问

f1070 快速日志自定义功能输出

会话管理

23小时前提问

0关注
0收藏，55浏览

zhiliao_3lpwtL

zhiliao_3lpwtL 零段

粉丝：0人关注：0人

问题描述：

接之前的话题“f1070 日志服务，保存日志容量巨大2”https://zhiliao.h3c.com/questions/dispcont/316263#653065t

目前f1070 版本

[FW-F1070]dis version
H3C Comware Software, Version 7.1.064, Release 9360P46
按上面的老师的指导
[F1070]customlog format session custom-format session-custom
[F1070-custom-format-session-custom]include source-ip-address
[F1070-custom-format-session-custom] include destination-ip-address
[F1070-custom-format-session-custom]
quit

这个自定义[F1070]customlog format session 后面是不能加参数的?

快速日志因为输出内容比较多故想精简输出内容，只需要源IP地址和目标IP 就可以了。目前日志服务器记录f1070日志容量非常的大。

4 个回答

按时间按赞数

国服第181小鱼人

国服第181小鱼人五段

粉丝：6人关注：0人

customlog format session 后面确实不能直接加参数。这条命令的作用是进入会话日志格式视图，具体的字段筛选是在该视图下通过 include 或 exclude 命令完成的。

根据您的需求（只想精简到只保留源IP和目标IP），在 Release 9360P46 版本上，建议按以下步骤操作：

进入系统视图并创建自定义日志格式
system-view
[F1070] customlog format session custom-format session-custom [F1070-custom-format-session-custom] custom-format session-custom 是您为这个自定义格式起的名字，您可以自定义。
在自定义格式视图中指定包含的字段
您已经执行了 include source-ip-address 和 include destination-ip-address，这是正确的。您不需要添加其他字段，这样就完成了精简。
退出视图并应用配置
[F1070-custom-format-session-custom] quit
最关键的一步： 您需要指定快速日志输出时使用您刚才定义的自定义格式，而不是默认格式。
[F1070] customlog format session session-custom 这条命令告诉系统，快速日志中的会话日志，都采用名为 session-custom 的自定义格式来生成。
（可选）验证配置
您可以查看一下当前生效的快速日志格式配置：
[F1070] display customlog format
重要提示

命令顺序：您之前可能漏掉了最关键的一步——在退出自定义视图后，需要用 customlog format session session-custom 来激活这个自定义格式。否则，即使您定义了精简字段，系统可能仍然在使用默认的完整格式输出日志。
日志类型：以上配置针对的是会话日志。如果您的日志服务器接收的是其他类型的快速日志（如NAT日志），需要确认是否也需要进行类似的自定义配置。
容量对比：配置生效后，您日志服务器上的单条日志大小会明显减小。如果容量依然巨大，可能需要考虑结合日志聚合功能（如 session log aggregation）来减少每秒发送的日志条数。

完成上述步骤后，您的F1070发送的会话日志就应该只包含源IP和目标IP了。

[F1070] customlog format session custom-format session-custom [F1070-custom-format-session-custom] 进不去视图的，只能这们 customlog format session，

zhiliao_3lpwtL 发表时间：23小时前 更多>>

[F1070] customlog format session custom-format session-custom [F1070-custom-format-session-custom] 进不去视图的，只能这们 customlog format session，

zhiliao_3lpwtL 发表时间：23小时前

zhiliao_Gixe

zhiliao_Gixe 二段

粉丝：0人关注：9人

要在F1070防火墙上配置快速日志自定义功能输出会话管理相关的日志，可以按照以下步骤进行：

一、定义自定义日志格式
1. 进入系统视图
- 命令：`system - view`
2. 创建自定义日志格式
- 例如创建一个名为“session - custom”的自定义日志格式，包含会话相关的关键信息，如源IP、目的IP、协议等。
- 命令：`customlog format session - custom '%src - ip% %dst - ip% %protocol% %src - port% %dst - port%'`

二、关联自定义日志格式到会话管理相关的日志类型
1. 找到会话管理的日志输出配置点（可能在安全策略或者会话管理相关的模块下，具体取决于设备的功能划分）。
2. 将自定义的日志格式应用到会话管理日志的输出上。假设在安全策略中配置日志输出：
- 进入安全策略视图（如果有单独的安全策略视图），例如：`security - policy`
- 在具体的安全策略规则下，设置日志输出并指定自定义格式。
- 命令类似：`log output session - custom`

配置完成后，可以使用`display logbuffer`命令查看日志输出是否符合自定义格式的要求。如果不符合，需要检查自定义格式中的字段是否正确，以及关联是否准确。

注意：在进行任何配置之前，请提前备份设备的当前配置，以防止配置错误导致设备故障。

zhiliao_v6hOyc

zhiliao_v6hOyc 九段

粉丝：43人关注：1人

`customlog format session` 命令**后面不能直接加参数**来过滤日志字段（如仅保留源/目的 IP）。

根据您提供的信息及常规设备逻辑：
1. **命令功能**：该命令仅用于**开启**会话管理模块的快速日志输出功能，其作用是决定“是否输出”以及“输出格式为快速日志”，而非控制“输出哪些具体字段”。
2. **字段控制**：快速日志的字段内容（如是否包含源 IP、目的 IP 等）通常由**系统默认的日志模板**决定，无法通过此命令直接裁剪。
3. **解决方案建议**：
* **服务器端过滤**：最通用的方法是在日志服务器（如 Syslog Server 或日志审计系统）上配置过滤规则，只解析并存储包含源 IP 和目的 IP 的字段，丢弃其他冗余信息，从而节省存储容量。
* **检查日志模板**：部分设备支持自定义日志模板（`log-template` 或类似命令），您可以尝试在系统视图下创建自定义模板，仅包含 `source-ip` 和 `dest-ip` 等字段，并将其应用到日志输出中（具体命令需参考该设备型号的完整手册，因您提供的信息中未包含此配置项）。

**结论**：无法直接在 `customlog format session` 后加参数精简内容，建议优先在**日志服务器端**进行字段过滤或检查设备是否支持**自定义日志模板**功能。