华三路由器sr6608日志格式说明
- 0关注
- 0收藏,47浏览
H3C SR6608路由器使用标准的 Syslog 协议,日志格式遵循 RFC 3164 标准,可以直接和山石的日志审计系统进行对接。
1. 核心日志格式说明
输出到日志主机的Syslog格式遵循以下结构:<PRI> Timestamp Hostname %%vendorMODULE/severity/MNEMONIC: location; CONTENT
这个格式里包含了你对接时需要关注的关键信息。
| 字段 | 示例 | 说明 |
|---|---|---|
<PRI> | <134> | 优先级标识符,由工具*8 + 级别计算得出,便于日志服务器解析和过滤。 |
Timestamp | Apr 28 15:35:32 2020 | 日志产生的时间,精确到秒。 |
Hostname | H3C | 生成日志的设备名称或IP地址。 |
%%vendor | %%10 | 厂家标志,%%10代表H3C设备。 |
MODULE | IFNET | 产生日志的模块名称。 |
severity | 4 | 日志的严重等级,数字越小级别越高。 |
MNEMONIC | LINK_UPDOWN | 日志的唯一标识助记符。 |
location | -Slot=2; | 日志产生的具体位置,如槽位号、源IP等。 |
CONTENT | Interface GigabitEthernet2/0/1 has turned into DOWN state. | 日志的具体描述内容。 |
2. 日志等级说明
日志等级在对接时非常重要,它决定了哪些信息会被发送到审计平台。
| 等级值 | 等级名称 | 描述 |
|---|---|---|
| 0 | Emergency | 系统不可用信息,如系统授权已到期 |
| 1 | Alert | 重大故障,需立即响应,如流量超出接口上限 |
| 2 | Critical | 严重信息,如电源、风扇故障 |
| 3 | Error | 错误信息,如接口链路状态变化 |
| 4 | Warning | 警告信息,如内存耗尽告警 |
| 5 | Notification | 正常但重要的信息,如设备重启 |
| 6 | Informational | 需要记录的通知信息 |
| 7 | Debugging | 调试过程产生的信息 |
3. 配置案例
要将日志发送到山石日志审计平台,可以在 SR6608 上使用如下配置:
info-center loghost:指定日志审计服务器的IP地址。source-interface参数指定发送日志的源接口,方便审计平台进行访问控制。info-center source:指定发送日志的规则,level informational表示发送等级为6及以上的所有日志,可以根据审计需求调整。
4. 典型日志示例
以下是SR6608上一些典型的日志输出样例,供你参考。
接口链路状态变化
<134>Apr 28 15:35:32 2020 H3C %%10IFNET/3/LINK_UPDOWN: -Slot=2; Interface GigabitEthernet2/0/1 has turned into DOWN state.
NAT会话日志
<142>May 11 10:20:30 2021 SR6608 %%10NAT/6/SESSION: -COntext=1; User 192.168.1.10:1024 accessed 8.8.8.8:53
SSH登录日志
%May 11 10:15:22:235 2021 SR6608 SSH/6/SSH_LOGIN: User admin logged in from 10.1.1.100.
5. 常见问题排查
如果审计平台收不到日志,可以按以下步骤检查:
网络连通性:在路由器上 ping 日志审计服务器的IP,确保路由可达。
服务与端口:确认路由器配置的端口(默认UDP 514)与日志审计服务器监听的端口一致。
时间同步:确保路由器与日志服务器的时间同步,时间差异过大可能导致日志被审计平台丢弃。
抓包分析:如果以上均正常,可在审计服务器上抓包,确认是否收到从路由器UDP 514端口发送的数据包。
给个链接吧
字段结构:<优先级>时间戳 设备标识 模块名-日志级别-日志摘要: 详细内容
字段说明:
1. 优先级:<pri>=设施值*8+日志级别,设施可配local0~local7,级别0(紧急)~7(调试)
2. 时间戳:默认本地时间,支持配置UTC、带毫秒/时区
3. 设备标识:默认是设备sysname,可配置为管理IP
4. 模块名:产生日志的特性模块(如IFNET、OSPF、SSH)
5. 日志摘要:日志唯一助记符(如LINK_UP、LOGIN_SUCCESS)
6. 详细内容:日志具体业务描述
对接山石审计关键配置(V7版本,V5逻辑一致)
info-center enable
info-center loghost <山石审计IP> port 514 facility local4 # 端口默认UDP 514
info-center source default loghost level informational # 发送级别≤6的日志
可选:对齐审计时间,配置时间戳带毫秒/时区
info-center timestamp loghost date precision milliseconds time-zone
若山石要求RFC5424格式,加配:info-center syslog format rfc5424
注意
提前确认设备与审计服务器路由通,安全策略放通UDP 514端口。
H3C SR6608(Comware V7)的日志主要分为两大类:info-center 系统日志(Syslog) 和 Flow 流日志(二进制 / ASCII)。对接山石审计时,优先使用 标准 Syslog 格式(兼容性最好),Flow 日志需按版本字段解析。
一、info-center 系统日志(对接山石首选)
1.1 标准格式(发往日志主机)
完整格式:
plaintext
<PRI>Timestamp Hostname %%10Module/Level/Mnemonic: Location; Content
示例:
plaintext
<189>Apr 21 17:30:00 SR6608 %%10IFNET/4/LINKUP: -Slot=1; Interface GigabitEthernet1/0/1 changed state to UP
```{insert\_element\_0\_}
### 1.2 字段详解
| 字段 | 说明 |
|---|---|
| `<PRI>` | 优先级,计算:`Facility×8+Level`,默认 Facility=local7(23){insert\_element\_1\_} |
| `Timestamp` | 时间:`Mmm DD hh:mm:ss` 或 `YYYY Mmm DD hh:mm:ss` |
| `Hostname` | 设备名(sysname){insert\_element\_2\_} |
| `%%10` | H3C 标识+版本(固定 10){insert\_element\_3\_} |
| `Module` | 模块:IFNET、NAT、BGP、OSPF 等{insert\_element\_4\_} |
| `Level` | 等级:0(emerg)~7(debug){insert\_element\_5\_} |
| `Mnemonic` | 事件码:LINKUP、CFGLOG 等{insert\_element\_6\_} |
| `Location` | 位置:`-Slot=1`、`-Vpn=vpn1` 等{insert\_element\_7\_} |
| `Content` | 事件描述{insert\_element\_8\_} |
### 1.3 常用等级(Level)
- 0: emerg
- 1: alert
- 2: crit
- 3: error
- 4: warn
- 5: notice
- 6: info
- 7: debug{insert\_element\_9\_}
### 1.4 定制格式(可选)
- **unicom(联通)**:
<PRI> Vision Hostip Timestamp Hostname Serial_number %%10Module/Level/Mnemonic: Content
{insert_element_10_}
- **cmcc(移动)**:
<PRI> Vision Hostname Timestamp AppName ProcID MsgID: Content
{insert_element_11_}
---
## 二、Flow 日志(NAT/流日志)
SR6608 常用 **Flow 3.0 / 5.0**(二进制 UDP 发送,默认端口 2000){insert\_element\_12\_}。
### 2.1 Flow 3.0 字段(NAT44/NAT66)
**格式(二进制)**:
Version(1) + LogType(1) + SrcIP(4/16) + DstIP(4/16) + Sport(2) + Dport(2) +Proto(1) + InPackets(4) + OutPackets(4) + InBytes(4) + OutBytes(4) +StartTime(4) + EndTime(4) + Operator(1)
plaintext
**关键字段**:
- `Version=3`
- `LogType`:4=NAT44, 5=NAT66{insert\_element\_13\_}
- `SrcIP/DstIP`:转换前/后 IP
- `Proto`:6=TCP, 17=UDP, 1=ICMP
- `StartTime/EndTime`:Unix 时间戳
- `Operator`:结束原因(1=idle, 2=forced, 3=finish)
### 2.2 Flow 5.0(增强版)
增加:`TOS`、`流标识`、`接口索引`、`VRF` 等{insert\_element\_14\_}。
---
## 三、对接山石最佳配置(推荐)
### 3.1 系统日志(Syslog)
开启信息中心
info-center enable
输出到山石(默认 UDP 514)
info-center loghost 192.168.1.100 facility local7
时间戳带年份(推荐)
info-center timestamp log date
标准格式(不选 unicom/cmcc)
undo info-center format
放行 NAT/IFNET/SEC 日志
info-center source NAT channel loghost level informationalinfo-center source IFNET channel loghost level warning
plaintext
### 3.2 Flow 日志(如需)
userlog flow export version 3userlog flow export host 192.168.1.100 port 2000userlog flow export source-ip 10.0.0.1
plaintext
---
## 四、山石侧解析要点
1. **Syslog**:按 **PRI、时间、主机、模块、等级、内容** 解析。
2. **Flow 3.0**:按 **版本、类型、五元组、包/字节数、时间戳** 解析。
3. 建议:**系统日志用 514/UDP,Flow 用 2000/UDP**,分开接收。
---
## 五、常见模块(Mnemonic)
- `IFNET: LINKUP/LINKDOWN`:接口状态
- `NAT: SESS_CREATE/SESS_DELETE`:NAT 会话
- `BGP: BGP_5_NBR_UP/DOWN`:BGP 邻居
- `SEC: LOGIN/LOGOUT`:登录日志{insert\_element\_15\_}
---
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
给个链接吧