ACG控制策略日志

无硬盘设备不产生策略控制日志

ACG1000系列中不带硬盘的型号（如ACG1010/1020）本地无法存储审计类日志（包括应用程序控制日志）。

会，无硬盘，直接写入flash，但是受限于空间，数据量有限

ACG配置了应用控制策略后，即使无硬盘，只要策略生效且流量匹配，仍会生成应用控制日志。日志默认存储于内存中，可通过系统日志缓冲区或远程日志服务器（如配置）查看。若数据中心未找到日志，建议检查策略匹配条件（如源/目的IP、URL过滤等）是否完整，并确认浏览器内核升级导致的流量识别问题（如Client Hello分片影响应用识别）。确保策略条件精确并结合URL过滤可提升日志生成与检索成功率。

一、无硬盘时 ACG 的日志存储机制

1. 本地存储：依赖内置硬盘或闪存（如 CF 卡、SSD），用于长期保存日志（如策略命中记录、流量统计等）。
   • 若设备无硬盘且无其他本地存储介质（如低端型号仅依赖硬盘），本地无法保存日志，策略生效时生成的日志会因无存储介质而丢失。
   • 部分中高端 ACG（如华三 ACG1000 系列）即使无硬盘，可能内置少量闪存（如用于保存配置的 Flash），但容量极小，仅能临时缓存极少量日志（通常仅保留最新几条，且设备重启后丢失）。
2. 远程存储：通过配置syslog服务器或日志中心，将日志实时发送到远程设备（如服务器、日志审计平台）。
   • 这种情况下，无论是否有本地硬盘，只要配置了远程日志输出，策略生效时的控制日志会正常发送到远程服务器，不会因本地无存储而丢失。

二、“数据中心找不到日志” 的可能原因

1. 未配置远程日志，且无本地存储
   • 若 ACG 既无硬盘，又未配置syslog服务器，则策略日志仅可能在设备内存中临时存在（容量有限，几秒到几分钟内被覆盖），无法在数据中心（本地或远程）找到。
2. 远程日志配置未生效
   • 若已配置远程日志，但未正确指定服务器 IP、端口（默认 UDP 514），或网络连通性异常（如 ACG 与日志服务器之间有防火墙阻断），会导致日志发送失败，远程服务器无记录。
3. 日志级别或类型未启用
   • ACG 的控制日志需要在配置中明确启用（如 “记录策略命中日志”“记录应用识别日志”），若仅配置了控制策略而未开启日志记录开关，即使有存储介质也不会生成日志。

三、解决方案：配置远程日志接收

1. 启用日志记录功能

2. 配置远程 Syslog 服务器

3. 验证日志发送状态

4. 在远程服务器上查看日志

• 在 Syslog 服务器（如 Linux 的 rsyslog、Windows 的 Kiwi Syslog）上，过滤 ACG 的 IP 地址，即可看到策略生效时的应用控制日志（如 “应用 XXX 被策略 XXX 阻断 / 允许”）。

四、总结

• 无硬盘时，ACG 默认不会本地保存日志（或仅临时缓存少量日志，易丢失），因此数据中心本地找不到日志是正常的。
• 必须配置远程 Syslog 服务器，才能稳定获取控制策略的应用程序日志。
• 若已配置远程日志仍无法找到，需检查服务器连通性、日志类型是否启用、级别是否正确。