H3C S12508-S 防火墙业务中，安全策略日志记录问题

第一步：确认安全策略是否真正匹配了流量

这是最首要的一步。如果策略本身没有命中，自然不会产生日志。

1. 1.

   ​​查看策略命中计数器​​：

   display security-policy rule all | include [您的策略名|动作]

   或者更精确地查看某条策略：

   display security-policy rule name <您的策略名称>
   • •

     ​​关键点​​：查看规则中的 Match count字段。如果这个数字为0或者长时间不增长，说明几乎没有流量匹配到这条策略。

   • •

     ​​可能的原因​​：

     • •

       流量被​​前面​​的某条策略匹配并处理了（策略是按顺序匹配的）。

     • •

       流量根本没有流经这台防火墙（检查路由）。

     • •

       策略条件（源/目的IP、服务、时间等）配置错误，与实际流量不符。

2. 2.

   ​​测试连通性并触发策略​​：

   • •

     在确信策略配置正确后，可以手动从源IP向目的IP发送一个符合策略条件的测试包（例如 ping 或 telnet），同时观察计数器的变化。如果计数器增加，但依然没有日志，问题就集中在日志记录环节。

第二步：检查Info-Center（信息中心）配置

Info-Center是H3C设备日志系统的中枢，负责将各个模块产生的日志信息分发到不同的输出方向（如控制台、监视终端、Logbuffer、Logfile、日志主机等）。​​即使策略里勾选了“记录日志”，如果InfoCenter没有正确配置输出到logfile，日志也无法被写入文件。​​

1. 1.

   ​​检查当前Info-Center配置​​：

   display info-center
   • •

     ​​重点关注​​：Logfile方向的设置。

     • •

       Information center enabled：信息中心功能必须开启。

     • •

       Logfile: enabled：输出到日志文件的功能必须开启。

2. 2.

   ​​检查日志输出方向和级别​​：

   display info-center source
   • •

     这条命令会列出所有模块日志的输出方向及其对应的日志级别。

   • •

     ​​找到 SECEPOL或 SECPOLICY​​（安全策略模块）相关的行，确认它是否包含输出到 logfile的方向，并且日志级别足够高。

   • •

     ​​安全策略日志通常需要 informational(6) 或更低的级别（数字更大，如debugging-7）才能被记录。​​

3. 3.

   ​​检查和修改配置​​（如果发现配置缺失或不正确）：

   • •

     启用信息中心（通常默认是开启的）：

     info-center enable
   • •

     启用输出到日志文件功能：

     info-center logfile enable
   • •

     设置安全策略模块日志输出到logfile，并设置合适的级别（推荐 informational）：

     info-center source SECPOLICY channel logfile log level informational
     • •

       SECPOLICY是模块名，不同版本Comware可能略有差异，请使用 display info-center source命令确认准确名称。

     • •

       logfile是通道名称。

第三步：检查Logfile本身的配置

即使日志已经正确发送到logfile通道，文件本身的设置也可能导致问题。

1. 1.

   ​​查看日志文件设置​​：

   display logfile summary
   • •

     ​​重点关注​​：

     • •

       Maximum size：单个日志文件的最大大小。如果太小，日志很快会被轮转覆盖。

     • •

       Maximum number：最大保存的日志文件数量。如果数量太少，老日志很快被删除。

     • •

       Storage：存储介质，通常是 flash或 cf。​​必须确保该存储介质有足够的空间​​（使用 dir命令查看）。

2. 2.

   ​​调整日志文件配置​​（可选，如果认为当前设置不合理）：

   # 设置日志文件大小为20MB info-center logfile size 20480 # 设置最多保存50个日志文件 info-center logfile max-file-number 50

第四步：其他可能原因

1. 1.

   ​​性能考虑与日志过滤​​：

   • •

     在高速转发的设备上，记录所有匹配策略的日志会对性能造成巨大压力。因此，H3C设备可能有​​默认的日志抑制机制​​，例如每秒只记录若干条相同策略的日志，防止被日志洪水淹没。

   • •

     检查是否配置了更精细的​​日志过滤​​功能，可能会过滤掉您关心的日志。

2. 2.

   ​​会话日志（Session Log）与策略日志（Policy Log）​​：

   • •

     请注意区分“会话日志”和“策略日志”。您配置的是策略命中时的日志。

   • •

     会话的建立、删除日志是另一个维度的功能，需要在​​安全策略​​或​​域间策略​​中单独配置 session log相关的命令（例如 session log flow-begin）。您的问题不涉及这个，但需知两者区别。

3. 3.

   ​​设备资源紧张​​：

   • •

     在CPU/内存利用率极高的情况下，日志这种相对低优先级的任务可能会被丢弃。使用 display cpu和 display memory检查设备状态。

总结与行动步骤

1. 1.

   ​​首先​​：使用 display security-policy rule name <策略名>确认策略有命中计数（Match count > 0 且在增长）。

2. 2.

   ​​其次​​：使用 display info-center和 display info-center source确认 SECPOLICY模块的日志已经输出到 logfile方向，且级别为 informational。

3. 3.

   ​​然后​​：使用 display logfile summary确认日志文件大小和数量配置合理，且存储空间充足。

4. 4.

   ​​最后​​：如果以上都正确，可以考虑临时将日志级别调整为 debugging进行测试，或者联系H3C技术支持，查询是否存在平台特定的日志抑制特性或已知问题。

按照这个流程逐步排查，大概率能找到问题根源并解决。

检查下登录是FW单板还是交换机单板吧

有的话就没问题