问

防火墙告警整改问题咨询

15小时前提问

0关注
0收藏，46浏览

zhiliao_kTQjO

zhiliao_kTQjO 四段

粉丝：1人关注：1人

问题描述：

【2022】036 号【客户级别】--关于安全部分产品大量日志上送信息中心可能导致设备运行异常问题的技术公告

检查要求: 【问题描述】上述型号设备当大量安全模块日志（安全策略日志、流日志、威胁日志等）上送设备信息中心时，可能导致设备运行异常，出现无法登录、转发异常、设备挂死、设备重启等故障。【原因分析】当日志量大的情况下，可能导致控制核繁忙，内部进程通信异常，同时转发性能下降。

改进建议：

1、开启各安全模块记录日志功能时，必须同步配置快速日志（customlo g）将对应模块日志发送至日志主机；

2、严禁配置 Flow 日志输出到信息中心。

防火墙有涉及上面告警，请问下如果没有日志主机，这个告警具体怎么整改？

6 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 二段

粉丝：0人关注：9人

针对您提到的H3C防火墙大量日志上送导致设备运行异常的问题，以下是具体的整改建议：

一、日志优化配置
1. 开启快速日志（CustomLog）
- 对于安全策略日志、流日志、威胁日志等，配置快速日志功能，以减轻控制核的压力。
- 关键配置命令示例：
customlog logname policylog level info destination syslog serverip port 514 template template_name
其中，`logname`为自定义日志名称，`policylog`为安全策略日志类型，`serverip`为日志服务器IP，`port`为日志服务器端口，`template_name`为日志模板名称。

二、日志过滤与归并
1. 配置日志过滤规则
- 根据实际需求，设置合理的日志过滤条件，减少不必要的日志上送。
- 使用命令如：
filter logfilter condition src_ip 192.168.1.0/24 action accept
这将只允许源IP为192.168.1.0/24的日志通过。

三、定期检查与维护
1. 监控日志流量
- 定期检查日志上送流量，确保其在设备可承受范围内。
- 使用命令如：
display logbuffer statistics
监控日志缓冲区状态。

四、设备性能监控
1. 关注设备性能指标
- 实时监控设备的CPU、内存使用率及转发性能，及时发现并处理异常。

请根据您的具体设备型号和软件版本，参考上述建议进行配置调整，并提前备份相关配置。

暂无评论

国服第181小鱼人

国服第181小鱼人五段

粉丝：5人关注：0人

这份【2022】036号技术公告明确指出：

问题：当大量安全模块日志（安全策略日志、流日志、威胁日志等）上送设备信息中心时，可能导致控制核繁忙，出现无法登录、转发异常、设备挂死、设备重启等故障。
原因：日志量过大，信息中心处理不过来。
整改要求：
1. 开启安全模块日志时，必须同步配置快速日志（customlog）将对应模块日志发送至日志主机；
2. 严禁配置Flow日志输出到信息中心。

你的F1070（Version 7.1.064, Release 9360P46）正好在涉及范围内。

技术逻辑：为什么要配日志主机？

要回答“没有日志主机怎么整改”，先要理解“为什么公告要求配日志主机”。

信息中心（info-center）：设备默认的日志处理中心，所有日志默认都会送到这里。日志量大时会消耗系统资源。
快速日志（customlog）：H3C V7防火墙提供的一种绕过信息中心的日志输出机制。配置后，业务模块日志直接发送给日志主机，不经过信息中心处理，从而节省系统资源。

公告的核心要求是“让日志绕过信息中心”，而不是“必须发送到日志主机”。日志主机只是日志的最终去向，但“绕过信息中心”这一步，必须通过配置customlog来实现。

没有日志主机的整改方案

方案一：如果完全没有日志主机（只能合规性整改）

这种情况下，你需要做到两点：

删除违规配置：检查并删除 userlog flow syslog 配置（严禁Flow日志输出到信息中心）。
开启快速日志，但不指定主机：开启customlog功能，但不配置 customlog host。这样做的效果是：
- 日志不再经过信息中心（满足整改要求）
- 日志被“丢弃”，不占用设备资源
- 无法在日志服务器上查看日志（因为你没有主机）

配置示例：

system-view

# 开启会话模块快速日志（但不指定日志主机） customlog format session # 如果开启了其他模块，也需要配置对应的customlog format # customlog format packet-filter # customlog format attack-defense # customlog format dpi有H3C社区用户明确问过“快速日志不指定主机，日志是不是就丢弃了”，答案是“是”。这是目前没有日志主机时，唯一能同时满足“绕过信息中心”和“不额外增加日志存储”的方法。

方案二：有临时日志服务器可用（推荐）

如果能临时搭建一台日志服务器（哪怕是一台Windows装个syslog工具，或者Linux开个rsyslog），那就更规范了，可以真正满足公告原意。

配置步骤（以发送会话日志为例）：

system-view

# 1. 删除违规配置（如果存在） undo userlog flow syslog # 2. 开启快速日志输出功能（按需选择模块） customlog format session # 会话日志 customlog format packet-filter # 安全策略/包过滤日志 customlog format attack-defense # 攻击防御日志 customlog format dpi # 深度报文检测日志 # 3. 配置日志主机（将对应模块发送出去） customlog host 192.168.x.x export session customlog host 192.168.x.x export packet-filter customlog host 192.168.x.x export attack-defense customlog host 192.168.x.x export dpi # 4. （可选）指定源接口，方便日志服务器过滤 customlog host source interface GigabitEthernet1/0/0注意：customlog format和customlog host必须配套生效。配置后可用 display customlog format 查看。