路由器推送日志是乱码

从你的配置来看，你同时开启了两种日志发送方式：

1. info-center 系统日志：通过 info-center loghost 发送，你配置了 customlog character-encoding utf-8，这会影响 info-center 发送的日志编码。

2. userlog 流日志：通过 userlog flow export 发送，主要用于 NAT 会话日志等。

乱码的可能原因：

1. 日志接收端编码设置不匹配（最常见）

• 你的设备配置了 UTF-8 编码发送日志，但如果接收日志的服务器（如 syslog 服务器）默认使用其他编码（如 GBK、GB2312 或 ASCII）来解析收到的日志，就会显示为乱码。

• 检查方法：确认日志服务器的字符集设置是否与设备一致（UTF-8）。

2. userlog 流日志本身就是二进制格式

• userlog flow export 发送的是二进制格式的日志（如 NetFlow v5 格式），这种日志不是人类可读的文本，直接用文本方式打开必然会显示乱码。

• 检查方法：确认你抓包看到的乱码是来自 info-center loghost 发送的日志，还是来自 userlog flow export host 发送的流日志。如果是后者，这是正常现象，需要用专门的 NetFlow 采集器解析。

3. 传输过程中的编码转换

• 日志从路由器发送到接收端的过程中，如果经过防火墙、负载均衡器等中间设备，这些设备可能对数据进行了处理，导致编码改变。

4. 配置生效问题

• customlog character-encoding utf-8 配置后，可能需要重启相关进程或设备才能完全生效。

解决方案

第一步：区分日志类型，针对性排查

建议：

• 如果你关注的是 NAT 会话日志，确认接收端是否部署了 NetFlow 采集器（如 H3C IMC、SolarWinds、ntopng 等）。如果没有，收到的必然是乱码。

• 如果你关注的是系统日志（如接口状态、登录日志），则需排查编码问题。

第二步：检查 info-center 日志编码问题

如果确认是 info-center 日志乱码，按以下步骤排查：

1. 检查接收端编码设置 

   • 登录日志服务器，查看其字符集设置（如 Linux syslog-ng/rsyslog 的配置文件，或 Windows Event Collector 的语言区域设置）。

   • 确保接收端使用 UTF-8 编码解析日志。

2. 查看设备完整配置

   display current-configuration | include info-center 确认除你已配置的命令外，没有其他影响编码的参数。

3. 检查设备系统日志

   display logbuffer | include info-center 查看是否有关于日志发送的错误提示。

4. 尝试在接收端抓包确认

   • 在日志服务器上抓包，查看原始数据包的十六进制内容。

   • 如果十六进制内容显示为正常的 ASCII/UTF-8 字符（如 <189> 开头），说明发送正常，问题在接收端解析。

   • 如果十六进制内容本身就是乱码，可能是设备编码未生效。

第三步：userlog 流日志的正确接收

如果你确实需要接收 NAT 会话日志，必须使用支持 NetFlow v5 的采集器：

第四步：临时测试方案

为快速判断问题根源，可以：

1. 临时关闭 userlog 流日志（如果不需要）

   undo userlog flow export
2. 仅保留 info-center 日志发送info-center loghost xx.xx.xx.xx
3. 在日志服务器上用 nc 或 socat 监听 514 端口，保存原始数据
   nc -l -u -p 514 > /tmp/syslog.raw 然后用 hexdump -C /tmp/syslog.raw 查看原始内容，确认是否为可读文本。