- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-日志设置基本配置
本章节下载: 06-日志设置基本配置 (435.20 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 系统日志
○ 流日志
○ 快速日志
○ 存储空间设置
○ 日志等级
○ 安全管理及审计
· 配置指南
○ 系统日志
○ 流日志
○ 快速日志
○ 存储空间设置
○ 安全管理及审计
日志信息是设备记录的对报文处理的相关信息。网络管理员利用这些信息即可以有效监控网络运行情况和诊断网络故障;也可以实时跟踪、记录、分析用户访问网络的情况,审计用户的上网行为。设备支持输出日志的方式包括:系统日志、流日志、快速日志。
系统日志传输格式为ASCII码,其通过设备的信息中心进行统一收集、管理和输出。设备发送系统日志信息的方向包括:控制台(console)、监视终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)和日志文件(logfile)。
设备根据报文的5元组(源IP地址、目的IP地址、源端口、目的端口、协议号)对用户访问网络的流进行分类统计,并生成流日志。流日志目前主要用来记录用户访问网络所产生的NAT会话相关信息,包括5元组信息和发送、接收的字节数等。管理员利用这些信息可以实时跟踪、记录、分析用户访问网络的情况。
流日志根据日志信息所包含字段多少分为1.0、3.0和5.0三个版本。三种流日志的内容稍有不同,具体差别请参见表-1、表-2和表-3。
下表中介绍的字段是设备向日志主机方向发送的原始信息所包含的字段,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
表-1 1.0版本流日志包含的字段
|
字段 |
描述 |
|
SrcIP |
NAT转换前的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
Reserved |
保留 |
表-2 3.0版本流日志包含的字段
|
字段 |
描述 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
IPVersion |
IP报文版本 |
|
TosIPv4 |
IPv4报文的Tos字段 |
|
SourceIP |
NAT转换前的源IP地址 |
|
SrcNatIP |
NAT转换后的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
DestNatIP |
NAT转换后的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
|
InTotalPkg |
接收的报文包数 |
|
InTotalByte |
接收的报文字节数 |
|
OutTotalPkg |
发出的报文包数 |
|
OutTotalByte |
发出的报文字节数 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留字段 |
|
AppID |
应用协议ID |
|
Reserved3 |
保留字段 |
表-3 5.0版本流日志包含的字段
|
字段 |
描述 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
IPVersion |
IP报文版本 |
|
TosIPv4 |
IPv4报文的Tos字段 |
|
SourceIP |
NAT转换前的源IP地址 |
|
SrcNatIP |
NAT转换后的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
DestNatIP |
NAT转换后的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
|
InTotalPkg |
接收的报文包数 |
|
InTotalByte |
接收的报文字节数 |
|
OutTotalPkg |
发出的报文包数 |
|
OutTotalByte |
发出的报文字节数 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
AppID |
应用协议ID |
|
UserName |
用户名 |
|
Reserved1、2、3 |
保留字段 |
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。
存储空间用于保存各业务的日志数据。
通过设置存储空间,管理员可分别对各业务日志信息的数据保存周期、存储上限以及上限处理动作进行管理。
存储空间支持的存储设备类型包括:硬盘、U盘和内存。各业务的历史数据优先保存在硬盘中,当硬盘不在位时保存在U盘中,当U盘也不在位时才会保存在内存中。
当数据保存在内存中时,如果数据存储量达到系统运行的最大规格,系统将会进行滚动覆盖,即自动删除最旧的数据以保存新数据;当数据保存在硬盘或U盘中时,如果数据存储量达到用户配置的存储上限,系统将根据用户配置的上限处理动作对数据进行处理。其中,处理动作为删除时,设备将会进行滚动覆盖,即自动删除最旧的数据以保存新数据。
如果是全新的硬盘或U盘,则需要先进行分区和格式化处理。
其中,U盘的支持情况与设备型号有关,请以设备的实际情况为准。
拔出存储设备之前,请先单击<卸载>按钮,解除各业务日志进程对存储设备文件系统的占用。并需要在CLI界面的用户视图下执行umount命令,卸载文件系统,避免存储数据损坏甚至存储设备损坏。
存储空间设置的支持情况与设备型号有关,请以设备实际情况为准。
存储空间中仅保存数据保存周期内的数据,当某类业务的数据保存时间超过设置的数据保存周期时,设备会根据上限处理动作对该业务的数据进行处理。
设备为各业务占用的存储空间提供了设置上限功能。当某类业务所占的存储空间超过其设置的上限时,设备将根据上限处理动作对该业务的数据进行处理。管理员可根据实际业务情况,对各业务的存储上限进行设置。
当存储空间中某类业务的历史数据超过数据保存周期,或者达到存储上限时,设备将根据该业务配置的上限处理动作对数据进行处理。
设备支持以下两种上限处理动作:
· 删除:设备将删除保存时间最长的数据以便保存最新的数据,并发送日志信息。删除日志信息时,设备将按天删除,且不可删除当天的日志信息。
· 提示:设备不对历史数据进行删除,也不保存新数据,仅发送日志信息提示用户。管理员可在“监控 > 设备日志 > 系统日志”页面中查看日志信息。
日志信息按严重性可划分为如表-4所示的八个等级,各等级的严重性依照数值从0~7依次降低。在系统输出信息时,所有信息等级高于或等于配置等级的信息都会被输出。例如,输出规则中指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化,存储卡拔出等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping操作的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
安全管理功能用于开启设备的安全管理业务进程,若设备未开启安全管理功能,用户将无法通过安全管理服务器完成设备安全业务的管理和审计。
安全审计日志功能可以对设备安全配置相关的日志进行记录,并上报给安全审计服务器。主要包括对管理员、系统和安全相关策略等模块进行操作产生的系统日志。
安全管理及审计功能的支持情况与设备型号有关,请以设备实际情况为准。
设备支持通过系统日志、流日志和快速日志方式将某些业务模块的日志发送给日志主机,这些日志发送方式按优先级从高到低的顺序依次为:快速日志 > 流日志 > 系统日志。对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“系统日志”页签。
3. 配置系统日志的基本信息。
表-5 系统日志的基本信息配置
|
参数 |
说明 |
|
将系统日志输出到日志缓冲区 |
配置此功能后,设备会将业务模块生成的日志保存到日志缓冲区。其中,设备会为一些业务模块(例如会话、攻击防御等)创建单独的日志缓冲区,用来分别存储这些业务模块的日志,其它业务模块的日志会统一存储到通用日志缓冲区中 |
|
日志缓冲区上限 |
日志缓冲区可存储的信息条数,当存储的日志达到容量限制时,系统会直接使用最新日志覆盖最早生成的日志,此处设置的为通用日志缓冲区的上限 |
|
日志发送速率上限 |
日志发送速率的最大值,此最大值为同一时刻所有支持的安全业务产生的日志总数。当安全业务发送日志的速率超过限制时,系统会丢弃多余的日志 |
4. 单击<应用>按钮,完成系统日志的基本信息配置。
5. 单击<新建>按钮,配置系统日志主机。
表-6 系统日志主机配置
|
参数 |
说明 |
|
日志主机 |
支持IP地址和主机名 |
|
端口号 |
日志主机接收系统日志信息的端口号 |
|
VRF |
日志主机所属的VPN实例 |
6. 单击<确定>按钮,新建的系统日志主机会在“系统日志”页面显示。
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“流日志”页签。
3. 配置流日志的基本信息。
表-7 流日志的基本信息配置
|
参数 |
说明 |
|
日志版本 |
选择流日志的版本,包括: · 1.0 · 3.0 · 5.0 请根据日志接收设备的实际能力配置流日志的版本 |
|
开启日志负载分担 |
缺省情况下,每一条流日志会输出给所有已配置的流日志主机 开启此功能后,流日志按照日志信息的源IP地址进行逐流负载分担,即源IP地址相同的会话对应的流日志始终发送到特定的一台流日志主机。这样可以降低用户日志发送的压力,并减少冗余日志的处理 在开启此功能时请注意,如果配置的流日志主机不可达,流日志仍会进行负载分担,但负载分担到不可达的流日志主机的流日志将被丢弃 |
|
日志信息的源IP地址 |
缺省情况下,流日志信息的源IP地址为发送该报文的出接口IP地址 流日志使用源地址来唯一标识报文的发送者,以便对流日志进行过滤。配置日志信息的源IP地址后,当设备向流日志主机发送流日志时,就使用这个唯一IP地址作为报文的源IP地址 推荐将流日志报文的源IP地址配置为设备上Loopback接口的地址,以屏蔽某个物理接口状态改变对流日志报文的影响 |
4. 单击<应用>按钮,完成流日志的基本信息配置。
5. 单击<新建>按钮,配置流日志主机。
表-8 流日志主机配置
|
参数 |
说明 |
|
日志主机 |
支持IP地址和主机名 |
|
端口号 |
日志主机接收流日志信息的端口号 |
|
VRF |
日志主机所属的VPN实例 |
6. 单击<确定>按钮,新建的流日志主机会在“流日志”页面显示。
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“快速日志”页签。
3. 配置快速日志的基本信息。
表-9 快速日志的基本信息配置
4. 单击<应用>按钮,完成快速日志的基本信息配置。
5. 单击<新建>按钮,配置快速日志主机。
表-10 快速日志主机配置
|
参数 |
说明 |
|
|
日志主机 |
支持IP地址和主机名 |
|
|
端口号 |
日志主机接收快速日志信息的端口号 |
|
|
VRF |
日志主机所属的VPN实例 |
|
|
会话日志 |
允许设备向指定的快速日志主机发送会话日志 |
|
|
NAT日志 |
允许设备向指定的快速日志主机发送NAT日志。NAT日志包括NAT会话日志和NAT444用户日志,其中每一种NAT日志均支持中国联通、中国电信和中国移动三种输出格式。 |
|
|
AFT日志 |
允许设备向指定的快速日志主机发送AFT日志,目前仅支持AFT端口块日志 |
|
|
应用审计日志 |
允许设备向指定的快速日志主机发送应用审计日志 |
|
|
URL过滤日志 |
允许设备向指定的快速日志主机发送URL过滤日志 |
|
|
数据过滤 |
允许设备向指定的快速日志主机发送数据过滤日志 |
|
|
攻击防范日志 |
允许设备向指定的快速日志主机发送攻击防范日志 |
|
|
共享上网日志 |
允许设备向指定的快速日志主机发送共享上网日志 |
|
|
安全策略配置日志 |
允许设备向指定的快速日志主机发送安全策略配置日志 |
|
|
域间策略日志 |
允许设备向指定的快速日志主机发送包过滤、对象策略和安全策略匹配日志 |
|
|
心跳日志 |
允许设备向指定的快速日志主机发送心跳日志 |
|
|
入侵防御日志 |
允许设备向指定的快速日志主机发送入侵防御日志 |
|
|
带宽管理日志 |
允许设备向指定的快速日志主机发送带宽管理日志 |
|
|
沙箱日志 |
允许设备向指定的快速日志主机发送沙箱日志 |
|
|
Web应用防护日志 |
允许设备向指定的快速日志主机发送Web应用防护日志 |
|
|
负载均衡日志 |
允许设备向指定的快速日志主机发送负载均衡日志。负载均衡日志包括服务器负载均衡日志、入链路负载均衡日志、出链路负载均衡日志和DNS透明代理日志 |
|
|
负载均衡日志 |
允许设备向指定的快速日志主机发送负载均衡日志。负载均衡日志包括服务器负载均衡日志、入链路负载均衡日志、全局负载均衡日志、出链路负载均衡日志和DNS透明代理日志 |
|
|
负载均衡日志 |
允许设备向指定的快速日志主机发送负载均衡日志。负载均衡日志包括应用负载均衡日志、本地智能DNS日志、全局智能DNS日志、出链路负载均衡日志和DNS透明代理日志 |
|
|
文件过滤日志 |
允许设备向指定的快速日志主机发送文件过滤日志 |
|
|
终端识别日志 |
允许设备向指定的快速日志主机发送终端识别日志 |
|
|
防病毒日志 |
允许设备向指定的快速日志主机发送防病毒日志 |
|
|
信誉日志 |
允许设备向指定的快速日志主机发送IP信誉、URL信誉和域名信誉日志 |
|
|
鉴权日志 |
允许设备向指定的快速日志主机发送外部鉴权日志 |
|
|
策略通知日志 |
允许设备向指定的快速日志主机发送策略通知日志 |
|
|
零信任策略日志 |
允许设备向指定的快速日志主机发送零信任策略日志 |
|
|
有害信息鉴别日志 |
允许设备向指定的快速日志主机发送有害信息鉴别日志 |
|
|
虚拟系统日志 |
允许设备向指定的快速日志主机发送虚拟系统日志 |
|
6. 单击<确定>按钮,新建的快速日志主机会在“快速日志”页面显示。
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“存储空间设置”页签。
3. 进入“存储空间设置”页面,单击指定业务右侧的<编辑>按钮,进入“编辑业务信息”页面,确认修改内容。具体配置内容如下:
表-11 存储空间设置参数表
|
参数 |
说明 |
|
业务 |
支持的各业务 |
|
数据保存周期 |
各业务历史数据能够保存的最长时间 仅当硬盘或U盘在位时支持配置本功能 |
|
存储上限 |
各业务在存储空间中能够占用的最大空间 仅当硬盘或U盘在位时支持配置本功能 |
|
上限处理动作 |
当存储空间中某类业务的历史数据超过其数据保存周期,或者达到其存储上限时,设备对该类业务历史数据执行的处理动作 仅当硬盘或U盘在位时支持配置本功能 |
|
使能 |
开启指定业务的日志采集功能 有害信息鉴别业务的子文件匹配日志和帧匹配日志的采集功能需要依赖文件匹配日志的采集功能,若文件匹配日志的采集功能未开启,子文件匹配日志和帧匹配日志的采集功能不生效 |
4. 单击<确定>按钮,完成存储空间的配置。
1. 单击“系统 > 日志设置 > 基本配置”,进入“基本配置”页面。
2. 在“基本配置”页面,选择“安全管理及审计”页签。
3. 进入“安全管理及审计”页面,具体配置内容如下:
表-12 安全管理及审计设置参数表
|
参数 |
说明 |
|
安全管理功能 |
开启此功能后,设备将运行安全管理业务进程 |
|
安全审计日志功能 |
开启此功能后,设备将开始统计安全审计相关日志,并将日志上报给安全审计服务器 |
|
安全审计服务器IP地址 |
安全审计服务器的IPv4地址 |
|
安全审计服务器端口号 |
安全审计服务器接收日志的端口号 |
4. 单击<应用>按钮,完成安全管理及审计的配置。
5. 单击<导出>按钮,可将设备上的安全管理业务配置信息文件下载至本地。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
