• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5560交换机,无法推送日志到SPLUNK

2024-01-09提问
  • 0关注
  • 0收藏,675浏览
zhiliao_mdbqvl
zhiliao_mdbqvl 零段
粉丝:0人 关注:0人

问题描述:

dis info-center 

Information Center: Enabled

Console: Enabled

Monitor: Enabled

Log host: Enabled

    10.10.20.245,

    port number: 65503, host facility: local7

Log buffer: Enabled

    Max buffer size 1024, current buffer size 512

    Current messages 184, dropped messages 0, overwritten messages 0

Log file: Enabled

Security log file: Disabled

Information timestamp format:

    Log host: Date

    Other output destination: Date

splunk的日志接收选择监听UDP,地址正确的 防火墙也检查过了,ping-a 源+目  是通的,splunk服务器无法收到相关日志

4 个回答
按时间 按赞数
Miss_Q
Miss_Q 五段
粉丝:4人 关注:1人

没有配置日志外发,按照如下配置

Device上的配置

# 开启信息中心功能。

<Device> system-view

[Device] info-center enable

#配置发送日志信息到IP地址为1.2.0.1/16的日志主机,日志主机记录工具为local5。

[Device] info-center loghost 1.2.0.1 facility local5

# 关闭loghost方向所有模块日志信息的输出开关。

[Device] info-center source default loghost deny

说明

由于系统对各方向允许输出的日志信息的缺省情况不一样,所以配置前必须将所有模块的需求方向(本例为loghost)上日志信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。

 

# 配置输出规则:允许FTP模块、等级高于等于informational的日志信息输出到日志主机。

[Device] info-center source ftp loghost level informational

V15555006163
V15555006163 七段
粉丝:8人 关注:0人

根据您提供的配置信息,您的S5560交换机已经开启了信息中心,并且配置了日志主机的地址、端口和设施。您的splunk服务器也已经设置了监听UDP的方式,且网络连通性正常。但是您的splunk服务器仍然无法收到相关日志,可能有以下几种原因:

1. 您没有配置日志主机的输出规则。您需要执行 info-center source { module-name | default } loghost { deny | level severity } 命令,配置日志主机的输出规则,指定哪些模块和级别的日志信息需要发送到日志主机。
2. 您没有配置日志主机的时间戳格式。您需要执行 info-center timestamp loghost { date | iso [ with-timezone ] | no-year-date | none } 命令,配置日志主机的时间戳格式,使之与splunk服务器的时间戳格式一致。
3. 您没有配置日志主机的封装格式或目的MAC地址。您需要执行 info-center packet-format { ethernet | ipv4-udp } 命令,配置日志主机的封装格式,使之与splunk服务器的封装格式一致。如果您选择了ethernet格式,您还需要执行 info-center destination-mac-address mac-address 命令,配置日志主机的目的MAC地址。
4. 您的splunk服务器没有正确地解析或显示日志信息。您需要检查您的splunk服务器的配置,确保它能够正确地解析或显示日志信息。

info-center format命令用于配置发往日志主机的日志信息的输出格式,可以选择cmcc、unicom或rfc5424等定制格式,或者使用undo info-center format命令恢复缺省的非定制格式。 如果您没有找到info-center format命令,可能有以下几种原因: 1. 您的交换机不支持info-center format命令。该命令只适用于部分型号的交换机,如S7500E-X系列、S5560-EI系列、S5130-HI系列等。您可以通过display version命令查看您的交换机的型号和版本,然后参考相应的命令参考手册,确认是否支持该命令。 2. 您的交换机运行在FIPS模式下。FIPS模式是一种安全模式,用于满足美国联邦信息处理标准(FIPS)的要求,该模式下部分配置相对于非FIPS模式有所变化,其中就包括info-center format命令。在FIPS模式下,该命令不可用,只能使用缺省的非定制格式¹。您可以通过display fips-mode命令查看您的交换机是否运行在FIPS模式下,如果是,您可以通过undo fips-mode enable命令退出FIPS模式,但需要重启交换机才能生效。 3. 您的交换机没有配置日志主机。info-center format命令只对日志主机有效,如果您没有配置日志主机,该命令也不可用。您可以通过info-center loghost ip-address [port port-number] [facility facility]命令配置日志主机的地址、端口和设施。

V15555006163 发表时间:2024-01-09 更多>>

hexin]info-center ? diagnostic-logfile Diagnostic log file configuration enable Enable the information center format Format of syslog message logbuffer Log buffer configuration logfile Log file configuration logging Specify log configuration loghost Log host configuration security-logfile Security log file configuration source Informational source settings synchronous Enable synchronous information output syslog Setting of syslog configuration timestamp Set the time stamp format of the log trace-logfile Trace log file configuration 没有找到 format

zhiliao_mdbqvl 发表时间:2024-01-09

现在是这样的 [hexin]dis info-center Information Center: Enabled Console: Enabled Monitor: Enabled Log host: Enabled 10.10.20.245, port number: 65503, host facility: local7 Log buffer: Enabled Max buffer size 1024, current buffer size 512 Current messages 224, dropped messages 0, overwritten messages 0 Log file: Enabled Security log file: Disabled Information timestamp format: Log host: ISO Other output destination: Date

zhiliao_mdbqvl 发表时间:2024-01-09

info-center format命令用于配置发往日志主机的日志信息的输出格式,可以选择cmcc、unicom或rfc5424等定制格式,或者使用undo info-center format命令恢复缺省的非定制格式。 如果您没有找到info-center format命令,可能有以下几种原因: 1. 您的交换机不支持info-center format命令。该命令只适用于部分型号的交换机,如S7500E-X系列、S5560-EI系列、S5130-HI系列等。您可以通过display version命令查看您的交换机的型号和版本,然后参考相应的命令参考手册,确认是否支持该命令。 2. 您的交换机运行在FIPS模式下。FIPS模式是一种安全模式,用于满足美国联邦信息处理标准(FIPS)的要求,该模式下部分配置相对于非FIPS模式有所变化,其中就包括info-center format命令。在FIPS模式下,该命令不可用,只能使用缺省的非定制格式¹。您可以通过display fips-mode命令查看您的交换机是否运行在FIPS模式下,如果是,您可以通过undo fips-mode enable命令退出FIPS模式,但需要重启交换机才能生效。 3. 您的交换机没有配置日志主机。info-center format命令只对日志主机有效,如果您没有配置日志主机,该命令也不可用。您可以通过info-center loghost ip-address [port port-number] [facility facility]命令配置日志主机的地址、端口和设施。

V15555006163 发表时间:2024-01-09
zhiliao_mdbqvl
zhiliao_mdbqvl 知了小白
粉丝:0人 关注:0人

hexin]info-center ?
diagnostic-logfile Diagnostic log file configuration
enable Enable the information center
format Format of syslog message
logbuffer Log buffer configuration
logfile Log file configuration
logging Specify log configuration
loghost Log host configuration
security-logfile Security log file configuration
source Informational source settings
synchronous Enable synchronous information output
syslog Setting of syslog configuration
timestamp Set the time stamp format of the log
trace-logfile Trace log file configuration


没有找到packet-format

得闲饮奶425
得闲饮奶425 七段
粉丝:13人 关注:8人

您好,请知:

可以配置日志主机将日志送上日志服务器,以下是配置参考命令:

info-center enable

info-center loghost 1.1.1.1

以下是配置案例,请参考:

1.15  信息中心典型配置举例

1.15.1  日志发送到控制台的配置举例

1. 组网需求

将信息等级高于等于warning的日志信息发送到控制台上;

允许输出日志信息的模块为FTP。

2. 组网图

图1-1 日志信息发送到控制台配置组网图

 

3. 配置步骤

# 开启信息中心功能。

<Device> system-view

[Device] info-center enable

# 关闭控制台方向所有模块日志信息的输出开关。

[Device] info-center source default console deny

说明

由于系统对各方向允许输出的日志信息的缺省情况不一样,所以配置前必须将所有模块指定方向(本例为console)上日志信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。

 

# 配置输出规则:允许FTP模块的、等级高于等于warning的日志信息输出。

[Device] info-center source ftp console level warning

[Device] quit

# 允许日志信息输出到当前终端。

<Device> terminal logging level 6

<Device> terminal monitor

The current terminal is enabled to display logs.

以上命令配置成功后,如果指定的模块产生了日志信息,信息中心会自动把这些日志发送到控制台,在控制台的屏幕上显示。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明