F1000-AK135 无日志信息

要出发ips规则才能生产日志 

一、 检查并开启底层日志与统计命令

1. 信息中心：执行 info-center enable 开启系统信息中心。
2. Web操作日志：执行 webui log enable，确保Web界面的操作及关联日志能够输出到信息中心。
3. 应用全局统计：执行 application global statistics enable，开启全局应用统计功能，以便在Web界面查看流量监控等相关数据。
4. 激活DPI业务模块：IPS属于DPI（深度包检测）业务模块。在创建或修改策略后，必须执行 inspect activate 命令来激活相关策略和规则配置，使其真正生效。

二、 检查Web界面的日志存储空间设置

• 登录Web界面，进入 系统 > 日志设置 > 基本设置 > 日志存储空间。
• 找到对应的流量业务模块（如IPS/威胁防护等），将其状态设置为使能。如果不在此处勾选，后台即使产生了日志，Web前端也不会显示。

三、 检查安全策略的日志记录选项

• 进入 网络安全 > 安全策略 > IPv4安全策略。
• 编辑您期望产生日志的规则，确保该规则下的 “记录日志” 选项已被勾选。只有开启了此选项，命中该规则的报文才会被记录。

四、 核查设备时间与存储阈值

1. 时间同步：确保防火墙的系统时间与当前真实时间一致。若时间不同步，可能导致新产生的日志无法在Web界面上正确排序或显示。
2. 存储阈值：进入 系统 > 日志 > 存储设置，检查日志存储空间的使用率。如果使用率超过80%，设备可能会停止写入新日志以防止系统崩溃。

F1000-AK135（V7 版本）授权正常但 WEB 无 IPS/AV/URL/ 数据过滤日志全量排错
核心诱因：DPI 引擎未激活、安全策略未挂 UTM + 未开日志、各类安全模块日志开关未全局开启、info-center 没把日志输出本地缓冲区、会话统计未开五大类，按顺序排查即可出日志。
一、第一步：校验 License & 特征库（授权导入成功≠特征库生效）
plaintext
display license feature | include IPS|AV|URL-FILTER
display ips signature library #查看IPS特征库版本
display av signature library #查看病毒库
display url-filter signature library#查看URL库
授权状态 Normal、特征库非空→往下排查；
授权异常：重启设备重注册 license，重新导入特征库包升级。
二、第二步：DPI 引擎全局开启 + 配置激活（高频漏配）
IPS/AV/URL 都依赖 DPI 检测引擎，改完 UTM 策略必须激活：
plaintext
system-view
#1.全局开启DPI统计、会话统计（无会话统计WEB报表/日志空白）
application global statistics enable
session statistics enable
webui log enable #WEB界面日志接收开关
#2.开启各安全模块日志生成（默认关闭）
ips log enable
anti-virus log enable
url-filter log enable
data-filter log enable
#3.激活DPI配置（必敲，配置不激活不检测、不生成日志）
inspect activate
display inspect status #查看引擎状态Normal正常；CPU/Memory bypass代表资源不足跳过检测无日志
三、第三步：安全策略关键配置（流量不命中 UTM = 零日志）
域间安全策略必须引用 UTM 模板（IPS/AV/URL/ 数据过滤绑定到策略）
策略规则勾选【记录日志】（log enable，不勾选不产生任何威胁日志）
plaintext
security-policy ip
rule 1 permit source trust destination untrust utm apply default #绑定utm配置
rule 1 logging enable #开启本规则全量会话+威胁日志
查看策略命中：display security-policy statistics，报文计数持续上涨代表流量正常命中策略。
四、第四步：info-center 配置（WEB 日志取自本地 logbuffer，没配置则页面空白，最常见故障点）
只开模块日志不配置日志落地本地，日志只往外发 syslog、WEB 看不到：
plaintext
#开启信息中心
info-center enable
#IPS/AV/URL/数据过滤/应用审计日志输出本地缓冲区（WEB读取源）
info-center source firewall log IPS channel logbuffer level info
info-center source firewall log ANTI-VIRUS channel logbuffer level info
info-center source firewall log URL-FILTER channel logbuffer level info
info-center source firewall log DATA-FILTER channel logbuffer level info
info-center source firewall log APP-AUDIT channel logbuffer level info
验证：
plaintext
display info-center logbuffer | include IPS|ANTI-VIRUS|URL-FILTER
命令行能抓取日志→WEB 筛选问题（时间范围、日志类型选错）；命令行无日志→回到前 3 步查策略 / 引擎。
五、第五步：WEB 页面补充设置


WEB日志设置界面
系统→日志设置→分别进入IPS 日志、AV 日志、URL 过滤日志、数据过滤日志，勾选【开启模块日志】【本地保存日志】；
监控→安全日志，修改查询时间为最近 1 小时、日志级别 INFO（默认只查告警，INFO 级威胁日志被过滤）。
六、第六步：兜底异常排查
设备资源过载：display cpu-usage / display memory，内存 > 90%、CPU 满载→引擎 bypass，跳过 DPI 检测无日志，扩容或精简规则；
测试构造攻击流量：用测试工具触发病毒 / 恶意 URL / 攻击报文，主动生成日志验证；
清空缓冲区重试：reset info-center logbuffer，旧日志占满缓冲区导致新日志无法写入。
最简落地一键配置（直接粘贴运行）
plaintext
system-view
info-center enable
application global statistics enable
session statistics enable
webui log enable
ips log enable
anti-virus log enable
url-filter log enable
data-filter log enable
info-center source firewall log IPS channel logbuffer level info
info-center source firewall log ANTI-VIRUS channel logbuffer level info
info-center source firewall log URL-FILTER channel logbuffer level info
info-center source firewall log DATA-FILTER channel logbuffer level info
inspect activate
save