日志规则解析
- 0关注
- 0收藏,112浏览
问题描述:
当前有SecPathL1090、SecPathF1000-AI-90、SecPathT1000-AI-60、Acg1000-EE
四组设备,需要统一接入日志审计并综合分析,需要满足以上设备&版本的日志审计规则
是否存在以上规则的连接,对应规则是什么格式的,是否支持直接导入同步,谢谢!
- 2025-04-01提问
- 举报
-
(0)
需要对接日志审计设备,不需要其他配置:
2.1 附录A Flow日志字段含义
本章节介绍的字段是设备向日志主机方向发送的原始信息所包含的字段,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
2.1.1 日志头字段含义
日志头中各字段、长度及含义如表2-1所示。
表2-1 日志头包含的字段
字段 | 长度(Bytes) | 描述 |
Version | 1 | 日志报文版本号: · 1:版本1.0 · 3:版本3.0 · 5:版本5.0 · 7:版本7.0 |
LogType | 1 | 日志报文类型: · 4:NAT FLOW日志 · 5:NAT66 FLOW日志 · 7:AFT IPv6到IPv4日志 · 8:AFT IPv4到IPv6日志 · 11:LB IPv6到IPv4的NAT转换日志 · 12:LB IPv4到IPv6的NAT转换日志 · 13:LB IPv4到IPv4的NAT转换日志 · 14:LB IPv6到IPv6的NAT转换日志 · 15:智能选路日志 |
Count | 2 | 当前报文中的流记录数(1-100) |
Second | 4 | 从1970年1月1日0时起,到报文产生时间的整秒数 |
FlowSequence | 4 | 日志报文序列号,相当于日志报文记数,不区分日志类型和版本号 |
Chassis | 2 | 发送日志报文的框位号 |
Slot | 1 | 发送日志报文的槽位号 |
Cpu | 1 | 发送日志报文的CPU号 |
2.1.2 NAT Flow日志字段
NAT Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-2、表2-3、表2-4和表2-5。
表2-2 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
SrcIP | 4 | NAT转换前的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
Reserved | 2 | 保留 |
表2-3 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 1 | 入VPN ID |
OutVPNID | 1 | 出VPN ID |
vSystemID | 2 | vSystem ID |
AppID | 4 | 应用协议ID |
OutIndex | 4 | 出接口索引 |
表2-4 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
AppID | 4 | 应用协议ID |
UserName | 56 | 用户名 |
vSystemID | 2 | vSystem ID |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-5 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
AppID | 4 | 应用协议ID |
UserName | 56 | 用户名 |
vSystemID | 2 | vSystem ID |
Reserved1 | 2 | 保留字段 |
aucDeviceSN | 128 | 设备序列号 |
2.1.3 NAT66 Flow日志字段
NAT66 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-6、表2-7、表2-8和表2-9。
表2-6 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
SrcIP | 16 | NAT转换前的源IPv6地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
Reserved | 2 | 保留 |
表2-7 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
AppID | 4 | 应用协议ID |
表2-8 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
AppID | 4 | 应用协议ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-9 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
AppID | 4 | 应用协议ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
2.1.4 AFT IPv6到IPv4日志字段
AFT IPv6到IPv4 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-10、表2-11、表2-12和表2-13。
表2-10 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
SrcNatIP | 4 | NAT转换后的源IPv4地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
DestNatIP | 4 | NAT转换后的目的IPv4地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
Reserved | 4 | 保留字段 |
表2-11 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
SrcNatIP | 4 | NAT转换后的源IPv4地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
DestNatIP | 4 | NAT转换后的目的IPv4地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
Reserved | 4 | 保留字段 |
表2-12 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
SrcNatIP | 4 | NAT转换后的源IPv4地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
DestNatIP | 4 | NAT转换后的目的IPv4地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-13 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
Traffic class | 1 | IPv6报文的通信量类字段 |
SourceIP | 16 | NAT转换前的源IPv6地址 |
SrcNatIP | 4 | NAT转换后的源IPv4地址 |
DestIP | 16 | NAT转换前的目的IPv6地址 |
DestNatIP | 4 | NAT转换后的目的IPv4地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
2.1.5 AFT IPv4到IPv6日志字段
AFT IPv4到IPv6 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-14、表2-15、表2-16和表2-17。
表2-14 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IPv4地址 |
SrcNatIP | 16 | NAT转换后的源IPv6地址 |
DestIP | 4 | NAT转换前的目的IPv4地址 |
DestNatIP | 16 | NAT转换后的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
Reserved | 4 | 保留字段 |
表2-15 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IPv4地址 |
SrcNatIP | 16 | NAT转换后的源IPv6地址 |
DestIP | 4 | NAT转换前的目的IPv4地址 |
DestNatIP | 16 | NAT转换后的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
Reserved | 4 | 保留字段 |
表2-16 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IPv4地址 |
SrcNatIP | 16 | NAT转换后的源IPv6地址 |
DestIP | 4 | NAT转换前的目的IPv4地址 |
DestNatIP | 16 | NAT转换后的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-17 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
Protocol | 1 | IP承载的协议类型 |
Operator | 1 | 操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
IPVersion | 1 | IP报文版本 |
TosIPv4 | 1 | IPv4报文的Tos字段 |
SourceIP | 4 | NAT转换前的源IPv4地址 |
SrcNatIP | 16 | NAT转换后的源IPv6地址 |
DestIP | 4 | NAT转换前的目的IPv4地址 |
DestNatIP | 16 | NAT转换后的目的IPv6地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
StartTime | 4 | 流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
EndTime | 4 | 流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
InTotalPkg | 4 | 接收的报文包数 |
InTotalByte | 4 | 接收的报文字节数 |
OutTotalPkg | 4 | 发出的报文包数 |
OutTotalByte | 4 | 发出的报文字节数 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | 会话所在Context ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
2.1.6 LB NAT64 Flow日志字段
LB NAT64 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-18、表2-19、表2-20和表2-21。
表2-18 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-19 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-20 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-21 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
2.1.7 LB NAT46 Flow日志字段
LB NAT46 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0、和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-22、表2-23、表2-24和表2-25。
表2-22 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-23 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-24 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-25 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
2.1.8 LB NAT44 Flow日志字段
LB NAT44 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-26、表2-27、表2-28和表2-29。
表2-26 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-27 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-28 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-29 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 4 | NAT转换前的源IP地址 |
SrcNatIP | 4 | NAT转换后的源IP地址 |
DestIP | 4 | NAT转换前的目的IP地址 |
DestNatIP | 4 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
aucDeviceSN | 128 | 设备序列号 |
2.1.9 LB NAT66 Flow日志字段
LB NAT66 Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0、Flow5.0和Flow7.0四个版本。四种Flow日志的内容稍有不同,具体差别请参见表2-30、表2-31、表2-32和表2-33。
表2-30 Flow1.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-31 Flow3.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
Reserved2 | 4 | 保留字段 |
表2-32 Flow5.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
Reserved1 | 4 | 保留字段 |
Reserved2 | 4 | 保留字段 |
Reserved3 | 4 | 保留字段 |
表2-33 Flow7.0日志信息包含的字段
字段 | 长度(Bytes) | 描述 |
LBVersion | 1 | LB日志版本号 |
Protocol | 1 | IP承载的协议类型 |
IPVersion | 1 | IP报文版本 |
Reserved1 | 1 | 保留字段 |
SrcIP | 16 | NAT转换前的源IP地址 |
SrcNatIP | 16 | NAT转换后的源IP地址 |
DestIP | 16 | NAT转换前的目的IP地址 |
DestNatIP | 16 | NAT转换后的目的IP地址 |
SrcPort | 2 | NAT转换前的TCP/UDP源端口号 |
SrcNatPort | 2 | NAT转换后的TCP/UDP源端口号 |
DestPort | 2 | NAT转换前的TCP/UDP目的端口号 |
DestNatPort | 2 | NAT转换后的TCP/UDP目的端口号 |
InVPNID | 2 | 入VPN ID |
OutVPNID | 2 | 出VPN ID |
ContextID | 4 | Context ID |
UserName | 56 | 用户名 |
aucDeviceSN | 128 | 设备序列号 |
· 配置一台日志服务器接收日志,IP地址是192.168.1.73,端口是9988。
· 配置本地不记录操作日志,并且将告警级别以上的操作日志发送到日志服务器。
2. 组网图
图1-50 配置日志组网图
3. 配置步骤
(1) 配置日志服务器,点击“系统管理 > 系统设定 > 日志设定 > 日志服务器”,进入日志服务器的配置页面,日志服务器的IP为192.168.1.73,端口为9988,并勾选启用,如图1-51所示。点击<提交>按钮,完成日志服务器的配置。
点击“系统管理 > 系统设定 > 日志设定 > 日志过滤”,进入日志过滤的配置页面,将操作日志后面的本地日志改为不记录,Server日志改为发送,告警,如图1-52所示。点击<提交>按钮,完成日志过滤的配置
4. 验证配置
执行告警级别以上的操作,不能从本地查询到操作日志,可以从日志服务器上查询到操作日志。
- 2025-04-01回答
- 评论(8)
- 举报
-
(0)
目前已经对接、正常上传日志。不过当前日志审计无法很好识别日志的字段,只能完全按照原始日志的形式保留,对后续日志分析上存在影响。最好能获取相应款型输出的日志的解析规则,能通过导入以上规则满足相应的解读能力
有链接嘛,设备款型很多。没有采用流日志,配置了系统日志和快速日志
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Command/Message/H3C_SecPath_ACG1000_Mess_R6614-21380/?CHID=1064491
在平台“配置 > 数据来源 > 日志源管理 > 新增”页面下拉框中相关设备均支持解析,可能存在设备版本日志格式变更导致适配不兼容场景,可等待后续解析规则更新。
- 2025-04-02回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Command/Message/H3C_SecPath_ACG1000_Mess_R6614-21380/?CHID=1064491