F1000-AI-80-G 日志写入本地的限速

F1000-AI-80-G 本地日志写入限速、溢出处理完整说明
一、日志写入限速分两类：安全业务速率上限 + 文件落盘缓冲机制
1. 全局安全日志生成速率硬限速（核心，对应你问的每秒条数）
F1000-AI-G 系列 V7 防火墙安全业务（会话 / IPS/AV/URL/ 攻击审计）统一日志发送速率上限默认 1000 条 / 秒，该阈值是整机硬件硬限制，可在 Web【系统 - 日志设置 - 基本配置】调整，范围 500~5000 条 /s。
含义：每秒所有安全模块合计最多产生 1000 条可写入本地硬盘 / Flash 的日志；
超出规则：速率超过 1000 条 /s 时，超出部分直接丢弃，不会排队缓存落盘；系统会生成「日志速率超限丢弃」告警日志。
2. 日志缓冲区（缓存排队层）
日志先写入内存 Buffer，再按周期批量刷入本地存储（硬盘 / Flash）：
通用日志 Buffer 默认 512/1024 条，安全日志独立 Buffer 可单独扩容；
Buffer 未满：日志排队等待定时写入磁盘（默认 24 小时自动落盘，可缩短为 10s~86400s）；
Buffer 先打满 + 同时速率超 1000 条 /s：双重丢包，新日志直接舍弃。
3. 本地文件落盘容量上限（空间层面限制，非速率限速）
单日志文件：通用 logfile 最大 5MB，安全 / IPS 独立日志文件单文件 10MB，循环分多文件存储；
整机硬盘日志分区总容量：F1000-AI-80-G 标配硬盘默认分配数十 GB 日志库；
空间写满分两种处理动作（Web 可切换）：
动作 1「删除（默认）」：删除最早历史日志腾出空间，持续写入新日志；
动作 2「提示」：停止写入新日志，仅上报告警，不再保存新日志。
二、分场景总结「超限速后是丢弃还是排队写入」
场景 1：瞬时日志速率 > 配置限速（默认 1000 条 /s）
直接丢弃超额日志，不排队
整机安全日志生成有硬件速率闸门，每秒总条数突破阈值的日志报文会被内核直接丢弃，不会进入缓冲区排队等待写入本地硬盘。
场景 2：瞬时速率 ≤1000 条 /s，但内存日志 Buffer 写满
停止接收新日志，旧日志排队等待落盘
日志会在 Buffer 内排队，等待系统定时刷入本地文件；Buffer 满之前不会丢日志，Buffer 彻底占满后新日志才丢弃。
场景 3：速率没超限，但本地硬盘存储空间用尽
由「上限处理动作」决定：
选择删除：自动删除最旧日志，持续写入新日志（循环覆盖）；
选择提示：停止写入任何新日志，不覆盖、不排队。
三、配套优化命令（缓解日志丢包）
调大安全日志速率上限（最高 5000 条 /s）
plaintext
system-view
security-log rate-limit 3000

扩容内存日志缓冲区，增加排队容量
plaintext
# 通用日志缓存
info-center logbuffer size 10240
# 独立安全日志缓存开启
security-logfile buffer enable
# 缩短自动落盘周期（默认86400秒，改为60秒批量写入）
info-center security-logfile frequency 60

查看日志丢弃统计，确认是否速率超限
plaintext
display info-center statistics
display security-log statistics

极简总结
F1000-AI-80-G 默认本地安全日志硬限速1000 条 / 秒，可上调至 5000 条 /s；
瞬时流量超出限速阈值时，超额日志直接丢弃，不会排队写入硬盘；
速率未超限仅 Buffer 写满时，日志会在内存排队等待定时落盘；
硬盘空间写满后，按配置选择「删旧存新」或「停止写入新日志」。