问

H3C Secblade III ADE日志配置

info-center

15小时前提问

1关注
0收藏，409浏览

zhiliao_CNvcE

zhiliao_CNvcE 零段

粉丝：0人关注：0人

问题描述：

华三ADE设备日志上传至启明星辰日志审计上，日志审计接收到的原始系统日志中中文出现乱码，以及流日志整个显示乱码，是日志这边配的有什么问题么？

2 个回答

按时间按赞数

有飞不起的鸟

有飞不起的鸟八段

粉丝：17人关注：0人

您好，根据您的描述，ADE设备的日志在启明星辰审计平台上出现中文乱码和流日志整体乱码，这通常是日志发送端（ADE设备）的配置与接收端（审计平台）的预期不匹配导致的。
由于原始接收到的日志就是乱码，可以先将排查重点放在ADE设备的配置上。以下是可能的原因和解决方案：
问题一：系统日志（含中文部分）乱码
根本原因：ADE设备发送系统日志（如操作日志、安全事件日志）时，使用的字符编码与审计平台解析时使用的编码不一致。最常见的是设备端发送了UTF-8编码的中文，而审计平台默认以GBK或ASCII编码进行解码，导致乱码。
解决方案：
在ADE设备的命令行界面，检查并修改系统日志（syslog）的全局配置：
# 进入系统视图
system-view

# 进入日志主机（即审计平台）的配置视图，假设主机名为 `venus-audit`
info-center source default loghost level informational
info-center loghost source GigabitEthernet0/0 # 指定发送日志的源接口
info-center loghost 192.168.1.100 # 假设审计平台IP是192.168.1.100

# **关键配置：设置系统日志的字符编码为 UTF-8（华三设备常用）**
info-center format unicode

# 保存配置
save
关键命令是 info-center format unicode。这条命令将设备生成日志的字符格式设置为Unicode（通常是UTF-8），这是目前最通用、最能避免中文乱码的编码方式。请与启明星辰侧确认，他们是否以UTF-8编码来解析接收到的syslog。
问题二：流日志（NetStream/IPFIX）整体乱码
根本原因：流日志（NetStream）是一种二进制、结构化的数据流，不是纯文本格式的syslog。如果您通过syslog通道去发送流日志，或者审计平台将接收到的流日志数据误当作普通文本syslog来显示，就会看到一堆完全无法识别的“乱码”。
解决方案：
流日志需要有独立的、正确的配置和传输方式。
确认流日志的配置和输出方式：
在ADE设备上，流日志通常配置为 netstream或 ip flow模式，并且输出到指定的采集器（即审计平台）。配置路径示例：
system-view
# 进入接口视图（采集流量的接口）
interface GigabitEthernet1/0/1
# 在接口上开启NetStream统计（出和入方向）
ip netstream inbound
ip netstream outbound
quit

# 配置NetStream的版本（通常v9或IPFIX格式，兼容性更好）
ip netstream export version 9
# 配置流日志输出的目的主机和端口（审计平台的流日志采集器IP和UDP端口，通常不是syslog的514端口）
ip netstream export host 192.168.1.100 9995 # 例如，UDP 9995端口
核心要点：
传输协议：流日志使用独立的UDP通道发送，端口（如9995、4739、2055等）与syslog的UDP 514或TCP 514端口不同。
数据格式：是二进制模板化的数据包（v9或IPFIX格式），不是文本。
在启明星辰审计平台上的操作：
不能在“syslog采集器”中查看流日志。
必须在审计平台上配置 “流量审计” 或 “NetStream/IPFIX采集” 功能模块。
新建一个采集任务，协议类型选择 NetStream v9 或 IPFIX，并填写ADE设备配置的源IP和目的端口（如上述的9995）。
总结与排查步骤
针对系统日志（中文乱码）：
在ADE设备上执行 display info-center查看当前日志主机配置。
重点确认并设置 info-center format unicode。
联系启明星辰技术支持，确认他们的syslog采集器是否设置为 UTF-8 编码解析。
针对流日志（整体乱码）：
在ADE设备上执行 display ip netstream configuration查看流日志的配置，确认输出的IP、端口、版本是否正确。
必须明确：流日志和系统日志是两套完全独立的采集通道。
联系启明星辰技术支持，确认他们是否开启了流日志采集功能，并且配置的IP、端口、协议版本是否与ADE设备发送的配置完全匹配。
一个快速的验证方法：
在启明星辰审计平台侧，如果可以查看原始日志，可以贴出一小段。
如果只是中文字符是乱码（如“用户”显示为“ç”¨æ”§”），那基本是系统日志编码问题。
如果整条日志都是不可读的字符（如大量“^@^A^T^]”或十六进制码），那极大概率是把二进制流日志误送到syslog解析器了。
请按照以上思路进行排查，大部分情况下，正确设置 info-center format unicode和区分开流日志的传输通道，问题就能解决。如果仍有困难，建议同时联系H3C和启明星辰的技术支持，提供双方配置进行核对。