H3C SecPath F100防火墙启用安全日志，关键是理解其核心的“信息中心（info-center）”机制。启用后，建议将日志发送到远程的Syslog日志服务器进行集中存储，以解决设备本地存储容量有限的问题。以下是具体的命令行配置方法：

 步骤一：启用信息中心与基础配置

在开始配置前，请先通过SSH或Console口登录防火墙，并进入系统视图。

1. 启用信息中心：

   [H3C] info-center enable 这条命令是启用日志功能的基础。

2. （可选）调整本地日志缓冲区大小：可以适当调整本地日志缓冲区的大小，临时缓存更多日志。

   [H3C] info-center logbuffer size 10240 此命令将日志缓冲区大小调整为10240条，用于存储最新的日志，防止重要信息被过早覆盖。

3. （可选）指定日志的源IP地址：如果防火墙有多个IP地址，为避免日志源地址混乱，建议为日志报文指定一个固定的源IP地址。

   [H3C] info-center loghost source <接口名称> 例如，info-center loghost source GigabitEthernet1/0/1 命令会强制所有日志报文都使用 GigabitEthernet1/0/1 接口的IP地址作为源地址。

 步骤二：配置远程Syslog日志服务器

配置远程日志服务器是实现日志长期存储的关键。

1. 指定日志服务器：配置防火墙将日志发送到指定的Syslog服务器。其中，192.168.1.100需要替换为你的日志服务器IP地址。

   [H3C] info-center loghost 192.168.1.100 port 514
   port 514：指定日志服务器监听的UDP端口，Syslog标准端口通常是514。

2. （可选）配置日志输出规则：可以更精细地控制哪些模块、级别的日志发送到日志服务器。

   [H3C] info-center source default loghost level informational 此命令设置信息中心（info-center）的源（source）规则，将所有模块（default）的、级别为 informational 及以上（即警告、错误等更严重的日志）的日志发送给日志服务器（loghost）。level参数指定了日志的严重性级别，从高到低为 emergencies > alerts > critical > errors > warnings > notice > informational > debugging。

 步骤三：开启关键安全功能的日志记录

为了记录安全事件，需要针对具体的功能开启日志。

1. 开启安全策略日志：在安全策略中启用日志功能。当流量匹配到某条策略时，系统会生成并记录日志。

   [H3C] security-policy ip

   [H3C-security-policy-ip] rule name <your-rule-name>
   [H3C-security-policy-ip-0-<your-rule-name>] logging enable
   在安全策略视图下，进入一个具体的规则（<your-rule-name>），然后使用 logging enable 命令开启该策略的日志记录功能。

2. 开启NAT会话日志：记录NAT转换的会话信息。

   [H3C] session log enable ipv4

   [H3C] session log flow-begin
   [H3C] session log flow-end
     session log enable ipv4：开启IPv4会话日志功能。

   • session log flow-begin：记录会话创建时的日志。

   • session log flow-end：记录会话删除时的日志。

3. 开启攻击防范日志：当防火墙检测到攻击行为时，系统会自动记录相应日志。如需调整详细级别，可使用以下命令：

   [H3C] attack-defense log flood enable

 步骤四：验证与查看配置

1. 检查配置：使用 display current-configuration | include info-center 命令查看所有已生效的 info-center 相关配置。

2. 查看本地日志：使用 display logbuffer 命令查看设备内存中存储的日志，可快速定位近期事件。

3. 验证远程接收：在日志服务器上，使用 tcpdump 等抓包工具监听UDP 514端口，确认是否收到来自防火墙的日志数据包。

打开开启日志中心功能。

安全策略需要勾选记录日志

H3C SecPath F100 启用安全日志（CLI+Web 完整步骤）

一、核心概念与前提

• 安全日志来源：安全策略匹配（需手动开）、IPS/AV/ 攻击防范（默认生成）。
• 信息中心：全局总开关，必须启用才会输出日志。
• 日志级别：推荐 informational(6) 覆盖审计所需，notification(5) 及以上为重要事件。

二、CLI 快速配置（推荐）

1. 全局开启信息中心

2. 安全策略规则开启日志（关键）

• 对所有关键规则开启后，才会生成业务安全日志。

3. 输出到日志服务器（Syslog）

4. 本地查看（临时排查）

5. 验证配置

三、Web 界面配置（可视化）

1. 开启信息中心

2. 安全策略开启日志

3. 配置日志服务器

• 启用：√
• 服务器 IP：192.168.1.100
• 端口：514（默认）
• 加密：按需选择
• 保存应用H3C。

4. 配置日志策略（关联类型）

• 名称：secpolicy-log
• 类型：安全防护日志 / IPS/AV 等
• 级别：informational
• 绑定日志服务器：192.168.1.100
• 启用策略。

四、常见问题与排查

1. 日志不输出
   • 检查 info-center enable 是否已开启。
   • 安全策略规则是否已 logging enable。
   • 日志服务器 IP / 端口可达性（ping 测试，telnet 514）。
   • 级别是否过低（用 informational 测试）。
2. 日志过多
   • 调整级别为 notification(5) 仅保留重要事件。
   • 仅对关键安全策略开启日志，避免全量记录。
3. 本地日志保存
   • F100 无硬盘扩展，本地仅缓存，建议必配日志服务器。
   • 调整缓冲区大小：info-center logbuffer size 8192。

五、配置清单（直接复制）