问
防火墙 日志
3天前提问
- 0关注
- 0收藏,72浏览
zhiliao_Gixe
四段
是,缺省通过info-center配置的日志主机,上送的是设备系统类syslog(含运行告警、配置变更、攻击检测、普通会话事件、327688这类系统日志),不包含流量统计/流量审计类流量日志。
如需上送流量日志(NAT日志、DPI流量日志、会话审计类流量日志),需单独配置:
1. 全局开对应功能:flow-log enable、nat log enable(按需选)
2. 指定流日志服务器:flow-log host <服务器IP> vpn-instance <实例名> udp-port <端口>
3. 安全策略中匹配流量时开启对应日志上报动作。
排查命令:display info-center 看系统日志输出配置;display flow-log config 看流日志配置。
如需上送流量日志(NAT日志、DPI流量日志、会话审计类流量日志),需单独配置:
1. 全局开对应功能:flow-log enable、nat log enable(按需选)
2. 指定流日志服务器:flow-log host <服务器IP> vpn-instance <实例名> udp-port <端口>
3. 安全策略中匹配流量时开启对应日志上报动作。
排查命令:display info-center 看系统日志输出配置;display flow-log config 看流日志配置。
暂无评论
是的,你的理解完全正确。
在H3C防火墙(如F1000系列)上通过 info-center loghost 命令配置的日志主机,默认发送的就是系统类Syslog,不包含流量日志。
默认发送的系统日志
H3C官方明确指出,通过 info-center 默认上送的日志包含以下类型:
系统运行告警:设备运行状态变化的通知。
配置变更:所有管理员执行的配置修改操作。
攻击检测:被防火墙检测到的网络攻击事件。
普通会话事件:会话建立、拆除等基础信息。
其他系统日志:如设备启动、关机、接口状态变化等。
如何配置流量日志
如果需要将NAT日志、DPI(深度包检测)流量日志等流量审计类日志发送到日志服务器,需要单独配置:
开启全局功能:根据需求开启
flow-log enable、nat log enable等。指定服务器:配置
flow-log host <服务器IP> udp-port <端口>。策略开启日志:在安全策略中,为需要审计的流量匹配项开启日志记录。
暂无评论
对,你理解完全正确。
一、结论(一句话)
- info-center loghost(Syslog)默认只发:系统日志、配置日志、告警、故障、上下线等系统级日志。
- 默认 不包含 会话流量日志(流日志 / Flow 日志)。
- 流量日志(NAT / 会话 / 访问记录)是独立模块,必须单独开启、单独配置输出。
二、两种日志区别(H3C 防火墙)
1. info-center Syslog(你现在配的)
- 来源:系统模块(SYSTEM、FIT、VRRP、OSPF、LOGIN 等)
- 内容:
- 登录 / 登出、配置变更、接口 up/down
- 系统告警、CPU / 内存、故障、认证失败
- 域间策略匹配告警(但不是每条会话明细)
- 默认级别:informational 及以上
- 端口:UDP 514(标准 Syslog)
2. 流量日志(Flow / 会话日志)
- 来源:安全策略、会话表、NAT、ASPF
- 内容:
- 每条五元组会话(源 IP、目的 IP、端口、协议)
- 会话开始 / 结束、NAT 转换记录、策略命中
- 流量大小、时长、应用识别
- 默认:完全关闭
- 输出方式:
- 独立 Flow 日志主机(端口 9002 或自定义)
- 或通过
userlog flow syslog并入 Syslog(不推荐大量会话)H3C
三、怎么开启 “流量日志” 并输出(完整配置)
1. 全局开启流量日志(必须)
plaintext
system-view
traffic-log session-end global enable # 会话结束日志(推荐)
traffic-log session-start global enable # 会话开始日志(可选,量大)
- 缺省:全关
2. 安全策略下开启(精细化)
plaintext
security-policy ip
rule 10 # 你的放行规则
action pass
traffic-log session-start enable # 该规则会话开始
traffic-log session-end enable # 该规则会话结束
3. 输出到独立 Flow 日志主机(推荐)
plaintext
# 配置Flow日志服务器(端口默认9002)
userlog flow export host 192.168.1.100 port 9002
userlog flow export version 3.0 # 常用版本
userlog flow export timestamp localtime # 本地时间
4. (可选)把流量日志并入 Syslog(info-center)
不建议高并发,会撑爆 Syslog:
plaintext
userlog flow syslog # Flow日志导入Syslog
info-center source USERLOG channel loghost level informational # 放行USERLOG模块
四、验证命令
plaintext
display info-center # 看Syslog输出(无USERLOG默认)
display traffic-log statistics # 看流量日志计数
display userlog flow export # 看Flow日志主机配置
五、总结
- 只配 info-center loghost:只有系统日志,看不到上网 / 会话明细。
- 要流量记录:必须额外配 traffic-log + userlog flow export(独立端口 9002)。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论