portal 闲置时间 命令

只能查看在线用户，其他的只能通过 dis  logbuffer 去查看了

在防火墙做本地Portal认证且配置了用户闲置时间（idle-cut）踢下线的情况下，可以通过以下命令查看被强制下线的用户信息及下线原因：

1. **查看用户在线信息及下线记录**：
```shell
display portal user [verbose]
```
可查看当前或最近的Portal用户状态，部分型号支持显示用户下线原因（如idle timeout）。

2. **查看用户下线日志**：
启用日志功能后，通过以下命令查看安全日志或用户管理日志：
```shell
display logbuffer
```
查找包含“Portal user logout”或“idle timeout”等关键字的日志条目，确认用户因“idle timeout”被踢下线。

3. **开启调试信息（必要时）**：
```shell
debugging portal server event
terminal monitor
terminal debugging
```
可捕获用户会话超时、心跳探测失败等事件，帮助定位是否因无流量触发idle-cut。

4. **确认idle-cut配置生效**：
```shell
display portal server configuration
```
确认已正确配置：
- Idle-cut time（如600分钟）
- Idle-cut流量阈值（缺省10240 bytes）

> ⚠️ 注意：若用户实际流量超过配置的流量阈值（即使长时间无新流量），设备可能不会触发下线。只有在**连续闲置时间超过配置值且期间流量低于阈值**时，才会强制下线。

**常见下线原因判断**：
- 日志中提示 `idle timeout`：表示因无流量超时被踢。
- 提示 `admin logout` 或 `user disconnected`：可能为服务器主动下发下线报文或探测失败。
- 结合时间与流量行为分析：如用户离线后仍显示在线数小时，可能是探测机制未生效或流量统计异常。

建议同时开启日志记录到日志主机，便于事后审计与分析。

通过日志查看

您好，有的，这个

  1. 查被踢用户+下线原因（核心）：display security log authentication 

2. 精准查闲置超时日志：display logbuffer | include idle 

3. 查所有下线日志：display logbuffer | include logout 

4. 查本地用户配置（含超时）：display local-user all 

5. 查当前在线用户：display local-user online