公告类别 |
强制立即整改 |
整改完成期限 |
2022/9/23 |
操作要求 |
配置更改 |
【产品型号】
F100系列、F1000系列、F5000系列、SecBlade FW 系列中低端防火墙;
T1000系列、T5000系列、SecBlade IPS 系列入侵防御;
L100系列、L1000系列、L5000系列、SecBlade ADE 系列负载均衡。
【涉及版本】
所有Comware V7版本。
【问题描述】
当大量安全模块日志(安全策略日志、流日志、威胁日志等)上送设备信息中心时,可能导致设备运行异常,出现无法登录、转发异常、设备挂死、设备重启等故障。
【原因分析】
当日志量大的情况下,可能导致控制核繁忙,内部进程通信异常,同时转发性能下降。
【解决方案】
1、开启各安全模块记录日志功能时,必须同步配置快速日志(customlog)将对应模块日志发送至日志主机;
2、严禁配置Flow日志输出到信息中心。
快速日志发送某个业务模块的日志需要满足:
(1)开启该业务模块的快速日志输出功能
(2)将该业务模块的日志快速输出到日志主机
customlog format命令用来开启快速日志输出功能,部分模块介绍:
packet-filter:将报文过滤模块的日志快速输出到日志主机。
session:将会话管理模块的日志快速输出到日志主机。
attack-defense:将攻击检测与防范模块的日志快速输出到日志主机。
dpi:将DPI(Deep Packet Inspection,深度报文检测)相关模块的日志快速输出到日志主机。不指定任何参数时,则表示将所有DPI相关模块的日志快速输出到日志主机。
部分模块配置举例:
---------快速日志输出安全策略日志举例---------------
#开启快速日志输出功能
[H3C] customlog format packet-filter
#将报文过滤模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.90 export packet-filter
#接口视图下开启会话日志功能
[H3C-GigabitEthernet1/0/10] session log enable ipv4 inbound
[H3C-GigabitEthernet1/0/10] session log enable ipv4 outbound
#开启新建、删除会话的日志功能
[H3C] session log flow-begin
[H3C] session log flow-end
#开启快速日志输出功能
[H3C] customlog format session
#将会话管理模块的日志快速输出到日志主机
[H3C] customlog host 172.31.0.61 export session
#开启NAT日志功能
[H3C] nat log enable
#开启端口块分配、回收的NAT444日志功能(至少二选一)
[H3C] nat log port-block-assign
[H3C] nat log port-block-withdraw
#开启快速日志输出功能,设置日志格式为中国移动格式
[H3C] customlog format nat cmcc
#配置发送中国移动格式的NAT444日志的日志主机
[H3C] customlog host 172.31.0.61 export cmcc-userlog
(0)
(1) 进入系统视图。
system-view
(2) 配置Flow日志输出到信息中心。
userlog flow syslog
缺省情况下,Flow日志不输出到信息中心。
(0)
严禁配置Flow 日志输出到信息中心。
这公告其中一条就是不让flow日志输送到信息中心
整改方案(完整版:去一加四)
1、删除
userlog flow syslog
2、增加 customlog format packet-filte、 customlog format dpi、 customlog format aft、 customlog format attack-defense
明细介绍:
1、如果存在userlog flow syslog配置,需要删除
2、如果存在安全策略视图下logging enable配置,需要删除 logging enable 或者增加配置customlog format packet-filter
3、如果开启IPS、AV、traffic-policy、uapp-control,即存在profile、traffic-policy、uapp-control配置,需要增加配置customlog format dpi
4、如果存在aft log enable,需要增加配置customlog format aft
5、如果存在attack-defense policy ,需要增加配置 customlog format attack-defense
(3)
这些都没有,但是依旧报这个问题,真的头疼了,这种就算误报了吧?
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
配置上去还是报严重告警,问题没解决啊