• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

快速日志输出仍有大量会话日志刷缓存

2025-03-18提问
  • 1关注
  • 1收藏,634浏览
不完美克星
不完美克星 二段
粉丝:0人 关注:2人

问题描述:

1、我发现防火墙设备的“dis logbuffer”始终存在大量会话日志,如截图,导致正常的日志无法被正常观察到,比如端口down什么的,这些会话日志实际上意义不大;

2、尝试“去一加四”方法(在下方),虽然dis logbuffer没有了,但是logfile save文件里还有这些会话日志;

3、难道只能删除安全策略里的“logging enable”吗?我想的是最好的结果是把这种会话日志输出给日志主机,但本地不保存,有什么成熟的方法吗?谢谢!

 

 

整改方案(完整版:去一加四)

1、删除 userlog flow syslog

 

2、增加 customlog format packet-filte、 customlog format dpi、 customlog format aft、 customlog format attack-defense

明细介绍:

 

1、如果存在userlog flow syslog配置,需要删除

2、如果存在安全策略视图下logging enable配置,需要删除 logging enable 或者增加配置customlog format packet-filter

3、如果开启IPS、AV、traffic-policy、uapp-control,即存在profile、traffic-policy、uapp-control配置,需要增加配置customlog format dpi

4、如果存在aft log enable,需要增加配置customlog format aft

5、如果存在attack-defense policy ,需要增加配置 customlog format attack-defense

组网及组网描述:

最佳答案

已采纳
zhiliao_v6hOyc
zhiliao_v6hOyc 九段
粉丝:32人 关注:1人

配置快速日志推送日志服务器

配置步骤

1.1  创建连接日志服务器的接口

#在“网络”>“接口” 选项中选择1/0/10接口并点击此接口最后面的”编辑”按钮。

     

#IP地址”填写和服务器同网段的地址10.1.1.254,掩码255.255.255.0,安全域选Trust,也可以自行新建其他安全域并加入。


1.1  创建安全策略

#在策略-安全策略中点击新建,选择新建策略


#“源安全域”选择Local,“目的安全域”选择Trust,在“目的IP地址”中选择“添加 IPV4地址对象组”,地址为日志服务器ip 10.1.1.1/32

 


#完成后如下图所示


1.2  创建日志主机

#在“系统”-“日志设置-“基本配置””-“系统日志界面新建日志主机为10.1.1.1


1.3  保存配置

#在设备右上角选择“保存”选项,点击确定按钮完成配置。


1.4  日志主机设置(举例)

#案例中以3CDemon举例参考,日志主机根据自己实际使用的日志软件或者专业日志主机进行设置。

如下图点击syslog server界面配置日志主机,指定存储日志文件的位置



#注意:创建好后需要点击左侧红色“STOP”禁用,然后变为绿色“GO”后再点击该按钮,让配置生效

测试可以收到日志信息:


暂无评论

2 个回答
按时间 按赞数
zhiliao_sEUyB
zhiliao_sEUyB 九段
粉丝:100人 关注:9人

直接通过快速日志发送到日志主机就可以

暂无评论

无名之辈
无名之辈 九段
粉丝:112人 关注:0人

您好,您提到的防火墙设备“dis logbuffer”存在大量会话日志,导致正常日志被覆盖的问题,主要是由于会话日志过多占据了本地日志缓冲区,而您希望将这些会话日志输出到日志主机,而不在本地保存,以确保本地日志缓冲区能更好地用于记录其他重要日志,例如端口down等关键事件。

解决方案

方法一:配置快速日志输出

您可以通过配置快速日志输出,将会话日志发送到指定的日志主机,而不在本地保存。具体步骤如下:
  1. 进入系统视图
    system-view
  2. 配置快速日志输出到日志主机
    customlog host <日志主机的IP地址> export session
    例如,如果日志主机的IP地址是192.168.1.100,则命令为:
    customlog host 192.168.1.100 export session
    这条命令的作用是将设备的会话日志发送到指定的日志主机,而不会在本地保存这些日志

方法二:调整安全策略中的日志配置

如果您不想删除安全策略里的“logging enable”,可以通过更精细的配置来控制日志的输出:
在安全策略视图下,调整日志配置

firewall policy
policy-id <策略ID>
logging enable customlog format packet-filter

这里的policy-id是您需要调整的具体安全策略的ID。通过这种方式,您可以指定该策略下只记录特定格式的日志,而不会记录所有类型的日志,从而减少本地日志缓冲区的占用

注意事项

日志主机配置:确保日志主机已正确配置并能够接收来自防火墙设备的日志信息。通常,日志主机需要监听特定的端口(如514端口)以接收Syslog日志

日志格式一致性:在配置快速日志输出或调整安全策略时,确保所选的日志格式与日志主机所期望的格式相匹配,以便日志主机能够正确解析和处理接收到的日志信息。

测试与验证:在实际应用中,建议先在测试环境中进行配置和验证,确保新的日志配置能够满足您的需求,且不会对现有的网络环境和业务造成不良影响。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明