rule logging
- 0关注
- 0收藏,75浏览
记录,参考:
(5) 创建规则。
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *
logging参数是否生效取决于引用该ACL的模块是否支持日志记录功能,例如报文过滤支持日志记录功能,如果其引用的ACL规则中配置了logging参数,该参数可以生效。
logging | 日志操作 | 表示记录规则匹配报文的日志信息,包括匹配报文的规则和匹配报文的个数 | 该功能需要使用该ACL的模块支持日志记录功能,例如报文过滤 |
在 H3C 的 ACL 规则中,logging 是一个动作修饰符,它的作用是:
当数据包匹配这条 deny 规则时,系统会生成一条日志记录。
具体来说:
记录内容:通常包括匹配规则的报文的基本信息,如协议类型、源/目的 IP 地址、端口号(如果是 TCP/UDP)、入接口等。
记录目的:主要用于安全审计、故障排查或攻击检测。例如,通过日志可以发现哪些 IP 正在尝试访问被禁止的目的地址,从而判断是否存在扫描或攻击行为。
性能影响:在高流量场景下启用
logging可能会产生大量日志,加重 CPU 负担。生产环境中建议仅在明确的监控或调试需求下使用,或者配合 ACL 统计功能(counting)一起使用。
示例:
192.168.1.100 的 IP 报文,并且每匹配到一个这样的报文,设备就会发送一条日志到信息中心(info-center),你可以通过 display logbuffer 或配置 syslog 服务器来查看这些日志。
一、直白解释
命令:
plaintext
rule deny destination x.x.x.x 0 logging
logging = 匹配到这条规则的流量,生成日志并上报
二、逐词拆解
rule deny:匹配命中的流量直接丢弃、禁止通过
destination x.x.x.x 0:目的地址为该单 IP
logging:
只要有流量命中这条拒绝规则
设备本地生成ACL 命中日志
可打印在设备控制台、缓存日志、发送到日志服务器(Syslog)
三、实际作用场景
安全审计:谁在访问被封禁地址、攻击探测、恶意访问全部留痕
故障排查:看是不是某段流量被 ACL 拦截导致业务不通
攻防溯源:封禁恶意 IP 后,实时看还有没有持续访问行为
四、补充关键知识点(H3C 交换机 / 防火墙通用)
只有加了 logging 关键字,这条 rule 才会记日志;
不加 = 默默丢弃,无任何日志,完全无痕迹。
日志默认存在设备本地日志缓冲区,可配合:
plaintext
info-center enable
info-center syslog 服务器IP
把拦截日志外传存储、审计。3. 允许规则也能加:
plaintext
rule permit xxx logging
用来记录正常放行的关键流量,做全量审计。
五、总结
无 logging:静默拦截,看不见记录
有 logging:拦截 +实时日志记录,便于排查、合规、安全溯源
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
看不到这样的