问题描述
|
公告类别 |
强制立即整改 |
|
整改完成期限 |
2022/9/23 |
|
操作要求 |
配置更改 |
【产品型号】
F100系列、F1000系列、F5000系列、SecBlade FW 系列中低端防火墙;
T1000系列、T5000系列、SecBlade IPS 系列入侵防御;
L100系列、L1000系列、L5000系列、SecBlade ADE 系列负载均衡。
【涉及版本】
所有Comware V7版本。
【问题描述】
当大量安全模块日志(安全策略日志、流日志、威胁日志等)上送设备信息中心时,可能导致设备运行异常,出现无法登录、转发异常、设备挂死、设备重启等故障。
原因分析
【原因分析】
当日志量大的情况下,可能导致控制核繁忙,内部进程通信异常,同时转发性能下降。
规避措施/解决方案
【解决方案】
1、开启各安全模块记录日志功能时,必须同步配置快速日志(customlog)将对应模块日志发送至日志主机;
2、严禁配置Flow日志输出到信息中心。
快速日志发送某个业务模块的日志需要满足:
(1)开启该业务模块的快速日志输出功能
(2)将该业务模块的日志快速输出到日志主机
customlog format命令用来开启快速日志输出功能,部分模块介绍:
packet-filter:将报文过滤模块的日志快速输出到日志主机。
session:将会话管理模块的日志快速输出到日志主机。
attack-defense:将攻击检测与防范模块的日志快速输出到日志主机。
dpi:将DPI(Deep Packet Inspection,深度报文检测)相关模块的日志快速输出到日志主机。不指定任何参数时,则表示将所有DPI相关模块的日志快速输出到日志主机。
部分模块配置举例:
---------快速日志输出安全策略日志举例---------------
#开启快速日志输出功能
[H3C] customlog format packet-filter
#将报文过滤模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.90 export packet-filter
#接口视图下开启会话日志功能
[H3C-GigabitEthernet1/0/10] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/10] session log enable ipv4 outbound
#开启新建、删除会话的日志功能
[H3C] session log flow-begin
[H3C] session log flow-end
#开启快速日志输出功能
[H3C] customlog format session
#将会话管理模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.61 export session
#开启NAT日志功能
[H3C] nat log enable
#开启端口块分配、回收的NAT444日志功能(至少二选一)
[H3C] nat log port-block-assign
[H3C] nat log port-block-withdraw
#开启快速日志输出功能,设置日志格式为中国移动格式
[H3C] customlog format nat cmcc
#配置发送中国移动格式的NAT444日志的日志主机
[H3C] customlog host 172.31.0.61 export cmcc-userlog
- 2022-06-24回答
- 评论(0)
- 举报
-
(0)
编辑评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作