以下是 H3C 防火墙发送 Syslog 的标准配置流程,缺一不可:
开启信息中心并指定日志服务器
[H3C] info-center enable # 开启信息中心,这是基础<H3C> system-view
[H3C] info-center loghost 192.168.1.100 # 替换为你的日志服务器IP地址配置日志输出规则与级别
如果不上送日志,很可能是日志级别或输出规则限制了。你可以用下面两种方式,将informational级别及以上的日志发往loghost,并排除干扰项。[H3C] info-center source default loghost level informational# 方法一:使用 info-center source 命令(推荐,全局生效)
# 方法二:使用 info-center filter 命令(更精细,可绑定特定主机)
[H3C] info-center filter loghost-filter default level informational指定日志源接口(关键!)
这是最容易被忽略的步骤。当设备有多个 IP 地址时,必须明确指定日志的源接口,否则服务器可能无法识别或丢弃日志包。[H3C] info-center loghost source LoopBack0# 例如,以 LoopBack0 接口的 IP 地址作为日志的源地址
安全策略提醒:执行上述配置前,务必确保防火墙的Local -> Any方向安全策略放行了向日志服务器的连接。同时,建议在防火墙上ping日志服务器以确认网络可达。
如果日志服务器还是收不到日志,可以按照下面的步骤逐一排查。
第一步:基础连通性与端口检查
网络连通性:在防火墙 CLI 上
ping日志服务器的 IP 地址,确保网络是通的。防火墙安全策略:检查安全策略是否放行了防火墙
Local到Any方向向日志服务器的连接。端口:Syslog 默认使用 UDP 514 端口,请确保防火墙出方向 ACL 和日志服务器端的防火墙都放行了该端口。
第二步:Info-Center 核心配置检查
状态检查:使用
display info-center命令,确认Information center: Enabled且loghost方向的State为Enabled。日志级别:使用
info-center source default loghost level informational命令,确保发送级别设置为informational(6级)或更低(如debugging)。源接口:这是排查的重中之重。如果设备有多个接口,必须执行
info-center loghost source <interface-type interface-number>来明确源 IP。VRF实例:如果日志服务器位于非公网的 VRF 实例中,需要在
info-center loghost命令后加上vpn-instance <vpn-instance-name>参数。
第三步:特殊场景与高级检查
快速日志功能(Customlog)的影响:如果设备开启了
customlog快速日志输出功能,它可能会抢占或改变普通信息中心(Info-Center)的日志处理流程,导致loghost收不到策略日志。可尝试检查display current-configuration | include customlog的输出。NAT网络环境:如果防火墙与日志服务器之间存在 NAT,可以尝试将
info-center loghost source指定的源接口 IP 设置为 NAT 转换后的地址,或使用 TCP 而非 UDP 传输。日志服务器配置:服务器端需确保 Syslog 服务已启动、UDP 514 端口监听正常,并检查防火墙是否放行了相关端口。
暂无评论
一、华三 F5010 发送日志到服务器(标准 Syslog/info-center 方式)
<H3C> system-view
[H3C] info-center enable // 1. 全局启用信息中心(必开)
[H3C] info-center loghost 192.168.1.100 // 2. 配置日志服务器IP(默认UDP 514)
[H3C] info-center loghost 192.168.1.100 port 514 facility local7 // 带端口/设施
[H3C] info-center loghost source GigabitEthernet 0/0 // 3. 指定出接口/源IP(关键)
[H3C] info-center source default channel loghost level informational // 4. 允许info级别以上
[H3C] info-center timestamp datetime // 时间戳(可选)
[H3C] save
- 默认端口:UDP 514
- level:
debugging / informational / warning / error / critical - source default:所有模块;也可单独指定:
info-center source firewall channel loghost level warning
二、配置 info-center 后日志发不出去:常见原因(按优先级排查)
1. 信息中心未真正启用(最常见)
display info-center
- 没开:
info-center enable - 开了仍无效:
undo info-center enable→ 再info-center enable
2. 未指定 loghost source(多地址环境必配)
info-center loghost source GigabitEthernet 0/0
// 或
info-center loghost source Vlan-interface 100
3. 日志级别过滤(你只发了 info,但级别设太高)
- 只配
loghost但没配source ... level→ 默认只发warning以上 - 确认:
display info-center configuration
info-center source default channel loghost level informational
[H3C] info-center source default channel loghost level informational
4. 网络 / 路由 / 端口不通(服务器收不到)
- 防火墙能 ping 通日志服务器:
ping 192.168.1.100
- 服务器 UDP 514 监听正常,且防火墙 / 安全组放行 UDP 514
- 设备本地 ACL / 安全策略没拦本机发出的 UDP 514
5. 快速日志(customlog)与 info-center 冲突
customlog host与标准info-center互斥H3C- 若配过:
display current | include customlog
- 要标准 syslog:删掉快速日志:
undo customlog host all
undo customlog format all
6. 服务器 facility 不匹配
facility local7,服务器也要收 local7。7. 版本 Bug
display version
三、快速排查命令(直接复制)
display info-center // 看是否启用、loghost、source、level
display info-center configuration // 完整配置
display logbuffer // 本地有日志吗?
ping 192.168.1.100 // 连通性
display current | include loghost // 确认源接口、级别
四、Web 界面参考(F5010)
- 系统 → 日志设置 → 基本配置 → 日志主机
- 启用 → 填 IP、端口 514 → 指定源接口
- 日志级别:信息 (informational) 及以上
五、结论
- 没开 info-center enable
- 没配 info-center loghost source 接口
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论