日志审计如何收集NAT转换日志

1、路由器配置nat日志指向日志审计

2、日志审计设备上添加日志源设备就可以

2.13  配置NAT日志功能

2.13.1  配置NAT会话日志功能

1. 功能简介

NAT会话日志是为了满足网络管理员安全审计的需要，对NAT会话（报文经过设备时，源或目的信息被NAT进行过转换的连接）信息进行的记录，包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。

有三种情况可以触发设备生成NAT会话日志：

·     新建NAT会话。

·     删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时，都可能导致NAT会话被删除。

·     存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时，当前存在的NAT会话信息就被记录并生成日志。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启NAT日志功能。

nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]

缺省情况下，NAT日志功能处于关闭状态。

(3)     开启NAT相关日志功能。请至少选择其中一项进行配置。

¡     开启NAT新建会话的日志功能。

nat log flow-begin

¡     开启NAT删除会话的日志功能。

nat log flow-end

¡     开启NAT活跃流的日志功能，并设置生成活跃流日志的时间间隔。

nat log flow-active time-value

缺省情况下，创建、删除NAT会话或存在NAT活跃流时，均不生成NAT日志。