05-安全日志设置
本章节下载: 05-安全日志设置 (348.68 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ NAT流日志
¡ NAT定制日志
· 配置指南
¡ NAT流日志
¡ NAT定制日志
安全日志根据发送日志的形式分为NAT流日志和NAT定制日志。
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问网络的流进行分类统计,并生成用户流日志。流日志目前主要用来记录用户访问网络所产生的NAT会话相关信息,包括5元组和发送、接收的字节数等。管理员利用这些信息可以实时跟踪、记录、分析用户访问网络的情况。
NAT流日志可以封装成UDP报文直接发送到日志主机,也可以发送到信息中心封装成系统日志。系统日志传输格式为ASCII码,相比NAT流日志的二进制格式传输效率低,在用户访问网络产生大量NAT会话日志时,建议使用NAT流日志。
NAT流日志根据日志信息所包含字段多少分为1.0和3.0三个版本。三种NAT流日志的内容稍有不同,具体差别请参见表-1和表-2。
下表中介绍的字段是设备向日志主机方向发送的原始信息所包含的字段,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
表-1 1.0版本NAT流日志包含的字段
字段 |
描述 |
SrcIP |
NAT转换前的源IP地址 |
DestIP |
NAT转换前的目的IP地址 |
SrcPort |
NAT转换前的TCP/UDP源端口号 |
DestPort |
NAT转换前的TCP/UDP目的端口号 |
StartTime |
流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
EndTime |
流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
Protocol |
IP承载的协议类型 |
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
Reserved |
保留 |
表-2 3.0版本流日志包含的字段
字段 |
描述 |
Protocol |
IP承载的协议类型 |
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion |
IP报文版本 |
TosIPv4 |
IPv4报文的Tos字段 |
SourceIP |
NAT转换前的源IP地址 |
SrcNatIP |
NAT转换后的源IP地址 |
DestIP |
NAT转换前的目的IP地址 |
DestNatIP |
NAT转换后的目的IP地址 |
SrcPort |
NAT转换前的TCP/UDP源端口号 |
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
DestPort |
NAT转换前的TCP/UDP目的端口号 |
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg |
接收的报文包数 |
InTotalByte |
接收的报文字节数 |
OutTotalPkg |
发出的报文包数 |
OutTotalByte |
发出的报文字节数 |
InVPNID |
入VPN ID |
OutVPNID |
出VPN ID |
Reserved1 |
保留字段 |
AppID |
应用协议ID |
Reserved3 |
保留字段 |
NAT定制日志输出功能用于将用户关心的日志以指定格式发往日志主机。配置该功能后,NAT模块生成的日志会发送给日志主机。
1. 单击“系统 > 日志设置 > NAT日志设置”,开启NAT日志功能。
2. 单击“系统 > 日志设置 > 安全日志设置”。
3. 在“安全日志设置”页面选择发送日志形式为“NAT流日志”。
4. 配置NAT流日志的基本信息。
表-3 NAT流日志的基本信息配置
参数 |
说明 |
日志版本 |
选择NAT流日志的版本,包括: · 1.0 · 3.0 请根据日志接收设备的实际能力配置NAT流日志的版本。 |
启用日志主机负载分担功能 |
开启/关闭NAT流日志的负载分担功能。 缺省情况下,每一条NAT流日志会输出给所有已配置的NAT流日志日志主机。 开启了日志主机负载分担功能后,NAT流日志按照日志信息的源IP地址进行逐流负载分担,即源IP地址相同的会话对应的NAT流日志始终发送到特定的一台日志主机。这样可以降低用户日志发送的压力,并减少冗余日志的处理。 在开启日志主机负载分担功能时请注意,如果配置的日志主机不可达,NAT流日志仍会进行负载分担,但负载分担到不可达的日志主机的NAT流日志将被丢弃。 |
日志输出到信息中心 |
缺省情况下,日志的输出方式为日志主机。配置了日志输出到信息中心后,设备将会忽略日志主机方向,直接将日志输出到信息中心。 通常情况下,用户访问网络会在短时间内产生大量NAT会话日志。系统日志传输格式为ASCII码,相比NAT流日志的二进制格式传输效率低。所以,建议仅在日志量较小的情况下,使用输出到信心中心的方式。 |
日志信息的源IP地址 |
NAT流日志可以使用源地址来唯一标识报文的发送者,以便对NAT流日志进行过滤。指定日志信息的源IP地址后,当设备向日志主机发送NAT流日志时,就使用这个唯一IP地址作为报文的源IP地址,而不是使用报文出接口的地址。 推荐将NAT流日志报文的源IP地址配置为设备上Loopback接口的地址,以屏蔽某个物理接口状态改变对NAT流日志报文的影响 |
5. 单击<应用>按钮,完成NAT流日志的基本信息配置。
6. 单击<新建>按钮,配置NAT流日志日志主机。
表-4 NAT流日志日志主机配置
参数 |
说明 |
主机IP地址 |
NAT流日志主机的IPv4地址,取值范围是合法的单播IPv4地址,且不能是环回地址。 |
端口号 |
NAT流日志主机的UDP端口号。为了避免与通用的UDP端口号冲突,建议使用1025~65535的UDP端口号。 |
VRF |
NAT流日志主机所属的VPN实例。 |
7. 单击<确定>按钮,新建的NAT流日志日志主机会在“安全日志设置”页面显示。
1. 单击“系统 > 日志设置 > NAT日志设置”,开启NAT日志功能。
2. 单击“系统 > 日志设置 > 安全日志设置"
3. 在“安全日志设置”页面选择发送日志形式为“NAT定制日志”。
4. 配置NAT定制日志的基本信息。
表-5 NAT定制日志的基本信息配置
参数 |
说明 |
日志信息时间戳 |
选择NAT定制日志使用的时间戳,包括: · 格林威治时间(GMT):即UTC(Coordinated Universal Time,国际协调时间)。 · 设备本地时间:格林威治时间加上时区偏移的时间。 |
日志输出格式 |
选择NAT定制日志的输出格式。包括: · 中国联通:表示输出日志时使用中国联通格式。 · 中国电信:表示输出日志时使用中国电信格式。 · 中国移动:表示输出日志时使用中国移动格式。 |
发送日志信息的出接口 |
指定NAT定制日志的源IP地址均为指定接口的主IP地址。 |
5. 单击<应用>按钮,完成NAT定制日志的基本信息配置。
6. 单击<新建>按钮,配置NAT定制日志日志主机。
表-6 NAT定制日志日志主机配置
参数 |
说明 |
主机IP地址 |
NAT定制日志主机的IPv4地址,取值范围是合法的单播IPv4地址,且不能是环回地址。 |
端口号 |
NAT定制日志主机的UDP端口号。为了避免与通用的UDP端口号冲突,建议使用1025~65535的UDP端口号。 |
VRF |
NAT定制日志主机所属的VPN实例。 |
会话日志 |
允许设备向指定的日志主机发送NAT会话日志。 |
用户日志 |
允许设备向指定的日志主机发送NAT用户日志。 |
7. 单击<确定>按钮,新建的NAT定制日志日志主机会在“安全日志设置”页面显示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!