04-日志配置指导
本章节下载: 04-日志配置指导 (256.88 KB)
目录
日志功能记录并输出各种日志信息,分别是系统日志、安全防护日志、流日志、应用审计日志、网站访问日志和调试(debug)信息。详细分类如表1-1所示。
日志分类 |
日志名称 |
描述 |
系统日志 |
系统日志 |
系统状态,如接口up、down事件 |
操作日志 |
系统操作信息,如对系统进行的命令操作 |
|
系统健康日志 |
系统的健康状态,CPU占用率、磁盘占用率等 |
|
安全防护日志 |
IP-MAC日志 |
ARP攻击 |
扫描攻击防御日志 |
扫描攻击 |
|
Flood攻击防御日志 |
泛洪攻击 |
|
异常报文攻击日志 |
异常报文 |
|
流日志 |
流量日志 |
会话日志 |
NAT日志 |
NAT转换的日志 |
|
应用审计日志 |
IM聊天软件日志 |
IM 即时通讯信息,如QQ、MSN等 |
社区日志 |
网络社区,微博、论坛等 |
|
搜索引擎日志 |
搜索引擎产生的日志 |
|
邮件日志 |
邮件信息 |
|
命令日志 |
FTP、Telnet协议的命令 |
|
其它应用日志 |
其它类型的应用日志,如P2P、网银等使用 |
|
网站访问日志 |
URL日志 |
访问网站 |
恶意URL日志 |
访问恶意网站 |
调试(debug)信息不显示在日志系统中,执行debug xxx命令开启模块的debug开关后,使用display log debug命令显示debug信息,使用clear log debug 命令清除相关信息。
日志信息是根据日志信息的严重程度区分的,根据严重程度不同,日志的严重等级可以分为8级,日志的级别如表1-2所示。
级别 |
级别号 |
描述 |
紧急(emergencies) |
0 |
系统不可用信息 |
警报(alerts) |
1 |
需要立即处理的信息,如设备收到攻击等 |
严重(critical) |
2 |
危机的信息,如硬件出错 |
错误(errors) |
3 |
错误信息 |
警告(warnings) |
4 |
报警信息 |
通告(notifications) |
5 |
非错误信息,但需要特殊处理 |
信息(informational) |
6 |
通知信息 |
诊断(debug) |
7 |
一般作为模块内部调试信息用 |
日志信息可以输出到不同的目的地,支持以下几种日志信息输出目的地,用户可以根据自己的需要指定。具体的日志输出如表1-3所示。
目的地 |
描述 |
server |
系统可以将日志发向syslog服务器 |
local |
缺省情况下,系统将日志记录在本地数据库 |
设备本地有数据库,日志可以记录在本地的数据库当中,配置是否记录本地日志的方式如表1-4所示。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置本地日志 |
log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } local enable |
可选 缺省情况下,本地不记录会话日志和NAT,其它类型的日志本地会记录 |
日志可以发送给远端的syslog服务器或者外置数据中心,统可以指定最多三个日志服务器地址,配置远端服务器的步骤如表1-5所示。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
启用日志服务器 |
log server enable |
必选 缺省情况下,没有启用日志服务器 |
配置日志服务器的IP地址 |
log server ip-address |
必选 |
配置日志服务器的端口 |
log server port port-number |
可选 缺省情况下,日志服务器的端口号是514 |
配置日志服务器的加密选项 |
log server crypt |
可选 缺省情况下,日志加密是禁用的 |
配置第二日志服务器的IP地址 |
log server second addrip-address |
可选 |
配置第二日志服务器的端口 |
log server second portport-num |
可选 缺省情况下,日志服务器的端口号是514 |
配置第二日志服务器的加密 |
log server second crypt |
可选 缺省情况下,日志不加密 |
配置第三日志服务器的IP地址 |
log server thirdaddrip-address |
可选 |
配置第三日志服务器的端口 |
log server third port port-num |
可选 缺省情况下,日志服务器的端口号是514 |
配置第三日志服务器的加密 |
log server thirdcrypt |
可选 缺省情况下,日志不加密 |
配置日志的源地址 |
log source address ip-address |
可选 缺省情况下,没有指定日志的源地址,会根据系统路由的配置情况,使用接口的IP地址作为syslog的源IP地址 |
过滤发送到远端的日志 |
log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } server { disable | enable | upto { alerts | critical | emergencies | errors | informational | notifications | warnings } } |
可选 缺省情况下,对发送到远端的日志不做过滤 |
配置日志的facility |
log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt } facility facility-value |
可选 缺省情况下,日志的facility值是0 |
· 日志加密是为了防止在传输过程中泄露信息,和外置数据中心配合使用,发送给标准的日志服务器时不要启用日志加密。
· 如果没有特殊需求,不要配置日志的源IP,让系统自动选择,在配置有VPN的情况的下,如果想让日志通过VPN隧道发送出去,可以指定源接口IP为tunnel接口的IP地址。
在完成上述配置后,在任意视图下执行display命令可以显示配置后日志的运行情况,通过查看显示信息验证配置的效果。
在任意图下,用户可以执行clear命令清除本地日志信息。
表1-6 日志的显示和维护
操作 |
命令 |
显示日志的配置 |
display log config |
清除本地日志信息 |
clear log { event | operate |ips| av | mail | im | attack |web_access | other_app | debug | all } |
· 配置一台日志服务器接收日志,IP地址192.168.1.73,端口是9988。
· 配置本地不记录系统日志,并且警告级别以上的系统日志发送到日志服务器。
图1-1 配置日志组网图
# 配置日志服务器的IP地址192.168.1.73。
host# system-view
host(config)# log server addr 192.168.1.73
host(config)# log server port 9988
host(config)# log server enable
#向日志服务器发送告警级别以上的日志。
host(config)# log system_state server upto warnings
#禁止日志存本地。
host(config)# log system_state memory upto disable
执行display log config命令来验证配置。
host# display log config
logtraffic_detail server enable
logtraffic_detail local enable
logtraffic_session server enable
logtraffic_session local enable
logtraffic_template server enable
logtraffic_template local enable
logweb_access server enable
logweb_access local enable
logmalware_app server enable
logmalware_app local enable
logim server enable
logim local enable
logsocial_log server enable
logsocial_log local enable
logsearch_engine server enable
logsearch_engine local enable
log mail server enable
log mail local enable
logcommand_log server enable
logcommand_log local enable
logother_app server enable
logother_app local enable
logav server enable
logav local enable
logips server enable
logips local enable
logarp_atk server enable
logarp_atk local enable
logsyn_cookie_atk server enable
logsyn_cookie_atk local enable
logsecurity_ipmac server enable
logsecurity_ipmac local enable
logsecurity_scan server enable
logsecurity_scan local enable
logsecurity_flood server enable
logsecurity_flood local enable
logsecurity_abnormal_pkt server enable
logsecurity_abnormal_pkt local enable
lognat server enable
lognat local enable
log operate server enable
log operate local enable
logsystem_state server upto warnings
logdevice_health server enable
logdevice_health local enable
logpolicy_detail server enable
logpolicy_detail local enable
log daemon server enable
log daemon local enable
log server addr 192.168.1.73
log server port 9988
log server enable
!
· 配置一台日志服务器接收日志,IP地址2000::6,端口是9988。
· 配置本地不记录系统日志,并且警告级别以上的系统日志发送到日志服务器。
图1-2 配置日志组网图
# 配置日志服务器的IP地址2000::6。
host# system-view
host(config)# log server addr 2000::6
host(config)# log server port 9988
host(config)# log server enable
#向日志服务器发送告警级别以上的日志。
host(config)# log system_state server upto warnings
#禁止日志存本地。
host(config)# log system_state memory upto disable
执行display log config命令来验证配置。
host# display log config
logtraffic_detail server enable
logtraffic_detail local enable
logtraffic_session server enable
logtraffic_session local enable
logtraffic_template server enable
logtraffic_template local enable
logweb_access server enable
logweb_access local enable
logmalware_app server enable
logmalware_app local enable
logim server enable
logim local enable
logsocial_log server enable
logsocial_log local enable
logsearch_engine server enable
logsearch_engine local enable
log mail server enable
log mail local enable
logcommand_log server enable
logcommand_log local enable
logother_app server enable
logother_app local enable
logav server enable
logav local enable
logips server enable
logips local enable
logarp_atk server enable
logarp_atk local enable
logsyn_cookie_atk server enable
logsyn_cookie_atk local enable
logsecurity_ipmac server enable
logsecurity_ipmac local enable
logsecurity_scan server enable
logsecurity_scan local enable
logsecurity_flood server enable
logsecurity_flood local enable
logsecurity_abnormal_pkt server enable
logsecurity_abnormal_pkt local enable
lognat server enable
lognat local enable
log operate server enable
log operate local enable
logsystem_state server upto warnings
logdevice_health server enable
logdevice_health local enable
logpolicy_detail server enable
logpolicy_detail local enable
log daemon server enable
log daemon local enable
log server addr 2000::6
log server port 9988
log server enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!