f1070 日志服务,保存日志容量巨大
- 0关注
- 0收藏,46浏览
问题描述:
在日志设置、快速日志勾选会话日志,容量巨大呀。1个小时差不多20G。保存内容是 (xx.xxx.xx.xx是我改过后的)
Mar 11 12:26:28 2026 FW-F1070 %%10 VsysId:1 session/6/SESSION_IPV4_FLOW: Protocol(1001)=TCP;Application(1002)=dns;Category(1174)=Protocol;SrcIPAddr(1003)=10.xx.xx.xx;SrcPort(1004)=19535;NatSrcIPAddr(1005)=xx.21.xx.xx;NatSrcPort(1006)=63828;DstIPAddr(1007)=210.2.4.8;DstPort(1008)=53;NatDstIPAddr(1009)=210.2.4.8;NatDstPort(1010)=53;InitPktCount(1044)=0;InitByteCount(1046)=0;RplyPktCount(1045)=1;RplyByteCount(1047)=40;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=03112026122626;EndTime_e(1014)=03112026122628;Event(1048)=(1)Normal over;
Mar 11 12:26:28 2026 FW-F1070 %%10 VsysId:1 session/6/SESSION_IPV4_FLOW: Protocol(1001)=UDP;Application(1002)=dns;Category(1174)=Protocol;SrcIPAddr(1003)=xx.xx.xxx.77;SrcPort(1004)=4225;NatSrcIPAddr(1005)=xx.xx.xx.xx;NatSrcPort(1006)=59433;DstIPAddr(1007)=202.96.128.86;DstPort(1008)=53;NatDstIPAddr(1009)=202.96.128.86;NatDstPort(1010)=53;InitPktCount(1044)=1;InitByteCount(1046)=71;RplyPktCount(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;RcvDSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=03112026122628;EndTime_e(1014)=;Event(1048)=(8)Session created;
正常现象
第一条:
Event=(1)Normal over(会话正常结束)第二条:
Event=(8)Session created(会话新建)
这意味着你开启了详细的会话日志,记录了每一个TCP/UDP会话的创建和结束。对于一个承载大量业务的防火墙,每秒可能有成千上万个会话,日志量自然巨大。
解决方案
1.调整日志级别:只记录关键事件
不需要记录每一个会话的创建和结束,通常只需要记录会话的删除原因(如超时、拒绝等)或特定高危流量的日志。
2.按需过滤:只记录特定流量
如果你只关心某些特定流量的会话(如访问关键服务器、来自特定源的流量),可以在策略中细化匹配条件,并只对匹配的流量开启日志。
暂无评论
在开启快速日志输出功能后,若勾选会话日志且日志容量较大(如每小时约20G),说明当前会话日志记录较为频繁,可能与用户会话数、NAT日志触发量或日志导出配置有关。保存内容通常包括源IP、目的IP、协议类型、端口转换、时间戳等关键信息,示例格式如下:
```
Session Log: [Orig: xx.xxx.xx.xx:1234 -> 8.8.8.8:80] [Xlate: 223.87.11.14:50001] [User: IMSI/MSISDN] [Time: 2025-04-05 10:00:00]
```
此类日志用于CGN场景下的用户行为追溯与审计,建议根据实际运维需求合理配置日志级别和输出频率,并确保日志接收端具备足够的存储与处理能力。若容量持续过高,可考虑按需开启关键用户或事件日志,或联系技术支持优化日志策略。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论