- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-快速日志输出配置
本章节下载: 21-快速日志输出配置 (251.89 KB)
目 录
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
日志信息按严重性可划分为如表1-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
日志信息的输出格式如下:
表1-2 CMCC(中国移动)日志信息格式表
|
日志类型 |
格式 |
举例 |
|
NAT会话日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID Start Time|End Time|Original Source IP|OriginalSource Port|TranslatedSource IP|Translated Source Port|Destination IP|Destination Port|Protocol |
<142> 1 2020 Apr 28 15:35:32 100.0.0.1 H3C - NAT444:SessionA 1588088133|0|100.0.0.18|1111|139.0.0.223|10000|114.0.0.15|2222|17 |
|
NAT444用户日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID Start Time|Original Source IP|Translated Source IP|Translated First Source Port|Translated Last Source Port |
<142> 1 2020 Apr 28 15:35:32 100.0.0.1 H3C - NAT444:PortA 1588088133|100.0.0.18|139.0.0.223|10000|10999 |
|
NAT告警信息日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID Start Time|Original Source IP|Translated Source IP |
<142> 1 2020 Apr 28 15:35:32 100.0.0.1 H3C - NAT444:PortF 1588088133|100.0.0.18|139.0.0.223 |
表1-3 Telecom(中国电信)日志信息格式表
|
日志类型 |
格式 |
举例 |
|
NAT会话日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID [Protocol Original Source IP Original Source IPv6 Translated Source IP Original Source Port Translated Source Port -] |
<134> 1 2020 Apr 28 15:35:38 100.0.0.1 H3C - NAT444:sessionbasedA [17 100.0.0.18 - 139.0.0.223 1111 11000 -] |
|
NAT444用户日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID [Protocol Original Source IP Original Source IPv6 Translated Source IP Original Source Port Translated First Source Port Translated Last Source Port] |
<134> 1 2020 Apr 28 15:35:38 100.0.0.1 H3C - NAT444:userbasedA [17 100.0.0.18 - 139.0.0.223 - 11000 11999] |
|
NAT告警信息日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID [Protocol Original Source IP Original Source IPv6 Translated Source IP - - -] |
<134> 1 2020 Apr 28 15:35:38 100.0.0.1 H3C - NAT444:userbasedF [17 100.0.0.18 - 139.0.0.223 - - -] |
表1-4 Unicom(中国联通)日志信息格式表
|
日志类型 |
格式 |
举例 |
|
NAT会话日志 |
<PRI>Version Timestamp HostName AppName ProcID MsgID Start Time|End Time|Original Source IP |Translated Source IP|Translated Source Port|Destination IP|Destination Port|Protocol |
<142> 1 2020 Apr 28 15:35:43 100.0.0.1 H3C - NAT444:SessionA 1588088144|0|100.0.0.18|139.0.0.223|12000|114.0.0.15|2222|17 |
|
NAT444用户日志 |
<PRI> Version Timestamp HostName AppName ProcID MsgID Start Time|Original Source IP|Translated Source IP |Translated First Source Port|Translated Last Source Port |
<142> 1 2020 Apr 28 15:35:43 100.0.0.1 H3C - NAT444:PortA 1588088144|100.0.0.18|139.0.0.223|12000|12999 |
|
NAT告警日志 |
<PRI> Vision Timestamp HostName AppName ProcID MsgID StartTime|OriginalSourceIP|TranslatedSourceIP |
<142> 1 2020 Apr 28 15:35:43 100.0.0.1 H3C - NAT444:PortF 1588088144|100.0.0.18|139.0.0.223 |
上表中介绍的格式是设备向日志主机发送的原始信息的格式,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
日志信息由两个可识别的部分组成,第一个部分称为HEADER,用于标识日志的基本信息,例如生成日志的时间、生成日志的设备等。第二个部分称为MSG,用于记录具体的日志信息,例如NAT会话开始时间、NAT转换前源IPv4地址等。
HEADER部分各字段含义如下:
· PRI(日志类型码)
本字段表示日志类型码,由facility和severity值组成。计算公式为:facility*8+Severity。
¡ facility表示工具名称,主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。其中,中国移动、中国电信、中国联通三个运营商对应固定取值分别为17、16、17。
¡ Severity表示日志信息的等级,具体含义请参见表1-1。
· Version(版本信息)
本字段为日志信息的版本标识,取值为1。
· Timestamp(时间戳)
时间戳记录了日志信息产生的时间,方便用户查看和定位系统事件。日志信息的时间戳精确到秒。
时间戳格式为:<year><mon> <day> <hh:mm:ss>。其中,year表示年份;mon表示月份;day表示日期;hh、mm、ss分别表示时、分、秒。
日志信息的时间戳格式由customlog timestamp localtime命令配置。
· HostName(出接口IP地址)
本字段表示发送的日志信息的源IP地址。只有配置customlog host source后,此字段才显示为IP地址。如果未配置customlog host source,则该字段显示为“-”。
· AppName(设备名称)
本字段为可选字段,表示生成该日志信息的设备的名称。用户可使用sysname命令修改设备的名称。
· ProcID(保留字段)
本字段为可选字段,用于作为保留字段,固定为“-”。
· MsgID(日志消息类型)
本字段表示日志消息的类型,格式为<设备类型>:<消息类型>。
在NAT444环境中,设备类型值为NAT444;在DS-Lite环境中,设备类型取值为DSLITE;在NAT64环境中,设备类型值为NAT64。
消息类型包含的取值如下:
¡ UserbasedA:表示基于用户的分配端口日志。
¡ UserbasedW:表示基于用户的回收端口日志。
¡ SessionbasedA:表示基于会话的分配端口日志。
¡ SessionbasedW:表示基于会话的回收端口日志。
¡ PortA:表示分配端口段日志。
¡ PortW:表示回收端口段日志。
¡ SessionA:表示会话开始日志。
¡ SessionW:表示会话结束日志。
¡ SessionU:表示带URL的会话日志。
MSG部分各字段含义如下:(如果某字段无取值,则显示为“-”)
· Protocol(传输层协议)
本字段表示报文的传输层协议,取值包括:6(TCP)、17(UDP)和1(ICMP)。
· Start Time(开始时间)
本字段表示NAT会话开始时间,从1970-1-1 00:00:00开始的秒数。
· End Time(结束时间)
本字段表示NAT会话结束时间,从1970-1-1 00:00:00开始的秒数。对于会话开始日志,该值为0。
· Original Source IP(源IPv4地址)
本字段表示NAT转换前源IPv4地址。
· Original Source IPv6(源IPv6地址)
本字段表示NAT转换前源IPv6地址。
· Original Source Port(源端口)
本字段表示NAT转换前源端口号。
· Translated Source IP(转换后源IPv4地址)
本字段表示NAT转换后源IPv4地址。
· Translated First Source port(转换后第一个源端口)
本字段表示NAT转换后第一个源端口编号。
· Translated Last Source port(转换后最后一个源端口)
本字段表示NAT转换后最后一个源端口编号。
· Destination IP(目的地址)
本字段表示用户访问的目的地址。
· Destination Port(目的端口)
本字段表示用户访问的目的端口。
设备支持通过以下功能将某些业务模块的日志发送给日志主机,这些功能按优先级从高到低的顺序依次为:
(1) 快速日志输出(目前仅支持发送NAT日志和AFT日志,NAT日志的相关配置请参见“NAT配置指导”中的“NAT”;AFT日志的相关配置请参见“三层技术-IP业务配置指导”中的“AFT”)
(2) Flow日志
(3) 信息中心
对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。哪些业务模块的日志支持通过Flow日志输出,以及Flow日志的详细介绍请参见“网络管理和监控配置指导”中的“Flow日志”。
对于NAT模块的日志,customlog format和customlog host命令中指定的日志输出格式必须相同,且为日志主机要求的格式。否则,设备不会生成指定格式的日志,日志主机将接收不到日志。
设备不支持通过网络管理接口输出快速日志。
(1) 进入系统视图。
system-view
(2) 开启快速日志输出功能。
customlog format { cmcc | telecom | unicom [ type1 ] } [ with-brackets ]
缺省情况下,快速日志输出功能处于关闭状态。
(3) 配置快速日志输出参数。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { cmcc-sessionlog | cmcc-userlog | telecom-sessionlog | telecom-userlog | unicom-sessionlog | unicom-userlog } * [ sysname sysname ]
缺省情况下,未配置快速日志输出参数。
port-number参数的值需要和日志主机侧的配置一致,否则,日志主机接收不到日志信息。
(4) (可选)配置快速日志输出时使用的源IP地址。
customlog host source interface-type interface-number
缺省情况下,快速日志输出时使用的源IP地址为出接口的主IP地址。
配置本命令后,不管实际使用哪个物理接口发送日志信息,日志信息的源IP地址均为指定接口的主IP地址。当日志主机需要根据日志的源IP对日志进行过滤显示时,请配置该命令。
(5) (可选)配置快速输出日志的时间戳为系统时间。
customlog timestamp localtime
缺省情况下,快速输出日志的时间戳为格林威治时间。
将Device上NAT444用户日志信息以中国移动格式发送到日志主机Host上。
图1-1 将日志快速输出到日志主机配置组网图
(1) 配置前请确保Device和Host之间路由可达,具体配置步骤略。
(2) 配置Device
# 开启快速日志输出功能,并设置日志格式为中国移动格式。
<Device> system-view
[Device] customlog format cmcc
# 配置向IP地址为1.2.0.1/16的日志主机发送中国移动格式的NAT444用户日志。
[Device] customlog host 1.2.0.1 port 1000 export cmcc-userlog
# 开启NAT444用户日志功能。
[Device] nat log enable
[Device] nat log port-block-assign
[Device] nat log port-block-withdraw
(3) 配置Host
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
