志有Flow1.0和Flow3.0两个版本。两种Flow日志的格式稍有不同,具体差别请参见表1-1和表1-2。
表1-1 Flow1.0日志信息
字段 |
描述 |
SIP |
源IP地址 |
DIP |
目的IP地址 |
SPORT |
TCP/UDP源端口号 |
DPORT |
TCP/UDP目的端口号 |
STIME |
流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
ETIME |
流结束时间,以秒为单位,从1970/1/1 0:0开始计算 |
PROT |
IP承载的协议类型 |
OPERATOR |
操作字,主要指流结束原因 |
RESERVED |
保留 |
表1-2 Flow3.0日志信息
字段 |
描述 |
Prot |
IP承载的协议类型 |
Operator |
操作字,主要指流结束原因 |
IpVersion |
IP报文版本 |
TosIPv4 |
IPv4报文的Tos字段 |
SourceIP |
源IP地址 |
SrcNatIP |
NAT转换后的源IP地址 |
DestIP |
目的IP地址 |
DestNatIP |
NAT转换后的目的IP地址 |
SrcPort |
TCP/UDP源端口号 |
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
DestPort |
TCP/UDP目的端口号 |
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 |
InTotalPkg |
接收的报文包数 |
InTotalByte |
接收的报文字节数 |
OutTotalPkg |
发出的报文包数 |
OutTotalByte |
发出的报文字节数 |
Reserved1 |
对于0x02版本(FirewallV200R001)保留; 对于0x03版本(FirewallV200R005)第一个字节为源VPN ID,第二个字节为目的VPN ID,第三、四个字节保留 |
Reserved2 |
保留 |
Reserved3 |
保留 |
表1-3 Flow日志配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置Flow日志的版本 |
可选 |
||
配置Flow日志报文的源地址 |
可选 |
||
输出Flow日志 |
配置日志发送到日志服务器 |
二者只能选其一 |
|
配置Flow日志输出到信息中心 |
请根据日志接收设备的实际能力配置Flow日志的版本,如果接收设备不支持某个版本的Flow日志,则收到日志后,它不能正确解析。
表1-4 配置Flow日志的版本
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
配置Flow日志报文的版本号 |
userlog flow export version version-number |
可选 缺省情况下,Flow日志报文的版本号为1.0 |
设备支持Flow1.0和Flow3.0两个版本,但同一时刻只能使用一个版本。所以,如果多次使用该命令配置版本,则最新的配置生效。
源地址通常用于唯一的标志报文的发送者。指定源地址后,当设备A向设备B发送Flow日志时,就使用这个IP地址作为报文的源IP地址,而不是使用报文出接口的真正地址。这样,即便A使用不同的端口向B发送报文,B也可以根据源IP地址来准确的判断该报文是否由A产生。而且该功能还简化了ACL规则和安全策略的配置,只要将ACL规则中定义的源地址或者目的地址参数指定为该源地址,就可以屏蔽接口IP地址的差异以及接口状态的影响,实现对Flow日志报文的过滤。
表1-5 配置Flow日志报文的源地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Flow日志报文的源地址 |
userlog flow export source-ip ip-address |
可选 缺省情况下,Flow日志报文的源地址为发送该报文的接口的IP地址 |
Flow日志有两种输出方式:
· 将Flow日志封装成UDP报文直接发送给网络中的日志服务器。日志服务器可以对Flow日志进行解析和分类显示,以达到远程监控的目的。
· 将Flow日志以系统信息的格式输出到设备的信息中心模块,再通过设置信息中心的输出参数,最终决定Flow日志的输出方向。关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
Flow日志的两种输出方式互斥:如果同时配置了两种输出方式,则系统会自动选择输出到信息中心,而不会发送到日志服务器。
表1-6 配置Flow日志发送到IPv4日志服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置Flow日志服务器的IPv4地址和UDP端口号 |
userlog flow export host ipv4-address udp-port |
必选 缺省情况下,没有配置Flow日志服务器的IP v4地址和UDP端口号 |
表1-7 配置Flow日志发送到IPv6日志服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置Flow日志服务器的IPv6地址和UDP端口号 |
userlog flow export host ipv6 ipv6-address udp-port |
必选 缺省情况下,没有配置Flow日志服务器的IPv6地址和UDP端口号 |
每台设备最多可指定两台Flow日志服务器,即Pv4 Flow日志服务器和IPv6 Flow日志服务器的总数不能超过两台。达到最大数目后,必须先删除已有配置才能重新指定。如果即将执行的命令的地址参数与当前生效的日志服务器的IP地址相同,其它信息不同,则即将执行的命令会覆盖原有配置。
表1-8 配置Flow日志输出到信息中心
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Flow日志输出到信息中心 |
userlog flow syslog |
必选 缺省情况下,Flow日志输出到Flow日志服务器 |
· 日志输出到信息中心会占用设备的存储空间,所以,建议在日志量较小的情况下,使用该输出方向。
· 日志输出至信息中心时,日志信息的优先级为informational,即作为设备的一般提示信息。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的Flow日志的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除Flow日志信息。
表1-9 Flow日志显示和维护
操作 |
命令 |
查看日志的配置和统计信息 |
display userlog export [ | { begin | exclude | include } regular-expression ] |
清除Flow日志的统计信息 |
reset userlog flow export |
清除设备缓存区中的Flow日志 |
reset userlog flow logbuffer |
清除日志缓存中的记录会造成日志信息的丢失,正常情况下,建议不要进行清除操作。当确定不需要缓存中的日志信息时,可清除所有的Flow日志。
如图1-1所示,在日志服务器上(Log server)对User的上网活动进行监控。
图1-1 配置Flow日志组网图
请在Device上进行如下配置。
# 按组网图所示配置各接口的IP地址,并确保Device与User、Log server之间路由可达。(配置步骤略)
# 将Flow日志报文版本号设为3.0。
<Device> system-view
[Device] userlog flow export version 3
# 将Flow日志信息发送给Flow日志服务器(地址为1.2.3.6:2000)。
[Device] userlog flow export host 1.2.3.6 2000
# 将2.2.2.2配置为承载Flow日志的UDP报文的源IP地址,以便Log server能够区别该日志描述的是Device上的行为还是别的设备的行为。
[Device] userlog flow export source-ip 2.2.2.2
# 查看设备日志的配置和统计信息。
<Device> display userlog export
nat:
No userlog export is enabled
flow:
Export Version 3 logs to log server : enabled
Source address of exported logs : 2.2.2.2
Address of log server : 1.2.3.6 (port: 2000)
total Logs/UDP packets exported : 112/87
Logs in buffer : 6
· 原因:可能是既没有配置信息中心输出方向,也没指定日志服务器的地址。
· 解决方法:配置日志输出到信息中心,或者配置日志输出到日志服务器。
· 原因:可能是既配置了向日志服务器输出,又配置了向信息中心方向输出。
· 解决方法:可以先恢复到缺省配置,再配置日志服务器的IP地址和UDP端口号。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!