负载均衡 L5000-C 如何查看 nat 日志 ？

您好，参考

<H3C>dis nat session destination-ip 

L5000-C设备配置NAT日志查看和外发的方法：

1. 本地查看NAT日志的条件与操作：
   若需在设备本地查看NAT日志，需同时满足以下配置：

   • 开启NAT日志功能并指定日志类型（新建/删除/活跃流）：nat log enable nat log flow-begin nat log flow-end nat log flow-active 10
   • 启用NAT日志输出至信息中心：userlog flow syslog
   • 开启会话日志采集服务（适用于较新版本）：dac log-collect service nat flow_log enable

   此后可通过 display logbuffer 命令查看缓存日志。
   注意：此方式会消耗较高设备性能，仅适用于低流量场景。

2. 日志服务器外发方案（推荐）：
   步骤1：开启NAT日志基础功能

   nat log enable nat log flow-begin nat log flow-end nat log flow-active 10 # 可选，按需配置活跃流记录间隔

   步骤2：配置日志外发参数

   # 设置日志主机地址及端口 userlog flow export host <服务器IP> port # 指定发送日志的源IP（需与日志服务器路由可达） userlog flow export source-ip <设备源IP> # 启用本地时间戳（可选） userlog flow export timestamp localtime

   
   关键点：日志服务器需开放对应UDP端口，且设备与服务器间路由需可达。

3. 运营商格式日志外发（如需特定格式）：
   若需发送CMCC/TELECOM等定制格式：

   # 配置快速日志格式及主机 customlog format nat <运营商格式> # 如cmcc/telecom customlog host <服务器IP> port <端口> export <对应格式> # 如cmcc-sessionlog # 设置源接口（必选） info-center loghost source <接口名>

   
   注意：避免同时启用userlog和customlog，防止冲突。

配置验证与故障排查

• 检查日志外发状态：
  display userlog export 查看日志主机连接及发送统计。
• 若日志服务器未收到：
  1. 确认设备源IP与服务器路由可达
  2. 检查服务器防火墙是否放行UDP端口
  3. 确保配置源接口命令：info-center loghost source <接口>
  4. 排除设备存储空间不足或日志模块未启用（D60+分支需勾选流日志模块）

建议：对于L5000-C高性能设备，推荐采用userlog flow export输出二进制流日志以降低性能影响；若需详细日志分析，应部署日志服务器集中存储。

L5000-C默认不在本地存储NAT日志，要有效管理日志，需要将它发送到专用的日志服务器上。这里会分别介绍如何在设备上查看实时NAT会话信息以及如何将日志发送到服务器的两种方法。

 本地查看：实时NAT会话信息

在本地设备上，可以随时通过以下命令查看当前活跃的NAT会话：

这些命令用于查看设备内存中的当前NAT会话表，并非持久化的日志，设备重启后会丢失。它就像NAT转换的“实时快照”，适合用来排查即时的网络问题。
注意：从H3C的知了社区案例来看，生产环境中的NAT日志量很大，display logbuffer无法满足长时间留存，通常需要配置专门的输出。

 发送到日志服务器（推荐，高质量配置）

这个方法配置的是质量更高的NAT日志（快速日志），适合在生产环境中使用，也是运维系统进行溯源审计的关键依据。下面是一个标准的配置示例，它会将会话日志发送到IP为172.31.0.61的服务器上。

1. 进入系统视图

   <H3C> system-view

2. 进入内网接口（如 GigabitEthernet1/0/10），开启会话日志功能

   [H3C] interface GigabitEthernet1/0/10

   [H3C-GigabitEthernet1/0/10] session log enable ipv4 inbound # 对入向流量记录日志 [H3C-GigabitEthernet1/0/10] session log enable ipv4 outbound # 对出向流量记录日志 [H3C-GigabitEthernet1/0/10] quit

3. 开启会话新建和删除的记录功能

   [H3C] session log flow-begin # 会话创建时记录

   [H3C] session log flow-end # 会话删除时记录注意：如果想控制日志数量，可以设定流量或时间阈值：例如 session log packets-active 10000（流量阈值）或 session log time-active 60（时间阈值）。这些命令至少需要启用一项，否则日志无法显示。

4. 配置快速日志输出

   [H3C] customlog format session # 设置输出格式，以节约带宽[reference:8]

   [H3C] customlog host 172.31.0.61 export session # 指定日志服务器地址并开始发送

 发送到日志服务器（备选，传统流日志方式）

如果你需要使用传统的 Flow日志（也叫流日志，userlog），也可以按以下命令配置。不过需要注意，在设备负载较高的情况下，可能会对性能产生一定影响。

1. 开启NAT日志功能

   <H3C> system-view

   [H3C] nat log enable # 全局开启NAT日志 [H3C] nat log flow-begin # 新建会话时记录 [H3C] nat log flow-end # 会话结束时记录 [H3C] nat log flow-active 10 # 活跃流记录间隔（分钟）

2. 配置日志服务器信息并设置版本

   [H3C] userlog flow export host 1.2.3.6 port 2000 # 指定接收日志的服务器IP和端口

   [H3C] userlog flow export source-ip 2.2.2.2 # 指定日志报文的源IP [H3C] userlog flow export version 3 # 设置日志版本 [H3C] quit

3. 查看配置是否生效

   <H3C> display userlog export

一、本地查看 NAT 日志（简单排查用）

1. Web 界面查看（推荐）

1. 浏览器登录 L5000-C Web 管理页
2. 进入：系统 → 日志设置 → NAT 日志
3. 勾选 启用 NAT 日志，应用后即可在 监控 → NAT 日志 页面查看（仅近期、少量）。

2. 命令行查看（Console/SSH）

本地缓冲区 / 文件容量有限、会覆盖，只能临时排查，不能长期留存审计。

二、长期留存：把 NAT 日志发到日志服务器（必配）

• 方式 A：syslog（信息中心，通用，推荐）
• 方式 B：Flow 日志（userlog，NAT 专用，信息更全）

方式 A：syslog 发送 NAT 日志（通用）

1. 命令行配置

2. Web 界面配置

• 系统 → 日志设置 → 基本配置：启用信息中心
• 系统 → 日志设置 → 日志主机：新建 syslog 主机（IP+514）
• 系统 → 日志设置 → NAT 日志：启用并关联 syslog。

方式 B：Flow 日志（userlog，NAT 专用）

命令行配置（简要）

Flow 日志格式更标准，适合专业日志系统（如 ELK）分析。

三、常见问题

1. 本地看不到 NAT 日志？
   • 未开启：Web / 命令行 启用 NAT 日志 + 会话日志
   • 无流量：确认有经过 NAT 的流量（内网访问公网）
   • 缓冲区满：display logbuffer 看是否有日志
2. 日志服务器收不到？
   • 网络连通：L5000-C 能 ping 通日志服务器
   • 端口开放：服务器防火墙放行 514（syslog）/2000（flow）
   • 配置正确：IP、端口、协议（UDP）无误

四、总结

• 临时排查：直接在 L5000-C 的 Web 监控页或 命令行 display logbuffer 查看。
• 长期审计：必须配置 syslog（514）或 Flow 日志（2000） 发送到日志服务器留存。