• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

04-日志配置指导

本章节下载 04-日志配置指导  (256.88 KB)

04-日志配置指导


1 日志

1.1  日志概述

1.1.1  日志的类型

日志功能记录并输出各种日志信息,分别是系统日志、安全防护日志、流日志、应用审计日志、网站访问日志和调试(debug)信息。详细分类如表1-1所示。

表1-1 日志分类

日志分类

日志名称

描述

系统日志

系统日志

系统状态,如接口up、down事件

操作日志

系统操作信息,如对系统进行的命令操作

系统健康日志

系统的健康状态,CPU占用率、磁盘占用率等

安全防护日志

IP-MAC日志

ARP攻击

扫描攻击防御日志

扫描攻击

Flood攻击防御日志

泛洪攻击

异常报文攻击日志

异常报文

流日志

流量日志

会话日志

NAT日志

NAT转换的日志

应用审计日志

IM聊天软件日志

IM 即时通讯信息,如QQ、MSN等

社区日志

网络社区,微博、论坛等

搜索引擎日志

搜索引擎产生的日志

邮件日志

邮件信息

命令日志

FTP、Telnet协议的命令

其它应用日志

其它类型的应用日志,如P2P、网银等使用

网站访问日志

URL日志

访问网站

恶意URL日志

访问恶意网站

 

说明

调试(debug)信息不显示在日志系统中,执行debug xxx命令开启模块的debug开关后,使用display log debug命令显示debug信息,使用clear log debug 命令清除相关信息。

 

1.1.2  日志的等级

日志信息是根据日志信息的严重程度区分的,根据严重程度不同,日志的严重等级可以分为8级,日志的级别如表1-2所示。

表1-2 日志的级别

级别

级别号

描述

紧急(emergencies)

0

系统不可用信息

警报(alerts)

1

需要立即处理的信息,如设备收到攻击等

严重(critical)

2

危机的信息,如硬件出错

错误(errors)

3

错误信息

警告(warnings)

4

报警信息

通告(notifications)

5

非错误信息,但需要特殊处理

信息(informational)

6

通知信息

诊断(debug)

7

一般作为模块内部调试信息用

 

1.1.3  日志信息输出

日志信息可以输出到不同的目的地,支持以下几种日志信息输出目的地,用户可以根据自己的需要指定。具体的日志输出如表1-3所示。

表1-3 日志信息输出

目的地

描述

server

系统可以将日志发向syslog服务器

local

缺省情况下,系统将日志记录在本地数据库

 

1.2  日志配置

1.2.1  配置本地日志

设备本地有数据库,日志可以记录在本地的数据库当中,配置是否记录本地日志的方式如表1-4所示。

表1-4 配置本地日志

操作

命令

说明

进入系统视图

system-view

配置本地日志

log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } local enable

可选

缺省情况下,本地不记录会话日志和NAT,其它类型的日志本地会记录

 

1.2.2  远端日志配置

日志可以发送给远端的syslog服务器或者外置数据中心,统可以指定最多三个日志服务器地址,配置远端服务器的步骤如表1-5所示。

表1-5 远端日志配置

操作

命令

说明

进入系统视图

system-view

启用日志服务器

log server enable

必选

缺省情况下,没有启用日志服务器

配置日志服务器的IP地址

log server ip-address

必选

配置日志服务器的端口

log server port port-number

可选

缺省情况下,日志服务器的端口号是514

配置日志服务器的加密选项

log server crypt

可选

缺省情况下,日志加密是禁用的

配置第二日志服务器的IP地址

log server second addrip-address

可选

配置第二日志服务器的端口

log server second portport-num

可选

缺省情况下,日志服务器的端口号是514

配置第二日志服务器的加密

log server second crypt

可选

缺省情况下,日志不加密

配置第三日志服务器的IP地址

log server thirdaddrip-address

可选

配置第三日志服务器的端口

log server third port port-num

可选

缺省情况下,日志服务器的端口号是514

配置第三日志服务器的加密

log server thirdcrypt

可选

缺省情况下,日志不加密

配置日志的源地址

log source address ip-address

可选

缺省情况下,没有指定日志的源地址,会根据系统路由的配置情况,使用接口的IP地址作为syslog的源IP地址

过滤发送到远端的日志

log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } server { disable | enable | upto { alerts | critical | emergencies | errors | informational | notifications | warnings } }

可选

缺省情况下,对发送到远端的日志不做过滤

配置日志的facility

log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } facility facility-value

可选

缺省情况下,日志的facility值是0

 

说明

·     日志加密是为了防止在传输过程中泄露信息,和外置数据中心配合使用,发送给标准的日志服务器时不要启用日志加密。

·     如果没有特殊需求,不要配置日志的源IP,让系统自动选择,在配置有VPN的情况的下,如果想让日志通过VPN隧道发送出去,可以指定源接口IP为tunnel接口的IP地址。

 

1.3  日志的显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后日志的运行情况,通过查看显示信息验证配置的效果。

在任意图下,用户可以执行clear命令清除本地日志信息。

表1-6 日志的显示和维护

操作

命令

显示日志的配置

display log config

清除本地日志信息

clear log { event | operate |ips| av | mail | im | attack |web_access | other_app | debug | all }

1.4  日志典型配置举例

1.4.1  日志典型配置举例

1. 组网需求

·     配置一台日志服务器接收日志,IP地址192.168.1.73,端口是9988

·     配置本地不记录系统日志,并且警告级别以上的系统日志发送到日志服务器。

图1-1 配置日志组网图

 

2. 配置步骤

# 配置日志服务器的IP地址192.168.1.73。

host# system-view

host(config)# log server addr 192.168.1.73

host(config)# log server port 9988

host(config)# log server enable

#向日志服务器发送告警级别以上的日志。

host(config)# log system_state server upto warnings

#禁止日志存本地。

host(config)# log system_state memory upto disable

3. 验证配置

执行display log config命令来验证配置。

host# display log config

logtraffic_detail server enable

logtraffic_detail local enable

logtraffic_session server enable

logtraffic_session local enable

logtraffic_template server enable

logtraffic_template local enable

logweb_access server enable

logweb_access local enable

logmalware_app server enable

logmalware_app local enable

logim server enable

logim local enable

logsocial_log server enable

logsocial_log local enable

logsearch_engine server enable

logsearch_engine local enable

log mail server enable

log mail local enable

logcommand_log server enable

logcommand_log local enable

logother_app server enable

logother_app local enable

logav server enable

logav local enable

logips server enable

logips local enable

logarp_atk server enable

logarp_atk local enable

logsyn_cookie_atk server enable

logsyn_cookie_atk local enable

logsecurity_ipmac server enable

logsecurity_ipmac local enable

logsecurity_scan server enable

logsecurity_scan local enable

logsecurity_flood server enable

logsecurity_flood local enable

logsecurity_abnormal_pkt server enable

logsecurity_abnormal_pkt local enable

lognat server enable

lognat local enable

log operate server enable

log operate local enable

logsystem_state server upto warnings

logdevice_health server enable

logdevice_health local enable

logpolicy_detail server enable

logpolicy_detail local enable

log daemon server enable

log daemon local enable

log server addr 192.168.1.73

log server port 9988

log server enable

!

 

1.5  日志支持IPv6典型配置举例

1.5.1  日志典型配置举例

1. 组网需求

·     配置一台日志服务器接收日志,IP地址2000::6,端口是9988

·     配置本地不记录系统日志,并且警告级别以上的系统日志发送到日志服务器。

图1-2 配置日志组网图

 

2. 配置步骤

# 配置日志服务器的IP地址2000::6。

host# system-view

host(config)# log server addr 2000::6

host(config)# log server port 9988

host(config)# log server enable

#向日志服务器发送告警级别以上的日志。

host(config)# log system_state server upto warnings

#禁止日志存本地。

host(config)# log system_state memory upto disable

3. 验证配置

执行display log config命令来验证配置。

host# display log config

logtraffic_detail server enable

logtraffic_detail local enable

logtraffic_session server enable

logtraffic_session local enable

logtraffic_template server enable

logtraffic_template local enable

logweb_access server enable

logweb_access local enable

logmalware_app server enable

logmalware_app local enable

logim server enable

logim local enable

logsocial_log server enable

logsocial_log local enable

logsearch_engine server enable

logsearch_engine local enable

log mail server enable

log mail local enable

logcommand_log server enable

logcommand_log local enable

logother_app server enable

logother_app local enable

logav server enable

logav local enable

logips server enable

logips local enable

logarp_atk server enable

logarp_atk local enable

logsyn_cookie_atk server enable

logsyn_cookie_atk local enable

logsecurity_ipmac server enable

logsecurity_ipmac local enable

logsecurity_scan server enable

logsecurity_scan local enable

logsecurity_flood server enable

logsecurity_flood local enable

logsecurity_abnormal_pkt server enable

logsecurity_abnormal_pkt local enable

lognat server enable

lognat local enable

log operate server enable

log operate local enable

logsystem_state server upto warnings

logdevice_health server enable

logdevice_health local enable

logpolicy_detail server enable

logpolicy_detail local enable

log daemon server enable

log daemon local enable

log server addr 2000::6

log server port 9988

log server enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们