01-信息中心配置
本章节下载: 01-信息中心配置 (513.92 KB)
目 录
1.5 配置日志信息的最短保存时间(支持独立模块日志,支持单通用日志文件的设备)
1.6 配置日志信息和日志文件的最短保存时间(支持独立模块日志,支持多通用日志文件的设备)
1.9.3 禁止接口生成Link up/Link down日志信息
信息中心是设备的信息枢纽,它接收各模块生成的日志信息,能够按模块和等级将收到的日志信息输出到控制台、监视终端、日志主机等方向,为管理员监控设备运行情况和诊断网络故障提供了有力的支持。
系统产生的日志信息共分为:
· 普通日志:用于记录日常信息。除特殊说明外,下文中的日志均指普通日志。
· 诊断日志:用于记录调试信息。
· 安全日志:用于记录与认证、授权等安全相关的信息。
· 隐藏日志:用于记录需要以日志的方式记录下来但不需要在终端上显示的信息(如用户通过命令行输入命令的记录信息等)。
· 调试跟踪日志:用于记录系统跟踪调试信息,调试跟踪日志信息,必须加载devkit包后才可以查看,普通用户无需关注,主要提供给服务工程师定位问题。
日志信息按严重性可划分为如表1-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。在系统输出信息时,所有信息等级高于或等于配置等级的信息都会被输出。例如,输出规则中指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出。
数值 |
信息等级 |
描述 |
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
3 |
error |
表示错误信息,如接口链路状态变化等 |
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
7 |
debugging |
表示调试过程产生的信息 |
系统可以向以下方向发送日志信息:控制台(console)、监视终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)和日志文件(logfile)。日志信息的各个输出方向相互独立,可在开启信息中心后分别进行配置,同一日志可同时输出到多个方向。
日志信息的输出规则规定了各个输出方向可以输出的日志信息模块和输出的日志信息等级,日志信息的输出方向包括控制台、监视终端、日志主机、日志缓冲区和日志文件。各个输出方向的缺省情况如表1-2所示:
输出方向 |
日志信息来源 |
开关 |
等级 |
控制台 |
所有支持的模块 |
开 |
debugging |
监视终端 |
所有支持的模块 |
关 |
debugging |
日志主机 |
所有支持的模块 |
开 |
informational |
日志缓冲区 |
所有支持的模块 |
开 |
informational |
日志文件 |
所有支持的模块 |
开 |
informational |
诊断日志信息的输出方向只有诊断日志文件。诊断日志文件不能进行输出模块和输出级别的过滤配置,输出方向的缺省情况如表1-3所示:
输出方向 |
日志信息来源 |
开关 |
等级 |
诊断日志文件 |
所有支持的模块 |
开 |
debugging |
安全日志信息的输出方向只有安全日志文件。安全日志文件不能进行输出模块和输出级别的过滤配置,输出方向的缺省情况如表1-4所示:
输出方向 |
日志信息来源 |
开关 |
等级 |
安全日志文件 |
所有支持的模块 |
关 |
debugging |
隐藏日志信息的输出方向包括日志主机、日志缓冲区和日志文件。各个输出方向的缺省情况如表1-5所示:
输出方向 |
日志信息来源 |
开关 |
等级 |
日志主机 |
所有支持的模块 |
开 |
informational |
日志缓冲区 |
所有支持的模块 |
开 |
informational |
日志文件 |
所有支持的模块 |
开 |
informational |
调试跟踪日志信息的输出方向只有调试跟踪日志文件。调试跟踪日志文件不能进行输出模块和输出级别的过滤配置,输出方向的缺省情况如表1-6所示:
输出方向 |
日志信息来源 |
开关 |
等级 |
调试跟踪日志文件 |
所有支持的模块 |
开 |
debugging |
根据输出方向不同,日志信息的输出格式如下:
表1-7 日志信息格式表
输出方向 |
格式 |
举例 |
|
控制台、监视终端、日志缓冲区或日志文件 |
|||
日志主机 |
非定制格式 |
||
cmcc格式 |
|||
sgcc格式 |
|||
unicom格式 |
上表中介绍的格式是设备向各个输出方向发送的原始信息的格式,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
· Prefix(信息类型)
对于输出方向为控制台、监视终端、日志缓冲区或日志文件的日志信息,时间戳前面会有一个信息类型标识符:
¡ 百分号(%):表示该日志信息为informational级别及以上级别的log日志。
¡ 星号(*):表示该日志信息为debugging级别的log日志。
¡ 指数符号(^):表示该日志信息为诊断日志(不区分级别)。
· PRI(优先级)
对于输出方向为日志主机的日志信息,时间戳前面会有一个优先级标识符。优先级的计算公式为:facility*8+level。
¡ facility表示工具名称,由info-center loghost命令配置,主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。其中,local0~local7分别对应取值16~23。
¡ level表示日志信息的等级,具体含义请参见表1-1。
· Timestamp(时间戳)
时间戳记录了日志信息产生的时间,方便用户查看和定位系统事件。发送到日志主机和发送到其它方向的日志信息的时间戳精度不同:
¡ 发送到日志主机的日志信息的时间戳缺省精确到秒,可配置成精确到毫秒。
¡ 发送到其它方向的日志信息的时间戳精确到毫秒。
发送到日志主机和发送到其它方向的日志信息的时间戳的配置命令也不同:
¡ 发送到日志主机的日志信息的时间戳格式由info-center timestamp loghost命令配置。
¡ 发送到其它方向的日志信息的时间戳格式由info-center timestamp命令配置。
各时间戳格式的详细描述如表1-8所示:
时间戳参数 |
说明 |
举例 |
boot |
系统启动后经历的时间(即设备本次运行的持续时间),格式为:xxx.yyy,其中xxx是系统启动后经历时间的毫秒数高32位,yyy是低32位 除日志主机方向外,发往其它方向的日志信息均支持该参数 |
其中0.109391473即为boot格式的时间戳 |
date |
系统当前的日期和时间,格式为: · 日志主机(不带毫秒):“mmm dd hh:mm:ss yyyy” · 日志主机(带毫秒):“mmm dd hh:mm:ss.ms yyyy” · 其他方向:“MMM DD hh:mm:ss:ms YYYY” 发往所有方向的日志信息均支持该参数 |
其中May 30 05:36:29:579 2018为发往控制台方向的date格式的时间戳 |
iso |
ISO 8601中规定的时间戳格式,可通过配置选择是否精确到毫秒 只有发往日志主机方向的日志信息支持该参数 |
其中2018-05-30T06:42:44为iso格式的时间戳 对于iso格式的时间戳,加毫秒后,形如:2018-05-30T06:42:44.708 |
none |
不带时间信息 发往所有方向的日志信息均支持该参数 |
其中没有包含时间戳 |
no-year-date |
系统当前日期和时间,但不包含年份信息,格式为“MMM DD hh:mm:ss:ms” 只有发往日志主机方向的日志信息支持该参数 |
其中May 30 06:44:22为no-year-date格式的时间戳 |
· Hostip(出接口IP地址)
本字段表示发送的日志信息的源IP地址。只有配置info-center loghost source后,此字段才显示为出接口的IP地址,未配置时,使用Sysname显示。只有使用unicom格式发往日志主机时,日志信息中才包含该字段。
· Serial_number(设备序列号)
主设备的序列号。主设备的序列号可通过display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
只有使用unicom格式发往日志主机时,日志信息才包含该字段。
· Sysname(主机名或主机IP地址)
本字段为生成该日志信息的设备的名称或IP地址。用户可使用sysname命令修改设备的名称。
· %%(厂家标志)
本字段表示本日志信息由H3C设备生成。
只有发往日志主机时,日志信息中才包含该字段。
· vv(版本信息)
本字段为日志信息的版本标识,取值为10。
只有发往日志主机时,日志信息中才包含该字段。
· Module(模块名)
本字段为生成该日志信息的功能模块的名称。模块列表可以通过在系统视图下输入命令info-center source ?进行查看。
· Level(信息等级)
本字段为日志信息的等级,具体说明请参见表1-1。
· Mnemonic(助记符)
本字段为该日志信息的概述,是一个不超过32个字符的字符串。
· Location(定位信息)
本字段为可选字段,用来标识该日志的产生者。只有使用非定制格式或者cmcc格式发往日志主机的日志中携带该字段。可能包含以下参数:
¡ -DevIp=XXX.XXX.XXX.XXX,表示日志发送者的源IP。
¡ -Slot=XX,表示生成该日志的IRF的成员设备编号。
¡ -SN=XX,主设备的序列号。只有开启携带SN功能后才会携带该字段。主设备的序列号可通过display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· Devtype
设备类型。只有在使用sgcc格式发往日志主机时,日志信息中才包含该字段。
· Content(信息文本)
本字段为该日志信息的具体内容。
大部分日志的Content字段为一个或多个句子,例如“VTY logged in from 192.168.1.21.”;部分日志专用于记录参数的取值,其Content字段的形式为“关键信息1;关键信息2;……关键信息n.”,关键信息的格式可能为:
¡ 关键字(关键字序号)=数值
¡ 关键字(关键字序号)=(文本序号)文字描述
其中,序号是设备出厂时约定的参数,用于供日志主机软件(例如安全管理系统)准确、高效地解析关键信息中的内容。
¡ 关键字序号用来代表其前面的关键字
¡ 文本序号用来代表其后面的文字描述
例如:streamAlarmType(1032)=(42)Too fast speed of TCP session to destination IP,其中1032就是streamAlarmType的代号,42就是Too fast speed of TCP session to destination IP的代号。
普通日志配置任务如下:
(1) 开启信息中心功能
(2) 将日志信息输出到指定方向
请至少选择其中一项进行配置:
(3) (可选)配置日志信息的最短保存时间(支持独立模块日志,支持单通用日志文件的设备)
(4) (可选)配置日志信息和日志文件的最短保存时间(支持独立模块日志,支持多通用日志文件的设备)
(5) (可选)配置命令行输入回显功能
(6) (可选)配置日志信息的字符集编码
(7) (可选)抑制日志信息输出
请至少选择其中一项进行配置:
(8) (可选)将系统日志封装成告警信息发送
隐藏日志配置任务如下:
(1) 开启信息中心功能
(2) 将日志信息输出到指定方向
请至少选择其中一项进行配置:
(3) (可选)配置日志信息的最短保存时间(支持独立模块日志,支持单通用日志文件的设备)
(4) (可选)配置日志信息和日志文件的最短保存时间(支持独立模块日志,支持多通用日志文件的设备)
(5) (可选)配置重复日志抑制功能
安全日志配置任务如下:
(1) 开启信息中心功能
(2) (可选)配置重复日志抑制功能
(3) 配置安全日志功能
¡ 保存安全日志
¡ 管理安全日志文件
诊断日志配置任务如下:
(1) 开启信息中心功能
(2) (可选)配置重复日志抑制功能
调试跟踪日志配置任务如下:
(1) 开启信息中心功能
(2) (可选)配置重复日志抑制功能
(3) 配置调试跟踪日志文件的大小
开启信息中心功能后,信息中心模块才能处理各业务模块生成的日志,用户才能看到设备生成的日志。
(1) 进入系统视图。
system-view
(2) 开启信息中心功能。
info-center enable
缺省情况下,信息中心处于开启状态。
terminal monitor、terminal debugging、terminal logging命令只对当前连接有效。当终端与设备重新建立连接后,这些命令会恢复到缺省情况。
(1) 进入系统视图。
system-view
info-center source { module-name | default } console { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
(3) (可选)配置时间戳输出格式。
info-center timestamp { boot | date | none }
缺省情况下,信息的时间戳输出格式为date格式。
(4) 退回到用户视图。
quit
(5) 允许日志信息输出到当前终端。
terminal monitor
缺省情况下,不允许日志信息输出到监视终端。
(6) 允许调试信息输出到当前终端。
terminal debugging
缺省情况下,不允许调试信息输出到当前终端。
调试信息指的是打开业务模块的调试信息开关后,业务模块生成的debugging级别的日志信息。
(7) 配置当前终端允许输出的日志信息的最低级别。
terminal logging level severity
缺省情况下,监视终端显示的日志信息最低等级为6(informational)。
监视终端是指以VTY类型用户线登录的用户终端。
terminal monitor、terminal debugging、terminal logging命令只对当前连接有效。当终端与设备重新建立连接后,这些命令会恢复到缺省情况。
(1) 进入系统视图。
system-view
info-center source { module-name | default } monitor { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
(3) (可选)配置时间戳输出格式。
info-center timestamp { boot | date | none }
缺省情况下,信息的时间戳输出格式为date格式。
(4) 退回到用户视图。
quit
(5) 允许日志信息输出到当前终端。
terminal monitor
缺省情况下,不允许日志信息输出到监视终端。
(6) 允许调试信息输出到当前终端。
terminal debugging
缺省情况下,不允许调试信息输出到当前终端。
调试信息指的是打开业务模块的调试信息开关后,业务模块生成的debugging级别的日志信息。
(7) 配置当前终端允许输出的日志信息的最低级别。
terminal logging level severity
缺省情况下,监视终端显示的日志信息最低等级为6(informational)。
设备支持通过以下功能将某些业务模块的日志发送给日志主机,这些功能按优先级从高到低的顺序依次为:
(1) 快速日志输出
(2) Flow日志
(3) 信息中心
对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。哪些业务模块的日志支持快速日志输出,以及快速日志输出详细介绍请参见“网络管理和监控配置指导”中的“快速日志输出”;哪些业务模块的日志支持通过Flow日志输出,以及Flow日志的详细介绍请参见“网络管理和监控配置指导”中的“Flow日志”。
(1) 进入系统视图。
system-view
(2) 配置日志信息发送到日志主机时的输出规则。请选择其中一项进行配置。
¡ 创建日志输出规则。
info-center filter filter-name { module-name | default } { deny | level severity }
缺省情况下,未为日志主机配置日志信息输出规则。
多次执行本命令可以创建多个输出规则,将输出规则和日志主机绑定,可以为不同的日志主机指定不同的输出规则。
¡ 配置日志信息的输出规则。
info-center source { module-name | default } loghost { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
本命令配置的输出规则对所有日志主机生效。如果日志主机没有绑定info-center filter命令配置的输出规则,则使用info-center source命令配置的输出规则。
(3) (可选)配置发送日志信息时使用的源IP地址。
info-center loghost source interface-type interface-number
缺省情况下,使用出接口的主IP地址作为发送的日志信息的源IP地址。
(4) (可选)配置发往日志主机的日志信息的输出格式。
info-center format { cmcc | sgcc | unicom }
缺省情况下,发往日志主机的日志信息的格式为非定制格式。
本命令中sgcc参数的支持情况与设备型号有关,具体请参见命令参考。
(5) (可选)配置发往日志主机的定位信息中携带设备序列号。
info-center loghost locate-info with-sn
缺省情况下,发往日志主机的日志定位信息中不携带设备序列号。
(6) (可选)配置发送的日志信息的时间戳格式。
info-center timestamp loghost { date [ with-milliseconds ] | iso [ with-milliseconds ] | no-year-date | none }
缺省情况下,发往日志主机的日志信息的时间戳输出格式为date格式。
(7) 配置日志主机及相关参数。
info-center loghost [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ facility local-number | filter filter-name | format { cmcc | default | sgcc | unicom } | port port-number | source-ip source-ip-address ] *
缺省情况下,未配置日志主机及相关参数。
port-number参数的值需要和日志主机侧的配置一致,否则,日志主机接收不到日志信息。
本命令中指定的日志格式优先级高于info-center format命令的配置;本命令中指定的源IP地址优先级高于info-center loghost source命令的配置。
配置本功能后,设备会将业务模块生成的日志保存到日志缓冲区中以便随时查看。日志缓冲区按业务模块支持情况分为独立模块日志缓冲区和通用日志缓冲区,其关系如图1-1所示。
· 独立模块日志缓冲区
独立模块日志缓冲区用于存储单个业务模块生成的日志。
部分业务模块(例如会话、攻击防御等)以及部分业务模块的子模块生成的日志较多,或者比较重要,为方便用户查看日志,也为了避免这些业务模块、子模块的日志和其它业务模块的日志互相影响,设备支持独立模块日志缓冲区。一个业务模块、子模块对应一个独立的日志缓冲区。允许日志信息输出到日志缓冲区后,这些特定的业务模块、子模块就会将其生成的日志输出到各自对应的独立日志缓冲区中保存。
哪些业务模块、子模块支持独立模块日志缓冲区由设备出厂决定,在任意视图下执行display logbuffer module ?命令,通过帮助信息可获得业务模块的取值;在任意视图下执行display logbuffer module module-name submodule ?命令,通过帮助信息可获得子模块的取值。特定业务模块的日志请使用带module参数的display logbuffer命令查看;特定子模块的日志请使用带module和submodule参数的display logbuffer命令查看。
· 通用日志缓冲区
除了输出到独立日志缓冲区的业务模块和子模块,其它业务模块以及系统生成的日志会统一输出到通用日志缓冲区。
通用日志缓冲区的日志请使用不带module参数的display logbuffer命令查看。
(1) 进入系统视图。
system-view
(2) 配置日志信息发送到日志缓冲区时的输出规则。
info-center source { module-name | default } logbuffer { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
(3) (可选)配置时间戳输出格式。
info-center timestamp { boot | date | none }
缺省情况下,日志信息的时间戳输出格式为date格式。
(4) 允许日志信息输出到日志缓冲区。
info-center logbuffer
缺省情况下,允许日志输出到日志缓冲区。
(5) (可选)配置独立模块日志缓冲区的容量。
info-center logbuffer module module-name size buffersize
缺省情况下,独立模块日志缓冲区可存储512条信息。
(6) (可选)配置通用日志缓冲区的容量。
info-center logbuffer size buffersize
缺省情况下,通用日志缓冲区可存储512条信息。
通过使用本特性,用户可以将系统产生的日志信息保存到设备的日志文件中以便随时查看。日志文件按业务模块支持情况分为独立模块日志文件和通用日志文件两大类。
· 独立模块日志文件
独立模块日志文件用于存储单个业务模块生成的日志。
部分业务模块(例如会话、攻击防御等)生成的日志较多,或者比较重要,为方便用户管理和利用日志,也为了避免这些业务模块的日志和其它业务模块的日志互相影响,设备支持独立日志文件功能。开启日志文件功能后,这些特定的业务模块就会将本模块生成的日志输出到独立的日志文件中保存,一个业务模块对应一个独立日志文件。独立模块日志文件以模块名和“.log”后缀为文件名,形如:session.log。
哪些业务模块、子模块支持独立模块日志文件由设备出厂决定,可在系统视图下执行info-center logfile module ?命令,通过帮助信息可获得业务模块的取值。要查看这些业务模块的日志,可在用户视图下执行more命令查看对应独立模块日志文件的内容。
· 通用日志文件
通用日志文件用于存储除独立存储日志的业务模块外的其它业务模块以及系统生成的日志。通用日志文件的名称为logfile.log。
独立模块日志在保存到独立模块日志文件前,先保存在独立模块日志文件缓冲区;通用日志在保存到通用日志文件前,先保存在通用日志文件缓冲区。出现以下情况时,系统会将独立模块日志文件缓冲区的内容保存到独立模块日志文件,通用日志文件缓冲区的内容保存到通用日志文件,成功保存后,日志文件缓冲区里的内容会被清空:
· 按用户配置的周期自动保存。
· 用户手工触发立即保存。
· 日志文件缓冲区写满后触发保存。
设备在有日志存储需要时,会自动生成对应的日志文件。日志文件有容量限制:
· 当日志文件的大小达到最大值,且日志文件写满保护功能处于开启状态,设备停止将通用日志文件缓冲区的新日志保存到通用日志文件。
· 当存储介质的存储空间不足或者存储介质有存储空间但日志文件的大小达到最大值,且日志文件写满保护功能处于关闭状态,系统会使用最新日志覆盖最旧日志。
· 当存储介质的存储空间不足或者存储介质有存储空间但日志文件的大小达到最大值,且日志文件写满保护功能处于关闭状态:
¡ 对于独立模块日志文件,一个业务模块设备对应一个独立模块日志文件,所以,系统会使用最新日志覆盖最旧日志。
¡ 对于通用日志文件,系统会自动创建logfile1.log来存储日志。logfile1.log写满后,会被压缩成logfile1.log.gz,再自动创建logfile2.log来存储日志。logfile2.log写满后,会被压缩成logfile2.log.gz,再自动创建logfile3.log来存储日志,以此类推。当日志文件的个数达到设备支持的最大值时,系统会找出生成时间最早的压缩文件(例如为logfileX.log.gz),并创建一个同名日志文件(logfileX.log)来存储日志,logfileX.log写满后,会被压缩成logfileX.log.gz来替换现有的logfileX.log.gz,以此类推。
· 当尚未生成日志文件,且存储介质的剩余空间不足时,设备不会将新生成的日志存储到日志文件。请定期清理存储介质的存储空间,以免影响日志文件功能。
· 建议及时备份日志文件,以免重要日志被覆盖或丢失。
(1) 进入系统视图。
system-view
(2) 配置日志信息保存到日志文件时的输出规则。
info-center source { module-name | default } logfile { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
(3) 开启日志文件功能。
info-center logfile enable
缺省情况下,允许日志信息输出到日志文件。
本命令对独立模块日志文件和通用日志文件都生效。
(4) (可选)配置单个独立模块日志文件最大能占用的存储空间的大小。
info-center logfile module module-name size-quota size
本命令的缺省情况与设备的型号有关,具体请参见命令参考。
(5) (可选)配置模块日志文件使用率的告警门限。
info-center logfile module module-name alarm-threshold usage
缺省情况下,模块日志文件使用率的告警门限是80。即当模块日志文件使用率达到80%时,系统会提醒用户。
将usage配置为0时,表示关闭模块日志文件使用率告警功能。
(6) (可选)配置存储日志文件的目录。
info-center logfile directory dir-name
缺省情况下,存放日志文件的目录为设备缺省文件系统根目录下的logfile文件夹。
本命令对独立模块日志文件和通用日志文件都生效。
该命令会在IRF重启或主从设备倒换后失效。
(7) 将日志文件缓冲区中的内容保存到日志文件。至少选择其中一项进行配置。
¡ 配置自动将日志文件缓冲区中的内容保存到日志文件。
info-center logfile frequency freq-sec
缺省情况下,设备自动保存日志文件的频率为86400秒。
本命令对独立模块日志文件和通用日志文件都生效。
¡ 在任意视图下执行以下命令,手动立即将日志文件缓冲区中的内容保存到日志文件。
logfile save
本命令对独立模块日志文件和通用日志文件都生效。
(1) 进入系统视图。
system-view
(2) 配置日志信息保存到日志文件时的输出规则。
info-center source { module-name | default } logfile { deny | level severity }
缺省情况下,日志信息的输出规则请参见“1.1.4 日志信息的缺省输出规则”。
(3) 开启日志文件功能。
info-center logfile enable
缺省情况下,允许日志信息输出到日志文件。
本命令对独立模块日志文件和通用日志文件都生效。
(4) (可选)配置单个日志文件最大能占用的存储空间的大小。
info-center logfile size-quota size
本命令的缺省情况与设备的型号有关,具体请参见命令参考。
(5) (可选)配置存储日志文件的目录。
info-center logfile directory dir-name
缺省情况下,存放日志文件的目录为设备缺省文件系统根目录下的logfile文件夹。
本命令对独立模块日志文件和通用日志文件都生效。
该命令会在IRF重启或主从设备倒换后失效。
(6) 将日志文件缓冲区中的内容保存到日志文件。至少选择其中一项进行配置。
¡ 配置自动将日志文件缓冲区中的内容保存到日志文件。
info-center logfile frequency freq-sec
缺省情况下,设备自动保存日志文件的频率为86400秒。
本命令对独立模块日志文件和通用日志文件都生效。
¡ 在任意视图下执行以下命令,手动立即将日志文件缓冲区中的内容保存到日志文件。
logfile save
本命令对独立模块日志文件和通用日志文件都生效。
使用本特性可以确保重要日志在指定时间内不被新的日志覆盖。
允许日志输出到日志缓冲区和日志文件后,独立模块日志会被保存在独立模块日志缓冲区和独立模块日志文件中,通用日志(非独立输出的日志)会被保存在通用日志缓冲区和通用日志文件中。但日志缓冲区和日志文件均有容量限制,当存储的日志达到容量限制时,系统会直接使用最新日志覆盖最早生成的日志。配置日志信息的最短保存时间后,系统在覆盖日志前,会检查该日志在系统中存在的时间(根据日志生成时间和当前系统时间计算):
· 如果日志存在时间小于等于最短保存时间,则不删除该日志,新日志保存失败;
· 如果日志存在时间大于最短保存时间,则使用最新的日志覆盖本条日志。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
F5000-V系列 |
F5000-V30 |
支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
(1) 进入系统视图。
system-view
(2) 配置独立模块日志信息的最短保存时间。
info-center syslog module module-name min-age min-age
缺省情况下,未配置日志信息的最短保存时间。
(1) 进入系统视图。
system-view
(2) 配置通用日志信息的最短保存时间。
info-center syslog min-age min-age
缺省情况下,未配置日志信息的最短保存时间。
使用本特性可以确保重要日志和日志文件在指定时间内不被新的日志覆盖。
允许日志输出到日志缓冲区和日志文件后,独立模块日志会被保存在独立模块日志缓冲区和独立模块日志文件中,通用日志(非独立输出的日志)会被保存在通用日志缓冲区和通用日志文件中。但日志缓冲区和日志文件均有容量限制,当存储的日志达到容量限制时,系统会进行以下处理:
· 对于独立模块日志缓冲区、独立模块日志文件和通用日志缓冲区中的日志,系统在覆盖一条日志前,会检查该日志在系统中存在的时间(根据日志生成时间和当前系统时间计算):
¡ 如果日志存在时间小于等于最短保存时间,则不删除该条日志,新日志保存失败;
¡ 如果日志存在时间大于最短保存时间,则使用最新的日志覆盖本条日志。
· 对于通用日志文件,配置该特性后,当设备中的通用日志文件数量达到最大限制,且当前使用的通用日志文件已无空间再记录新日志时,设备会查找出修改时间最早的日志压缩文件,并检查该日志压缩文件的存在时间(根据日志文件的修改时间和当前系统时间计算):
¡ 如果日志压缩文件的存在时间小于等于最短保存时间,则不处理该日志压缩文件,新日志保存失败。
¡ 如果日志压缩文件的存在时间大于最短保存时间,设备将创建一个与该压缩文件同名的日志文件来保存最新日志。处理细节可参见“配置日志信息保存到日志文件”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
F5000-V系列 |
F5000-V30 |
不支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
(1) 进入系统视图。
system-view
(2) 配置独立模块日志信息和日志文件的最短保存时间。
info-center syslog module module-name min-age min-age
缺省情况下,未配置日志信息和日志文件的最短保存时间。
(1) 进入系统视图。
system-view
(2) 配置通用日志信息和日志文件的最短保存时间。
info-center syslog min-age min-age
缺省情况下,未配置日志信息和日志文件的最短保存时间。
当用户进行命令行、参数或者Y/N确认信息输入时,如果被大量的日志信息打断,用户可能记不清已经输入了哪些字符串,还需要输入哪些字符串。使用命令行输入回显功能,能够协助用户配置。系统会在日志信息输出完毕后回显用户已有的输入或者Y/N确认信息,以便用户继续执行配置。
(1) 进入系统视图。
system-view
(2) 开启命令行输入回显功能。
info-center synchronous
缺省情况下,命令行输入回显功能处于关闭状态。
信息中心发送日志信息时,支持使用GB18030或UTF-8作为字符集编码,缺省为GB18030。设备使用的日志信息的字符集编码必须和用户登录终端使用的字符集编码相同,否则,当设备往登录软件发送的信息中包含中文字符时,可能会出现中文字符在登录软件上显示为乱码的情况。
(1) 进入系统视图。
system-view
(2) 配置信息中心使用UTF-8编码方式输出日志。
info-center syslog utf-8 enable
缺省情况下,业务模块每生成一条日志,信息中心会对应输出一条日志。如果业务模块连续生成的两条日志中模块名、信息等级、日志助记符、定位信息和信息文本字段的取值完全相同,则信息中心认为第二条日志为第一条日志的重复日志。
有些场景下,例如设备受到了ARP攻击、路由链路故障等,业务模块在短时间内会产生大量重复日志,记录和传输这些重复日志会浪费设备资源和网络资源,并可能导致有用的日志被淹没、被覆盖,不利于设备的维护。为了避免此问题,可开启重复日志抑制功能。
开启重复日志抑制功能后,业务模块每产生一条新日志,信息中心会输出该日志,并启动重复日志抑制定时器。抑制分阶段,不同阶段对应的抑制定时器时长不同,第一阶段的抑制时长为30秒、第二阶段的抑制时长为2分钟、第三及后续阶段的抑制时长均为10分钟,直到这次抑制流程结束。
· 在任一抑制阶段内,如果信息中心连续收到某条日志的重复日志,则信息中心不再逐条输出重复日志,而是等抑制时间到达时,生成一条汇总日志来供用户查阅,并进入下一个抑制阶段。汇总日志包含本阶段抑制的日志的内容和条数。
· 在任一抑制阶段内,如果信息中心收到其它新日志,则信息中心会进行以下处理:
¡ 结束对当前日志的抑制,并立即生成一条汇总日志来供用户查阅,汇总日志包含本阶段抑制的日志的内容和条数。
¡ 输出新日志,并针对新日志进入重复日志抑制第一阶段。
· 在任一抑制阶段,如果整个阶段内信息中心均未收到任何业务模块的日志,则删除重复日志抑制定时器,结束对当前日志的抑制,且不输出任何日志。
(1) 进入系统视图。
system-view
(2) 开启重复日志抑制功能。
info-center logging suppress duplicates
缺省情况下,重复日志抑制功能处于关闭状态。
下面以SHELL_CMD日志为例,来描述重复日志抑制效果。已知用户在设备上成功执行一条命令行时,SHELL模块会生成SHELL_CMD日志来记录用户执行的命令行,信息中心将SHELL_CMD日志封装后,输出到日志缓冲区。
(1) 为验证第一、二、三、四阶段(对应的时长分别为30秒、2分钟、10分钟、10分钟)的抑制效果,在25分钟内,重复执行命令行display logbuffer,(实验室环境,期间无其它日志生成),在日志缓冲区可看到如下日志。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
以上日志表明:
¡ 新日志为SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer。
¡ (第一阶段)在最近30秒内,信息中心抑制了2次重复日志。
¡ (第二阶段)在最近2分钟内,信息中心抑制了5次重复日志。
¡ (第三阶段)在最近10分钟内,信息中心抑制了10次重复日志。
¡ (第四阶段)在最近10分钟内,信息中心抑制了6次重复日志。
(2) 为验证在抑制时长内,抑制动作被新日志打断的效果,在25分钟后,连续执行3次命令行display logbuffer后,再执行命令行display interface brief。信息中心会退出对日志“SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer”的抑制,输出新日志,并开始对新日志的抑制。在日志缓冲区可看到如下日志。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
%Jul 20 13:24:56:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 3 times in last 1 minute 6 seconds.
%Jul 20 13:25:41:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display interface brief.
<Sysname>
当系统日志较多时,对于用户不关心的日志,可禁止指定模块日志的输出,或者禁止指定模块特定助记符的日志输出。
(1) 进入系统视图。
system-view
(2) 禁止指定模块日志的输出。
info-center logging suppress module module-name mnemonic { all | mnemonic-value }
缺省情况下,未禁止指定模块日志的输出。
缺省情况下,设备的所有接口在接口状态改变时都会生成Link up/Link down的日志信息。为了方便管理,用户可以根据实际情况禁止某些接口生成接口Link up/Link down的日志信息:
· 用户只关心某个或某些接口的状态时,可以使用该功能禁止其它接口生成Link up/Link down日志信息。
· 某个接口的状态因不稳定而频繁地改变,生成大量的Link up/Link down日志信息时,可以使用该功能禁止该接口生成Link up/Link down日志信息。
使用本特性后,如果接口状态改变,将不再生成接口Link up/Link down的日志信息。这样可能会影响用户监控接口状态,所以在一般情况下建议采用缺省配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 禁止接口生成Link up/Link down日志信息。
undo enable log updown
缺省情况下,允许所有接口在状态发生改变时生成接口Link up和Link down的日志信息。
设备在处理某些安全业务时会产生大量的安全业务日志并发送至信息中心,此时会导致信息中心的负担过大。可以通过配置抑制安全业务日志输出功能,减少同一时刻发往日志中心的安全业务日志总数。配置本功能后,当日志信息发送速率超过本功能配置的阈值时,超出阈值的日志信息将被丢弃,管理员需要根据实际情况进行合理配置。
本功能支持的安全业务包括:AFT、ASPF、数据过滤、文件过滤、URL过滤、NAT、会话、防病毒、审计、IPS、共享上网、服务器外联防护和ATK。
本特性的支持情况与设备的型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
F5000-V系列 |
F5000-V30 |
支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
F1000-AK9110、F1000-AK9210 |
不支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
(1) 进入系统视图。
system-view
(2) 配置安全业务日志信息的发送速率限制。
security syslog rate-limit max-value
缺省情况下,每秒允许的日志信息发送速率最大值为1000。
使用本特性后,设备除了根据输出规则将日志输出到各方向外,还会将日志信息封装成告警信息,发送到SNMP模块和日志告警缓冲区。
· 发送到SNMP模块后,是否输出到目的主机,以Trap还是Inform形式发送,由SNMP模块的配置决定,关于告警信息以及SNMP配置的详细介绍请参见“网络管理和监控配置指导”中的“SNMP”。
· 发送到日志告警缓冲区后,用户可通过“日志告警缓冲区对应的MIB节点”来直接读取日志信息封装成的告警信息。用户还可通过info-center syslog trap buffersize命令来配置日志告警缓冲区的大小。
(1) 进入系统视图。
system-view
(2) 将系统日志封装成告警信息发送。
snmp-agent trap enable syslog
缺省情况下,系统日志不会封装成告警信息发送。
(3) 配置日志告警缓冲区的大小。
info-center syslog trap buffersize buffersize
缺省情况下,日志告警缓冲区的大小为1024条。
查看系统日志是了解设备状态、定位和排除网络问题的一个重要方法,而在系统日志中与设备安全相关的安全日志显得尤为重要。但通常情况下,安全日志与其它日志一同输出,经常被淹没在大量的系统日志中,很难识别、不便于查看。针对这个问题,系统提供了安全日志同步保存功能。安全日志同步保存功能的配置和安全日志文件的管理相互分离,安全日志文件实行专人专管。
开启安全日志同步保存功能后,系统将安全日志进行集中处理:当生成的日志信息中有安全日志,在不影响日志信息现有输出规则的前提下,系统会将安全日志信息同步保存到专用的安全日志文件。这样既实现了安全日志的集中管理,又有利于用户随时快捷地查看安全日志,了解设备状态。
安全日志会先被输出到安全日志文件缓冲区(security-logfile buffer),系统会按照配置中指定的频率将安全日志文件缓冲区的内容写入安全日志文件(安全日志管理员也可以手工触发保存)。当安全日志文件缓冲区里的内容成功保存到安全日志文件后,安全日志文件缓冲区会被立即清空。系统只支持单个安全日志文件。
安全日志文件写满并收到新的安全日志时,新安全日志会覆盖安全日志文件中的旧安全日志。为了防止安全日志的丢失,用户可以配置安全日志文件使用率告警上限。当达到上限时,系统会输出日志信息提醒用户,此时,用户可以使用安全日志管理员身份登录设备,将安全日志文件进行备份,以防止重要历史数据丢失。
(1) 进入系统视图。
system-view
(2) 开启安全日志同步保存功能。
info-center security-logfile enable
缺省情况下,安全日志同步保存功能处于关闭状态。
(3) 配置设备自动保存安全日志文件的频率。
info-center security-logfile frequency freq-sec
(4) (可选)配置单个安全日志文件最大能占用的存储空间的大小。
info-center security-logfile size-quota size
缺省情况下,单个安全日志文件可使用的存储空间的最大值为10MB。
(5) (可选)配置安全日志文件使用率的告警上限。
info-center security-logfile alarm-threshold usage
缺省情况下,安全日志文件使用率的告警门限是80。即当安全日志文件使用率达到80%时,系统会发出日志提醒用户。
只有具有安全日志管理员角色的用户登录设备后,才能管理完全日志文件。安全日志管理员的相关配置请参见“安全配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 修改存储安全日志文件的路径。
info-center security-logfile directory dir-name
缺省情况下,存储安全日志文件路径为存储设备根目录下的seclog文件夹。
该命令会在IRF重启或主从设备倒换后失效。
(3) 在任意视图下执行以下命令,手动将安全日志文件缓冲区中的内容全部保存到安全日志文件。
security-logfile save
(4) (可选)在任意视图下执行以下命令,显示安全日志文件的概要信息。
display security-logfile summary
通过使用本特性,用户可以将系统产生的诊断日志信息保存到设备的诊断日志文件中以便随时查看。
诊断日志在保存到诊断日志文件前,先保存在诊断日志文件缓冲区。系统会按照指定的频率将诊断日志文件缓冲区的内容写入诊断日志文件,用户也可以手工触发立即保存。成功保存后,保存前的诊断日志文件缓冲区里的内容会被清空。
诊断日志文件有容量限制,当诊断日志文件的大小达到最大值时,系统会使用最新日志覆盖最旧日志。
(1) 进入系统视图。
system-view
(2) 开启诊断日志保存功能。
info-center diagnostic-logfile enable
缺省情况下,诊断日志同步保存功能处于开启状态。
(3) (可选)配置单个诊断日志文件最大可占用的存储空间的大小。
info-center diagnostic-logfile quota size
缺省情况下,单个诊断日志文件可使用的存储空间的最大值为10MB。
(4) (可选)配置存储诊断日志文件的目录。
info-center diagnostic-logfile directory dir-name
缺省情况下,存储诊断日志文件路径为设备缺省文件系统根目录下的diagfile文件夹。
该命令会在IRF重启或Master和Slave倒换后失效。
(5) 将诊断日志文件缓冲区中的内容保存到诊断日志文件。
¡ 配置自动保存的频率将诊断日志文件缓冲区中的内容保存到诊断日志文件。
info-center diagnostic-logfile frequency freq-sec
¡ 在任意视图下执行以下命令,手动将诊断日志文件缓冲区中的内容保存到诊断日志文件。
diagnostic-logfile save
设备在调试过程中,会产生大量的调试跟踪日志。如果调试跟踪日志文件存储空间太小,可能会导致日志被很快覆盖,不利于定位问题。使用本特性,可以用来配置调试跟踪日志文件最大能占用的存储空间的大小。系统只支持单个跟踪调试日志文件。
(1) 进入系统视图。
system-view
(2) 配置调试跟踪日志文件最大可占用的存储空间的大小。
info-center trace-logfile quota size
缺省情况下,调试跟踪日志文件最大可占用的存储空间的大小为1MB。
在完成上述配置后,在任意视图下执行display命令可以显示配置后信息中心的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset logbuffer命令可以将日志缓冲区的统计信息清除。
操作 |
命令 |
显示设备或登录软件当前使用的字符集编码 |
display character-set [ terminal ] |
显示诊断日志文件的配置 |
display diagnostic-logfile summary |
显示各个输出方向的信息 |
display info-center |
显示用户创建的日志输出规则的相关信息 |
display info-center filter [ filtername ] |
显示日志信息的输出规则 |
display info-center source [ module module-name ] |
显示日志缓冲区的状态和日志缓冲区记录的日志信息 |
display logbuffer [ module module-name [ submodule submodule-name ] ] [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ last-mins mins ] |
显示日志缓冲区的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * |
显示日志文件的配置 |
display logfile summary |
显示安全日志文件的概要信息(只有安全日志管理员才能执行该命令) |
display security-logfile summary |
清除日志缓冲区内的信息 |
reset logbuffer [ module module-name [ submodule submodule-name ] ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!