F5000-C 老V5版本会话日志输出

功能简介

会话日志是为满足网络管理员安全审计的需要，对用户的访问信息、用户IP地址的转换信息、用户的网络流量信息等进行记录，并可采用日志的格式发送给日志主机或者输出到信息中心。

存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出，该阈值包括以下两种类型：

·            时间阈值：当一个会话存在的时间达到设定的时间阈值时，输出会话日志。

·            流量阈值：分为报文数阈值和字节数阈值两种。当一个会话收发的报文数或字节数达到设定的流量阈值时，输出会话日志。为使流量阈值能触发输出会话日志，必须开启软件快速转发的会话统计功能；否则，会话会由于无法统计报文的流量信息而不能通过流量阈值触发输出会话日志。

同时配置了时间阈值和流量阈值的情况下，只要有一个阈值到达，就会输出相应的会话日志，并将所有的阈值统计信息清零。

同时只能有一种流量阈值有效，以最后一次配置的阈值类型为准，例如，先配置报文数阈值再配置字节数阈值，则当前有效的阈值是字节数阈值，只会输出达到字节数阈值的会话日志。

开启会话日志功能后，若开启了新建会话日志功能和删除会话日志功能，则在会话表创建和删除时分别输出一次会话日志；否则在会话表创建和删除时不会输出会话日志。

2. 配置限制和指导

因为会话日志仅支持通过Flow日志或快速日志输出方式进行输出，缺省使用Flow日志形式，所以开启会话日志功能后，必须配置Flow日志或快速日志输出的相关功能才能输出会话日志信息。有关Flow日志模块的相关配置请参见“网络管理和监控配置指导”中的“Flow日志”。有关快速日志输出模块的相关配置请参见“网络管理和监控配置指导”中的“快速日志输出”。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       （可选）配置输出会话日志的时间阈值。

session log time-active time-value

缺省情况下，不依据时间阈值发送会话日志。

(3)       （可选）配置输出会话日志的流量阈值。

session log { bytes-active bytes-value | packets-active packets-value }

缺省情况下，未配置输出会话日志的流量阈值。

(4)       （可选）开启新建会话日志功能。

session log flow-begin

缺省情况下，新建会话日志功能处于关闭状态。

(5)       （可选）开启删除会话日志功能。

session log flow-end

缺省情况下，删除会话日志功能处于关闭状态。

(6)       进入接口视图。

interface interface-type interface-number

(7)       开启会话日志功能。

session log enable { ipv4 | ipv6 } [ acl acl-number ] { inbound | outbound }

缺省情况下，会话日志功能处于关闭状态。