华三 F1000-AK145+日志不刷新
- 0关注
- 0收藏,65浏览
1. 先排除前端显示假象:用浏览器无痕模式登录Web,清除浏览器缓存,确认不是前端缓存导致的日志不刷新。
2. 检查本地存储介质状态:
CLI执行命令:
查看logflash分区挂载状态、磁盘使用率,如果未挂载执行
3. 校验日志输出通道配置:
执行
[FW] info-center source default channel 7 state on
[FW] security-log save enable
4. 排查日志过滤规则:执行
5. 版本缺陷修复:如果以上配置都正常,该型号R9325P13及之前正式版本存在非流量类日志落盘异常的已知BUG,升级到官方最新R9325P19及以上稳定版本即可解决。
暂无评论
按你描述的现象,日志不刷新且只有流量日志保存到硬盘,这通常不是单一故障,而是多个问题叠加在一起了。我按可能性由高到低的顺序整理了几个排查步骤,你可以逐个验证,希望能帮到你。
1. 误用“快速日志输出”导致日志“消失”(可能性最高)
这个是排查优先级最高的原因。F1000-AK防火墙有个“快速日志输出”功能(也叫Fast Logging),不过很多人容易忽略:开启快速日志输出后,安全策略日志会绕过本地的常规日志缓冲区(logbuffer)和硬盘存储,直接“飞”到外部日志服务器,因而你在本地Web界面就看不到了。如果你流量日志还能正常显示和存储,那很可能就是之前配置日志服务器时,不小心把安全策略日志切到了快速通道。
另外,如果没配置外部日志主机,这些日志会被直接丢弃。所以,当在Web界面点开“快速日志输出”,看到有配置IP地址但实际又没有这台服务器,同时本地日志又不显示,那问题基本就找到根源了。
建议你通过以下步骤排查和解决:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 检查是否开启 | 查看相关配置是否存在 | display current-configuration | include customlog或 Web 界面“系统” > “日志中心” > “快速日志输出” |
| 临时关闭 | 删除快速日志输出配置,让日志恢复常规记录 | undo customlog format packet-filterundo customlog host ... |
| 验证 | 重启浏览器或刷新页面看日志是否恢复 | Web界面“监控” > “安全策略日志” |
2. Web界面显示的“瓶颈”——logbuffer容量限制
在没有开启快速日志输出功能的前提下,如果Web日志还是不更新,很可能是另一个问题。
H3C V7防火墙logbuffer容量默认只有1024条或10M大小。这在日志量大的时候很容易瞬间被新日志覆盖。同时,Web页面是定时(如每隔5分钟)去读取这个有限的缓冲区,这就会造成你观察到的现象:web页面总是没新日志,但其实日志在后台生成后很快又被顶掉了。
你可以通过以下步骤来验证和优化:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 诊断 | 点击策略的“命中计数”是否增长,或命令行查看原始日志缓冲区 | display logbuffer 命令,观察是否有新日志滚动 |
| 优化 | 调整日志存储空间占比,让出更多空间给业务日志 | Web界面“系统设置”→“日志设置”→“存储空间设置” |
3. 验证安全策略的日志记录开关
这个是更基础的原因,但也容易被忽略。有些策略创建时为了减少性能损耗,会默认关闭日志记录。
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 检查命中计数 | 等待或操作触发后,查看策略命中数是否增长,增长说明策略生效 | Web界面“对象” > “安全策略” |
| 检查日志开关 | 点开每条策略详情,确认“记录日志”开关是否打开 | 每条策略的“详情”或“高级设置” |
| 验证 | 找一台测试机触发策略,看日志是否更新 | display logbuffer 或 Web 界面 |
| 批量检查 | 导出配置文件,用文本编辑器搜索 rule 相关项,看是否配置了 logging enable 或是否有 disable 字样 | display current-configuration | include "rule.*deny" 或类似命令 |
4. 检查硬盘日志存储设置
即使logbuffer中的日志能短暂看到,但需要确认它们是否被配置为写入硬盘。这机制有些特殊:设备自带的硬盘或存储卡有专门设计的存储分区,默认行为就是用来存放流量日志;而安全策略日志默认并不写入硬盘。所以即使logbuffer中有日志,如果没有进行专门配置,在“硬盘”或“存储”页面也只能看到流量日志,没有安全策略日志。
日常运维大多只需要关注最近期的日志、偶尔回溯再设置硬盘存储即可。可以通过以下步骤验证和配置:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 验证流量日志 | 从display session实时查看,确认只有流量日志问题 | Web界面“监控” > “会话信息” |
| 手动保存 | 验证日志能否正常写入硬盘 | logfile save 命令 |
| 配置自动保存(如需要) | 设置让安全策略日志按周期保存到硬盘,注意设置合理周期避免影响性能 | info-center security-logfile directory 指定目录 |
| 优化 | 检查数据清理设置:磁盘过满时会自动清理旧日志 | Web界面“系统配置”→“全局配置”→“数据清理”页面 |
5. 严谨检查Web界面的文件上传功能
防火墙Web界面大多是HTTP服务,功能受限。Web界面显示的“安全策略日志”等页面,读取的是防火墙内存中的logbuffer。如果logbuffer满了,旧日志被覆盖,新日志即便生成了也显示不出来。
可以通过以下步骤排查:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 验证 | 用命令行查看logbuffer,确认是web问题还是日志根本未生成 | display logbuffer 或 display current-configuration 查看关键模块状态 |
| 检查 | 确认快速日志输出/etc配置 | display logbuffer 或 display current-configuration 查看关键模块状态 |
6. 最终解决方案:部署外部日志服务器(根治方案)
如果以上方法都无法解决,或者你需要稳定、长期地保存所有日志用于安全分析和合规审计,那么部署外部日志服务器就是最终的解决方案。H3C官方的最佳实践也是引导将海量安全策略日志发送到外部服务器。
可以将所有防火墙日志发送到一台专门的Syslog服务器,有开源方案(如Graylog、ELK)或有商业方案(如H3C SecCenter)。基本步骤如下:
部署日志服务器,确保和防火墙网络可达。
在防火墙上配置日志主机指向:
info-center loghost <日志服务器IP>这将使防火墙将系统日志等送到日志服务器。info-center enable如希望安全策略日志更精细、发送更快,可配置:
customlog host <日志服务器IP> export packet-filtercustomlog format packet-filter
暂无评论
一、先确认 4 个基础前提(必做)
- 硬盘状态正常
- Web:系统→存储管理→硬盘,确认 hda0(内置硬盘)为 “正常 / 已挂载”,无坏道、未满(流量日志占 1 年,剩余空间≥20%)。
- 命令:
display disk partition看 hda0 状态;dir hda0:/log/查日志目录是否存在。
- 系统时间准确(关键)
- 日志按时间戳写入,时间错乱会导致日志不生成 / 不刷新。
- Web:系统→系统设置→时间,配置 NTP(如
210.72.145.44),确保与当前时间一致,时区为 UTC+8。
- 全局信息中心开启
- 命令:
system-view→info-center enable(默认开启,误关会导致所有日志不记录)。 - 验证:
display info-center显示 “Information center: Enabled”。
- 命令:
- 证书 / 授权有效
- 安全策略日志(IPS/AV/ 应用控制)需威胁防护授权,过期会导致日志不生成。
- Web:系统→授权管理,确认授权在有效期内。
二、Web 界面配置(核心,直接解决 “不刷新、不存硬盘”)
1. 开启本地日志存储(安全 / 配置 / 系统日志)
- 勾选:安全策略日志、配置日志、系统日志的 “本地存储”(默认仅流量日志开启)。
- 存储位置:选择hda0(内置硬盘),不要选内存(重启丢失)。
- 配额分配:给这三类日志各分配20%–30% 硬盘空间(流量日志已占 1 年,剩余空间合理分配)。
- 轮转策略:设置 “按天轮转、保留 30 天”,避免单文件过大卡住。
2. 日志过滤开启(允许生成日志)
- 安全策略日志:勾选 “允许本地记录”,级别设为 “信息(Informational)”(默认可能为 “告警”,导致普通策略日志不记录)。
- 配置日志 / 系统日志:同上,开启本地记录,级别设为 “信息”。
- 流量日志:保持现有配置(已正常存硬盘)。
3. 关闭 “仅日志主机” 模式
- 若配置了远程 Syslog 主机,不要勾选 “仅发送到日志主机”,否则本地硬盘不保存。
- 确认:本地存储优先,远程发送可选。
三、命令行快速补全配置(Web 不生效时用)
# 1. 进入系统视图,开启信息中心
system-view
info-center enable
# 2. 配置安全/配置/系统日志本地存储到硬盘hda0
info-center logfile directory hda0:/log/ # 指定硬盘日志目录
log security-policy local enable # 安全策略日志本地记录
log operate local enable # 配置日志(操作日志)本地记录
log system-state local enable # 系统日志本地记录
# 3. 设置日志级别为信息(确保所有日志生成)
info-center source default channel logfile level informational
# 4. 配置日志轮转(按天,保留30天)
info-center logfile rotate daily
info-center logfile retention 30
# 5. 保存配置
save
四、常见顽固问题解决
- 硬盘满导致不写入
- 现象:流量日志占 1 年,硬盘满,新日志无法写入。
- 解决:删除旧流量日志(Web→系统→存储管理→硬盘→清理),或扩容硬盘;调整流量日志轮转为 “保留 90 天”,释放空间。
- 日志缓冲区卡住(Web 不刷新)
- 现象:命令行
display logbuffer有日志,但 Web 界面不刷新。 - 解决:
reset logbuffer清空内存缓冲区;重启 Web 服务(web-server restart),或重启设备。
- 现象:命令行
- 版本 bug 导致日志模块异常
- 现象:配置全对,仍不记录。
- 解决:升级到最新稳定版本(如 F1000-AK145 的 R8515 及以上),修复日志存储模块 bug。
五、验证步骤(配置后必做)
- 生成测试日志:修改一条安全策略、执行一次配置命令、触发一次系统事件(如接口 up/down)。
- Web 查看:系统→日志管理→安全策略日志 / 配置日志 / 系统日志,确认有新日志生成并实时刷新。
- 硬盘验证:
dir hda0:/log/查看有新日志文件(如logfile_20260509.log)。
六、总结
- 流量日志正常:说明硬盘、存储模块、时间基本正常。
- 安全 / 配置 / 系统日志异常:本地存储未开启、配额未分配、日志级别过高、仅远程发送是主因。
- 按上述步骤配置后,三类日志将实时刷新、保存到硬盘,与流量日志独立存储、互不影响。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论