华三 F1000-AK145+日志不刷新
- 0关注
- 0收藏,32浏览
1. 先排除前端显示假象:用浏览器无痕模式登录Web,清除浏览器缓存,确认不是前端缓存导致的日志不刷新。
2. 检查本地存储介质状态:
CLI执行命令:
查看logflash分区挂载状态、磁盘使用率,如果未挂载执行
3. 校验日志输出通道配置:
执行
[FW] info-center source default channel 7 state on
[FW] security-log save enable
4. 排查日志过滤规则:执行
5. 版本缺陷修复:如果以上配置都正常,该型号R9325P13及之前正式版本存在非流量类日志落盘异常的已知BUG,升级到官方最新R9325P19及以上稳定版本即可解决。
暂无评论
按你描述的现象,日志不刷新且只有流量日志保存到硬盘,这通常不是单一故障,而是多个问题叠加在一起了。我按可能性由高到低的顺序整理了几个排查步骤,你可以逐个验证,希望能帮到你。
1. 误用“快速日志输出”导致日志“消失”(可能性最高)
这个是排查优先级最高的原因。F1000-AK防火墙有个“快速日志输出”功能(也叫Fast Logging),不过很多人容易忽略:开启快速日志输出后,安全策略日志会绕过本地的常规日志缓冲区(logbuffer)和硬盘存储,直接“飞”到外部日志服务器,因而你在本地Web界面就看不到了。如果你流量日志还能正常显示和存储,那很可能就是之前配置日志服务器时,不小心把安全策略日志切到了快速通道。
另外,如果没配置外部日志主机,这些日志会被直接丢弃。所以,当在Web界面点开“快速日志输出”,看到有配置IP地址但实际又没有这台服务器,同时本地日志又不显示,那问题基本就找到根源了。
建议你通过以下步骤排查和解决:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 检查是否开启 | 查看相关配置是否存在 | display current-configuration | include customlog或 Web 界面“系统” > “日志中心” > “快速日志输出” |
| 临时关闭 | 删除快速日志输出配置,让日志恢复常规记录 | undo customlog format packet-filterundo customlog host ... |
| 验证 | 重启浏览器或刷新页面看日志是否恢复 | Web界面“监控” > “安全策略日志” |
2. Web界面显示的“瓶颈”——logbuffer容量限制
在没有开启快速日志输出功能的前提下,如果Web日志还是不更新,很可能是另一个问题。
H3C V7防火墙logbuffer容量默认只有1024条或10M大小。这在日志量大的时候很容易瞬间被新日志覆盖。同时,Web页面是定时(如每隔5分钟)去读取这个有限的缓冲区,这就会造成你观察到的现象:web页面总是没新日志,但其实日志在后台生成后很快又被顶掉了。
你可以通过以下步骤来验证和优化:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 诊断 | 点击策略的“命中计数”是否增长,或命令行查看原始日志缓冲区 | display logbuffer 命令,观察是否有新日志滚动 |
| 优化 | 调整日志存储空间占比,让出更多空间给业务日志 | Web界面“系统设置”→“日志设置”→“存储空间设置” |
3. 验证安全策略的日志记录开关
这个是更基础的原因,但也容易被忽略。有些策略创建时为了减少性能损耗,会默认关闭日志记录。
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 检查命中计数 | 等待或操作触发后,查看策略命中数是否增长,增长说明策略生效 | Web界面“对象” > “安全策略” |
| 检查日志开关 | 点开每条策略详情,确认“记录日志”开关是否打开 | 每条策略的“详情”或“高级设置” |
| 验证 | 找一台测试机触发策略,看日志是否更新 | display logbuffer 或 Web 界面 |
| 批量检查 | 导出配置文件,用文本编辑器搜索 rule 相关项,看是否配置了 logging enable 或是否有 disable 字样 | display current-configuration | include "rule.*deny" 或类似命令 |
4. 检查硬盘日志存储设置
即使logbuffer中的日志能短暂看到,但需要确认它们是否被配置为写入硬盘。这机制有些特殊:设备自带的硬盘或存储卡有专门设计的存储分区,默认行为就是用来存放流量日志;而安全策略日志默认并不写入硬盘。所以即使logbuffer中有日志,如果没有进行专门配置,在“硬盘”或“存储”页面也只能看到流量日志,没有安全策略日志。
日常运维大多只需要关注最近期的日志、偶尔回溯再设置硬盘存储即可。可以通过以下步骤验证和配置:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 验证流量日志 | 从display session实时查看,确认只有流量日志问题 | Web界面“监控” > “会话信息” |
| 手动保存 | 验证日志能否正常写入硬盘 | logfile save 命令 |
| 配置自动保存(如需要) | 设置让安全策略日志按周期保存到硬盘,注意设置合理周期避免影响性能 | info-center security-logfile directory 指定目录 |
| 优化 | 检查数据清理设置:磁盘过满时会自动清理旧日志 | Web界面“系统配置”→“全局配置”→“数据清理”页面 |
5. 严谨检查Web界面的文件上传功能
防火墙Web界面大多是HTTP服务,功能受限。Web界面显示的“安全策略日志”等页面,读取的是防火墙内存中的logbuffer。如果logbuffer满了,旧日志被覆盖,新日志即便生成了也显示不出来。
可以通过以下步骤排查:
| 排查阶段 | 操作 | 关键命令 / 位置 |
|---|---|---|
| 验证 | 用命令行查看logbuffer,确认是web问题还是日志根本未生成 | display logbuffer 或 display current-configuration 查看关键模块状态 |
| 检查 | 确认快速日志输出/etc配置 | display logbuffer 或 display current-configuration 查看关键模块状态 |
6. 最终解决方案:部署外部日志服务器(根治方案)
如果以上方法都无法解决,或者你需要稳定、长期地保存所有日志用于安全分析和合规审计,那么部署外部日志服务器就是最终的解决方案。H3C官方的最佳实践也是引导将海量安全策略日志发送到外部服务器。
可以将所有防火墙日志发送到一台专门的Syslog服务器,有开源方案(如Graylog、ELK)或有商业方案(如H3C SecCenter)。基本步骤如下:
部署日志服务器,确保和防火墙网络可达。
在防火墙上配置日志主机指向:
info-center loghost <日志服务器IP>这将使防火墙将系统日志等送到日志服务器。info-center enable如希望安全策略日志更精细、发送更快,可配置:
customlog host <日志服务器IP> export packet-filtercustomlog format packet-filter
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论