CSAP-SA-AK640日志审计,能否接收NAT Flow日志,应该如何配置呢?
日志审计和路由器之间直连
(0)
最佳答案
可以
1、路由器配置nat日志指向日志审计
2、日志审计设备上添加日志源设备就可以
NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有三种情况可以触发设备生成NAT会话日志:
· 新建NAT会话。
· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。
· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT相关日志功能。请至少选择其中一项进行配置。
¡ 开启NAT新建会话的日志功能。
nat log flow-begin
¡ 开启NAT删除会话的日志功能。
nat log flow-end
¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。
nat log flow-active time-value
缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。
(0)
您好,路由器是MSR3620,日志审计是AK640。路由器可以通过userlog发送Flow日志,但是日志审计上显示的都是乱码,日志编码试了UTF-8、GBK、GB2312,现实的都是乱码,这样应该如何解决。
1. 检查Flow日志版本兼容性: 在路由器执行_display userlog export_,确认当前Flow日志版本(示例中为Version:3.0)。需确认AK640是否支持H3C V3格式的Flow日志解析,部分旧系统仅支持V2格式。 2. 调整日志格式配置: 尝试在系统视图下配置: userlog flow export version 2 切换至V2版本格式后观察乱码问题是否解决 3. 检查传输协议一致性: 确认审计设备是否支持UDP报文封装格式(示例显示_Export flow log as UDP Packet_)。部分审计系统需要TCP传输或特殊封装格式 4. 检查特殊字符处理: 在日志主机配置视图下尝试: userlog flow export standard-ascii 启用ASCII标准化功能过滤非标准字符 若上述步骤无效,建议在路由器开启Hex格式抓包,对比原始Flow日志报文与审计设备接收内容的一致性,同时联系H3C技术支持确认是否存在设备级编码处理机制。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
1. 检查Flow日志版本兼容性: 在路由器执行_display userlog export_,确认当前Flow日志版本(示例中为Version:3.0)。需确认AK640是否支持H3C V3格式的Flow日志解析,部分旧系统仅支持V2格式。 2. 调整日志格式配置: 尝试在系统视图下配置: userlog flow export version 2 切换至V2版本格式后观察乱码问题是否解决 3. 检查传输协议一致性: 确认审计设备是否支持UDP报文封装格式(示例显示_Export flow log as UDP Packet_)。部分审计系统需要TCP传输或特殊封装格式 4. 检查特殊字符处理: 在日志主机配置视图下尝试: userlog flow export standard-ascii 启用ASCII标准化功能过滤非标准字符 若上述步骤无效,建议在路由器开启Hex格式抓包,对比原始Flow日志报文与审计设备接收内容的一致性,同时联系H3C技术支持确认是否存在设备级编码处理机制。