最佳答案
NAT日志量太大,需要快速日志或流日志指向日志平台
通常情况下,用户访问网络会在短时间内产生大量NAT会话日志。NAT会话日志可以发送给日志主机,也可以发送给信息中心。发送到信息中心后可以通过配置在本地显示。
系统日志传输格式为ASCII码,相比Flow日志的二进制格式传输效率低。所以,建议在日志量较小的情况下,使用输出到信息中心的方式。
无特殊组网。
1. 配置Flow日志输出到信息中心
[H3C]userlog flow syslog
2. 在接口视图下开启日志会话功能
session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }
3. 系统视图下配置会话日志的时间阈值、流量阈值、或者新建和删除日志功能
session log packets-active 10000 //流量阈值
session log time-active 60 //时间阈值
session log flow-begin //记录新建会话日志
session log flow-end //记录删除会话日志
4.配置完成后可以在logbuffer中查看到记录的nat会话日志。
<H3C>display logbuffer reverse
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 317
%Feb 13 16:26:03:725 2017 H3C SESSION/6/SESSION_IPV4_FLOW: Protocol(1001)=ICMP;Application(1002) =ICMP;SrcIPAddr(1003)=172.31.0.1;SrcPort(1004)=37;NatSrcIPAddr(1005)=172.31.0.1;NatSrcPort(1006)=0;DstIPAddr(1007)=172.31.0.88;DstPort(1008)=2048;NatDstIPAddr(1009)=10.10.10.1;NatDstPort(1010)=37;InitPktCount(1044)=1;InitByteCount(1046)=84;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=management;SndVPNInstance(1043)=management;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=02132017082603;EndTime_e(1014)=;Event(1048)=(8)Session created;
session log time-active、session log { bytes-active bytes-value | packets-active
packets-value }、session log flow-begin 和session log flow-end 以上命令至少选其一,否则日志无法显示。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论