问
ACG1000应用控制日志没有输出记录
4天前提问
- 0关注
- 0收藏,57浏览
一、先确认:你看的地方对不对
应用控制日志路径:
plaintext
数据中心 → 日志中心 → 控制日志 → 应用控制日志
别跑到 “审计日志 / 流量日志” 里找,控制日志是单独的一类。
二、策略本身:必须勾选 “记录日志”(最常见)
上网行为管理 → 策略配置 → IPv4 策略
- 打开你那条 “命中” 的策略
- 一定要勾选:记录日志(应用控制日志)
- 只勾 “文件过滤” 不够,控制日志必须单独开H3C
命令行核对:
plaintext
display running-config policy
看对应策略里有没有 log enable。
三、全局日志:本地存储 + 日志过滤必须开
1)日志存储(没硬盘 / 没开本地,就没本地日志)
系统管理 → 日志设定 → 日志存储
- 勾选:本地存储状态(启用)
- 存储位置:cfcard 或本地硬盘(看机型)
- 应用并保存。
2)日志过滤:控制日志允许输出
系统管理 → 日志设定 → 日志过滤
- 确保 应用控制日志 勾选 “本地”(及服务器,若有)
- 别勾成 “只发服务器、不存本地”H3C。
命令行快速核对:
plaintext
display log config
看 application-control log 是否 enable、输出方向是否包含 local。
四、用户识别范围:测试 IP 必须在范围内(很容易漏)
用户管理 → 认证管理 → 高级选项 → 识别范围
- 默认可能是 192.168.1.0/24 之类
- 你测试的 IP 必须在这个网段里,否则不审计、不记控制日志H3C。
五、透明 / 桥模式:策略必须绑桥接口,不能绑物理口
如果是网桥(透明)部署:
- 策略的 “入接口 / 出接口” 要选 bridge 1(或对应的桥接口)
- 绑成 ge0/ge1 物理口 → 策略能命中,但不生成控制日志。
查看命令:
plaintext
display bridge 1
display running-config policy
确认策略绑定的是桥接口。
六、会话与调试:确认真的命中且识别成功
1)看会话表,确认匹配策略:
plaintext
display session table verbose source 测试IP
看 Policy 字段,确认是你那条策略、且 Action 是 deny/permit。
2)开调试,看应用识别与审计是否生成日志:
plaintext
debug app audit detail
debug application identify
然后测试访问,再看:
plaintext
display log debug application 应用名
有输出 → 识别正常;无输出 → 识别 / 审计没触发H3C。
七、授权与版本:ACG 应用库过保不影响 “控制日志”
- 应用库 / URL 库过保 → 新应用识别不准,但已命中的策略日志照样生成
- 所以过保不是 “完全没日志” 的原因,不用在这纠结H3C。
最简自检清单(按优先级)
- 策略里 勾选 “记录日志” ✅
- 系统管理→日志设定→本地存储启用 ✅
- 日志过滤→应用控制日志允许本地输出 ✅
- 用户识别范围 包含测试 IP ✅
- 桥模式策略绑 桥接口,不绑物理口 ✅
zhiliao_Gixe
六段
排查步骤及关键命令:
1. 确认日志功能开启:执行display logging status,检查应用控制日志开关是否开启,未开则用logging enable application命令开启。
2. 核查策略日志配置:执行display acl policy all,查看对应应用控制策略是否勾选“生成日志”,未勾选则进入策略视图配置log enable。
3. 远程日志验证(若用服务器):执行display loghost,确认日志服务器IP、端口(默认UDP514),测试连通性(ping日志服务器IP、telnet日志服务器IP 514)。
4. 检查日志缓存:执行display logging buffer,若缓存满,执行clear logging buffer清理,或调整缓存大小logging buffer size 1024。
1. 确认日志功能开启:执行display logging status,检查应用控制日志开关是否开启,未开则用logging enable application命令开启。
2. 核查策略日志配置:执行display acl policy all,查看对应应用控制策略是否勾选“生成日志”,未勾选则进入策略视图配置log enable。
3. 远程日志验证(若用服务器):执行display loghost,确认日志服务器IP、端口(默认UDP514),测试连通性(ping日志服务器IP、telnet日志服务器IP 514)。
4. 检查日志缓存:执行display logging buffer,若缓存满,执行clear logging buffer清理,或调整缓存大小logging buffer size 1024。
暂无评论
ACG1000 的策略明明有命中计数,但就是不输出日志,这是 H3C ACG 设备非常经典的“疑难杂症”。
既然你确认策略有命中,说明流量已经正常经过设备并被识别,问题主要集中在日志记录开关、设备存储介质以及特定协议的审计设置上。你可以按照以下 5 个核心方向逐一排查:
1. 检查策略与日志过滤的“双重开关”
ACG 的日志输出需要同时满足“策略勾选”和“日志过滤允许”两个条件,缺一不可:
- 策略层面:再次确认你的应用控制/审计策略中,是否明确勾选了“记录日志”(部分版本在策略的高级配置中)。
- 系统过滤层面:进入 系统管理 -> 日志设定 -> 日志过滤,查看“上网行为日志”、“应用审计日志”等对应模块,确保日志级别已勾选为“记录”(不能是“不记录”或“发送”)。
2. 检查设备是否有硬盘(最常见原因)
这是 ACG1000 不产生本地审计日志的头号原因。 应用审计和详细的控制日志需要存储在本地硬盘上。
- 低端型号限制:部分低端或特定型号的 ACG1000(如 ACG1000-AK120 等)出厂时没有内置硬盘。如果没有硬盘,设备是无法在 Web 界面上显示审计日志的。
- 排查方法:
- 在命令行执行
display hardware-info或display system status,查看是否有 Disk 信息。 - 如果是无硬盘设备,你需要插入一个 U 盘或 SD 卡,进入系统视图执行
usb1 is disk(或sd1 is disk)并重启设备,将其挂载为日志存储盘。
- 在命令行执行
3. 开启 HTTPS 全网审计
如果你控制或审计的应用(如网页浏览、文件传输等)是基于 HTTPS 协议的,在未开启 HTTPS 解密或审计的情况下,设备只能看到加密流量,无法识别具体行为,自然也就无法记录详细日志。
- 解决办法:在系统视图下执行命令
https audit all开启 HTTPS 全网审计功能,或者在策略中配置 SSL 解密策略。
4. 检查用户识别模式
如果策略匹配了用户,但用户的识别模式配置有误,也可能导致日志记录异常。
- 排查方法:进入 用户管理 -> 高级选项,检查“识别范围”是否配置为
any,“识别模式”建议配置为“启发模式”(部分版本默认为强制模式可能会导致匹配异常)。
5. 排查特定应用的审计限制
部分特定应用由于协议加密或特征限制,存在天然的审计盲区。例如:
- 百度贴吧:需要开启 HTTPS 解密才能审计,且目前仅支持审计账号密码登录和发帖内容,不支持审计手机验证码登录。
- 微信/QQ:加密的语音视频、收发消息等行为特征可能无法获取。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论