- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-快速日志输出配置
本章节下载: 23-快速日志输出配置 (350.87 KB)
目 录
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
日志信息按严重性可划分为如表1-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
快速日志的日志头格式如下:
表1-2 日志头格式表
|
格式类型 |
格式 |
举例 |
|
|
标准格式日志头 |
|||
|
定制格式日志头 |
URL过滤unicom格式 |
||
|
NAT cmcc格式 |
|||
|
NAT unicom格式 |
|||
|
NAT telecom格式 |
|||
· PRI:日志类型码。标准格式和NAT telecom格式固定为134;URL过滤unicom格式、NAT cmcc格式和NAT unicom格式固定为142。
· Version:版本信息。日志信息的版本标识,取值为1。
· Timestamp:日志信息产生的时间,方便用户查看和定位系统事件。格式为:YYYY Mon DD hh:mm:ss。
· AppName:生成该日志信息的设备名称。
· %%10:设备的厂家标志。
· SN:设备的序列号。只有执行customlog with-sn开启携带SN功能后才会携带该字段。设备的序列号可通过display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· VsysId:产生快速日志的虚拟系统ID。
· HostName:快速日志输出时使用的源IPv4地址。NAT cmcc格式固定为-。
· MsgID:日志消息类型。
· Len:日志头总长度,单位为字节。
· ProcID:固定为-。
非缺省vSystem不支持本特性的配置快速日志输出到Kafka服务器功能。
非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
设备支持通过以下功能将某些业务模块的日志发送给日志主机,这些功能按优先级从高到低的顺序依次为:
(1) 快速日志输出
(2) Flow日志(哪些业务模块的日志支持通过Flow日志输出,以及Flow日志的详细介绍请参见“网络管理和监控配置指导”中的“Flow日志”。)
(3) 信息中心
对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。
对于NAT模块的日志,customlog format和customlog host命令中指定的日志输出格式必须相同,且为日志主机要求的格式。否则,设备不会生成指定格式的日志,日志主机将接收不到日志。
目前仅TELECOM格式支持携带VNI(即VXLAN ID),且携带该字段后,设备将使用新的日志格式发送NAT模块日志。
对于IPS模块的日志,标准格式的日志与国家电网格式的日志互斥,不能同时配置两种格式的日志。同时配置这两种格式时,最后一次执行的命令生效。但标准格式和国家电网格式的日志都能与中国移动格式的日志共存。
设备支持通过v1和v2两种方式配置快速日志输出功能,推荐使用v2方式配置,可以更方便后期维护发送快速日志的类型。
设备最多支持同时指定10个日志主机,可向10个日志主机分别发送日志。两种方式指定的日志主机数量共享,当v2方式已经指定10个日志主机,则不能再使用v1方式指定新的日志主机,反之亦然。
日志主机不支持配置本机地址。
缺省情况下,日志信息会输出到本地(包括日志缓冲区和日志文件)。若通过V1方式配置日志信息输出到日志主机,则日志仅发送到日志主机;而通过V2方式配置时,日志将同时发送到本地和日志主机。本地日志会占用设备存储空间,若不需要日志输出到本地,可通过命令行info-center source禁止相关模块的日志输出到本地。
快速日志输出功能v2中的module命令仅列举和解释所有业务模块日志参数的功能与作用。但是各模块的参数配置后是否生效,还取决于所属业务模块的配置是否完整。因此不同产品对命令中各业务模块参数的支持情况,与各业务模块的支持情况保持一致,请以产品是否支持对应业务模块的情况为准。例如:如果某设备不支持NAT功能,即使配置了有关NAT功能快速日志输出的参数,那么设备也不会生成有关NAT功能的快速日志。
设备可以通过配置日志主机实例,并在实例下指定要输出的日志类型,来支持将特定类型的日志快速发送到日志主机。这种设置能够有效地将设备生成的日志集中存储和管理,便于运维人员实时监控和分析设备的运行情况,以帮助用户更好地了解和解决网络设备上的问题。
(1) 进入系统视图。
system-view
(2) 配置快速日志主机,并进入日志主机视图。
customlog host v2 [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情况下,未配置快速日志主机。
(3) 配置向日志主机发送指定类型的快速日志。
¡ 向日志主机发送AFT模块的日志
module aft [ cmcc | unicom | telecom ]
¡ 向日志主机发送防病毒模块的日志
module anti-viru
¡ 向日志主机发送攻击检测与防范模块的日志
module attack-defense
¡ 向日志主机发送应用审计与管理模块的日志
module audit
¡ 向日志主机发送数据过滤模块的日志
module data-filter
¡ 向日志主机发送DGA域名检测模块的日志
module dga
¡ 向日志主机发送文件过滤模块的日志
module file-filter
¡ 向日志主机发送物联网设备安全管理功能中准入控制模块的日志
module iot-access-control
¡ 向日志主机发送物联网设备安全管理功能中流量控制模块的日志
module iot-flow-control
¡ 向日志主机发送物联网设备安全管理功能中格式检查模块的日志
module iot-format-check
¡ 向日志主机发送物联网设备安全管理功能中信令控制模块的日志
module iot-signal-control
¡ 向日志主机发送入侵防御模块的日志
module ips [ sgcc { policy-hit | signature-update } ]
¡ 向日志主机发送国家电网格式的心跳模块日志
module keepalive sgcc
¡ 向日志主机发送负载均衡模块的日志
module loadbalance [ global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy ] *
¡ 向日志主机发送NAT模块的日志
module nat [ cmcc | telecom | telecom-vni | unicom ]
¡ 向日志主机发送共享上网管理模块的日志
module netshare
¡ 向日志主机发送IP信誉、域名信誉和URL信誉模块的日志
module reputation
¡ 向日志主机发送沙箱模块的日志
module sandbox
¡ 向日志主机发送服务器外联防护模块的日志
module scd
¡ 向日志主机发送安全策略报文匹配快速日志
module security-policy [ sgcc ]
¡ 向日志主机发送国家电网格式的安全策略内容快速日志
module security-policy-config sgcc
¡ 向日志主机发送会话管理模块的日志
module session
¡ 向日志主机发送SSL VPN模块的日志
module sslvpn
¡ 向日志主机发送终端识别模块的日志
module terminal
¡ 向日志主机发送带宽管理模块的日志
module traffic-policy
¡ 向日志主机发送IAM类型可信访问控制模块的日志
module trusted-access iam [ authorization | notification ]*
¡ 向日志主机发送URL过滤模块的日志
module url-filter [ unicom ]
¡ 向日志主机发送WAF模块的日志
module waf
缺省情况下,未配置向日志主机发送指定类型的快速日志。
(4) 退回系统视图。
quit
(5) (可选)配置快速日志输出时使用的源IP地址。
customlog host source interface-type interface-number
缺省情况下,快速日志输出时使用的源IP地址为出接口的主IP地址。
配置本命令后,不管实际使用哪个物理接口发送日志信息,日志信息的源IP地址均为指定接口的主IP地址。当日志主机需要根据日志的源IP对日志进行过滤显示时,请配置该命令。
(6) (可选)配置快速输出日志的时间戳为系统时间。
customlog timestamp localtime
缺省情况下,快速输出日志的时间戳为格林威治时间。
(7) (可选)配置快速日志输出时携带设备序列号。
customlog with-sn
缺省情况下,快速日志输出时不携带设备序列号。
(8) (可选)配置快速日志输出时使用的语言。
customlog language { chinese | english }
缺省情况下,快速日志输出时使用的语言为英文。
目前仅部分业务支持发送中文的快速日志,且各业务日志中仅部分字段支持使用中文。例如,会话日志中仅“应用”和“分类”字段支持中文。各业务日志的具体支持情况请参见命令参考手册。
如果日志接收服务器和设备使用的中文字符集编码不同,日志服务器上可能会出现中文字符乱码的情况。使用本命令可以将快转日志输出模块发送日志信息时使用的字符集编码配置为UTF-8或者GB18030。
(1) 进入系统视图。
system-view
(2) 配置快速日志输出使用UTF-8编码方式输出日志。
customlog character-encoding utf-8
缺省情况下,快速日志输出使用GB18030编码方式输出日志。
设备支持向Kafka日志服务器发送Kafka格式快速日志,当网络中部署了Kafka日志服务器,则可以在设备端配置Kafka服务器,并开启快速日志输出到Kafka服务器功能,设备即可向Kafka日志服务器发送Kafka格式快速日志。
其中Kafka服务器的Broker即Kafka服务器集群的成员,在设备端需要配置接收日志Broker的IP地址和端口,设备会向指定的地址发送Kafka格式快速日志。
只有通过customlog format命令开启了对应模块的快速日志输出功能后,customlog kafka-server export命令才会生效。
(1) 进入系统视图。
system-view
(2) 创建日志输出的Kafka服务器,并进入Kafka服务器视图。
kafka-server server-name
缺省情况下,不存在日志输出的Kafka服务器。
(3) 配置连接Kafka服务器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情况下,未配置连接Kafka 服务器的Broker。
(4) 配置Kafka服务器所属的VPN实例。
vpn-instance vpn-instance-name
缺省情况下,Kafka服务器所属的VPN实例为公网。
(5) 退回系统视图。
quit
(6) 开启快速日志输出到Kafka服务器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情况下,快速日志输出到Kafka服务器功能处于关闭状态。
(7) 开启IPS模块输出快速日志功能。
customlog format dpi ips cmcc-kafka
缺省情况下,IPS模块输出快速日志功能处于关闭状态。
当快速日志配置完成后,可以使用该功能生成指定类型的测试日志,检测快速日志服务器是否能正常接收到这些测试报文。
由于日志主机到日志后不会回复发送日志的设备,测试日志的发送结果需要在日志主机上查看。
(1) 进入系统视图。
system-view
(2) 发送指定类型指定数目的测试日志。
customlog host v2 test count number { aft | anti-virus | attack-defense | audit | data-filter | dga | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips | keepalive | loadbalance { global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy } | nat | sandbox | scd | security-policy | security-policy-config | session | sslvpn | traffic-policy | trusted-access iam { authorization | notification } | traffic-log | url-filter | waf } [ slot slot-number [ kernel ]
缺省情况下,未配置指定类型指定数目的测试日志。
在完成上述配置后,在任意视图下执行display命令可以显示配置后快速日志输出的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除快速日志输出的统计信息。
表2-1 快速日志输出显示和维护
|
操作 |
命令 |
|
显示指定日志主机当前运行状态下的内核数据信息 |
display customlog host v2 kernel [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] [ slot slot-number ] |
|
显示快速日志输出的相关统计信息 |
display customlog host v2 [ send-failed ] statistics [ slot slot-number ] |
|
清除快速日志输出的统计信息 |
reset customlog host v2 statistics [ slot slot-number ] |
快速日志输出功能v1中的customlog format、customlog host命令仅列举和解释所有业务模块日志参数。但是各模块的参数配置后是否生效,还取决于所属业务模块的配置是否完整。因此不同产品对命令中各业务模块参数的支持情况,与各业务模块的支持情况保持一致,请以产品是否支持对应业务模块的情况为准。例如:如果某设备不支持NAT功能,即使配置了有关NAT功能快速日志输出的参数,那么设备也不会生成有关NAT功能的快速日志。
(1) 进入系统视图。
system-view
(2) 开启快速日志输出功能。
customlog format { aft | aft-cmcc | aft-telecom | aft-unicom | attack-defense | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips [ sgcc { policy-hit | signature-update } | cmcc-kafka ] | netshare | reputation | sandbox | terminal | traffic-policy | url-filter [ unicom ] | waf | dga ] | keepalive sgcc | lb [ dns-proxy | gslb | inbound | outbound | slb ] | nat { cmcc | telecom [ with-vni ] | unicom } | packet-filter [ sgcc ] | scd | security-policy sgcc | session | trusted-access { csap | iam [ authorization | notification ] } | wlan }
缺省情况下,快速日志输出功能处于关闭状态。
本命令中ip-reputation和waf参数的支持情况与设备的型号有关,具体请参见命令参考。
(3) 配置快速日志输出参数。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { aft | attack-defense | cmcc-sessionlog | cmcc-userlog | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips | netshare | reputation | sandbox | terminal | traffic-policy | url-filter | waf | dga ] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | packet-filter | scd | security-policy | session | telecom-sessionlog | telecom-userlog | trusted-access { csap | iam [ authorization | notification ] } * | unicom-sessionlog | unicom-userlog } *
缺省情况下,未配置快速日志输出参数。
port-number参数的值需要和日志主机侧的配置一致,否则,日志主机接收不到日志信息。
本命令中ip-reputation和waf参数的支持情况与设备的型号有关,具体请参见命令参考。
(4) (可选)配置快速日志输出时使用的源IP地址。
customlog host source interface-type interface-number
缺省情况下,快速日志输出时使用的源IP地址为出接口的主IP地址。
配置本命令后,不管实际使用哪个物理接口发送日志信息,日志信息的源IP地址均为指定接口的主IP地址。当日志主机需要根据日志的源IP对日志进行过滤显示时,请配置该命令。
(5) (可选)配置快速输出日志的时间戳为系统时间。
customlog timestamp localtime
缺省情况下,快速输出日志的时间戳为格林威治时间。
(6) (可选)配置快速日志输出时使用的语言。
customlog language { chinese | english }
缺省情况下,快速日志输出时使用的语言为英文。
目前仅部分业务支持发送中文的快速日志,且各业务日志中仅部分字段支持使用中文。例如,会话日志中仅“应用”和“分类”字段支持中文。各业务日志的具体支持情况请参见命令参考手册。
如果日志接收服务器和设备使用的中文字符集编码不同,日志服务器上可能会出现中文字符乱码的情况。使用本命令可以将快转日志输出模块发送日志信息时使用的字符集编码配置为UTF-8或者GB18030。
(1) 进入系统视图。
system-view
(2) 配置快速日志输出使用UTF-8编码方式输出日志。
customlog character-encoding utf-8
缺省情况下,快速日志输出使用GB18030编码方式输出日志。
设备支持向Kafka日志服务器发送Kafka格式快速日志,当网络中部署了Kafka日志服务器,则可以在设备端配置Kafka服务器,并开启快速日志输出到Kafka服务器功能,设备即可向Kafka日志服务器发送Kafka格式快速日志。
其中Kafka服务器的Broker即Kafka服务器集群的成员,在设备端需要配置接收日志Broker的IP地址和端口,设备会向指定的地址发送Kafka格式快速日志。
只有通过customlog format命令开启了对应模块的快速日志输出功能后,customlog kafka-server export命令才会生效。
(1) 进入系统视图。
system-view
(2) 创建日志输出的Kafka服务器,并进入Kafka服务器视图。
kafka-server server-name
缺省情况下,不存在日志输出的Kafka服务器。
(3) 配置连接Kafka服务器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情况下,未配置连接Kafka 服务器的Broker。
(4) 配置Kafka服务器所属的VPN实例。
vpn-instance vpn-instance-name
缺省情况下,Kafka服务器所属的VPN实例为公网。
(5) 退回系统视图。
quit
(6) 开启快速日志输出到Kafka服务器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情况下,快速日志输出到Kafka服务器功能处于关闭状态。
(7) 开启IPS模块输出快速日志功能。
customlog format dpi ips cmcc-kafka
将Device上会话日志以快速日志方式发送到日志主机Server上。
图3-1 将日志快速输出到日志主机配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 1.1.0.1 255.255.0.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Server的下一跳IP地址为1.1.0.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 1.2.0.0 16 1.1.0.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为loglocalout的安全策略规则,使Device可以向Host发送快速日志信息,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone untrust
[Device-security-policy-ip-1-loglocalout] source-ip-host 1.1.0.1
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.2.0.1
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
[Device-security-policy-ip] quit
(5) 配置快速日志输出功能
# 开启快速日志输出功能,配置日志快速输出到日志主机,开启新建和删除会话时输出日志会话日志信息功能。在连接内网的接口下开启会话日志功能,指定输出此接口入方向上的所有IPv4会话日志,具体配置步骤如下。
[Device] customlog format session
[Device] customlog host 1.2.0.1 port 1000 export session
[Device] session log flow-begin
[Device] session log flow-end
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] session log enable ipv4 inbound
成功在Server主机上接收到设备发送的日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
