防火墙安全日志不显示

要开启日志功能的

1. 开启 Web 界面的日志显示开关（最常见原因）

• 登录防火墙 Web 管理界面。
• 依次进入 “系统” > “日志设置”（部分版本可能在“监控”或“系统设置”下）。
• 在日志设置菜单中，找到 “URL过滤日志” 和 “应用审计日志”（或“应用审计”、“威胁日志”等对应选项）。
• 勾选启用这些日志类型。开启后，后台产生的相关日志才会被允许在 Web 界面上显示。

2. 检查信息中心（Info-center）的日志缓冲区配置

• 在 Web 界面的命令行窗口，或通过 Console/SSH 登录设备。
• 输入命令 display info-center 查看日志中心的配置。
• 确认 logbuffer 的状态是 Enabled。
• 检查输出到 logbuffer 的日志级别。为了能显示 URL 访问、应用审计等常规信息，级别必须不高于 informational（即信息级别，数值为 6）。
• 如果级别过高（如 warning），可以通过命令修改：
  info-center source default logbuffer level informational

3. 确认是否开启了统计与审计功能

• URL 过滤：确认是否开启了 url-filter audit enable（URL 过滤审计）。部分设备的 Web 页面“URL 日志”默认只记录被阻断的访问，开启审计后才能记录所有（包括允许的）访问。
• 应用审计：检查安全策略或应用控制策略中，动作是否配置为“审计”，且审计内容的日志级别是否设置为“信息”或“通知”，而不是“不记录”。

先直接回答你最关心的一点：配置了日志服务器，设备本地仍然会产生日志，只是需要单独配置 “本地记录” 和 “本地输出”，否则 Web 界面看不到。
你现在现象就是：日志只往服务器发，没往本地缓冲区写，所以 Web 安全日志里空的。
下面按 “原因→配置→排查” 讲（H3C 防火墙 F1000/ACG1000 通用）。
一、核心原因（一句话）
功能生效、服务器能收到日志 → 日志生成正常、外发正常
Web 本地看不到 URL 过滤 / 应用审计日志 → 没配置本地输出（logbuffer）或策略没开 log enable
外发日志（syslog）和本地日志是两条独立分支：
远程服务器：由 info-center loghost 控制
Web 本地显示：由 info-center source → logbuffer 控制
两者互不冲突，不是 “发出去就不存本地”。
二、必须检查的 4 个关键点（按顺序）
1）全局日志总开关是否开启
plaintext
display info-center
必须显示：info-center enable
没开就：
plaintext
info-center enable
2）URL 过滤 / 应用审计策略是否开启日志（最常见漏配）
Web：策略 → 安全策略 / URL 过滤 / 应用审计 → 每条策略里勾选 记录日志
CLI：
plaintext
display security-policy rule all | include log enable
对应规则下必须有：
plaintext
log enable
策略不打 log enable → 根本不生成日志，服务器也收不到。
你服务器能收到，说明策略 log enable 大概率是开的，但建议再确认。
3）日志源是否输出到本地缓冲区（决定 Web 能否看到）
这是你现在最可能缺的配置。
即使策略生成日志、发往服务器，不配置下面命令，本地 logbuffer 没有，Web 就空：
plaintext
# URL过滤日志输出到本地
info-center source firewall log URL-FILTER channel logbuffer level info

# 应用审计日志输出到本地
info-center source firewall log APP-AUDIT channel logbuffer level info
查看：
plaintext
display info-center source
没有 URL-FILTER、APP-AUDIT 指向 logbuffer → Web 看不到。
4）本地日志缓冲区是否满、是否被过滤
查看本地缓冲区：
plaintext
display info-center logbuffer | include URL-FILTER
display info-center logbuffer | include APP-AUDIT
能看到日志 → Web 筛选条件错了（时间范围、日志级别、类型）
看不到 → 回到前面 1–3 检查配置
缓冲区满（老日志不轮转）：Web 也会 “卡死不刷新”，可清空：
plaintext
reset info-center logbuffer
三、Web 端正确查看位置（别找错地方）
URL 过滤日志：监控 → 安全日志 → URL 过滤日志
应用审计日志：监控 → 安全日志 → 应用审计日志 / 控制日志
注意：应用审计日志有时在数据中心→日志中心，不在安全日志页。
四、快速恢复配置（直接贴）
plaintext
# 1. 开启全局日志
info-center enable

# 2. 本地输出 URL过滤、应用审计 到缓冲区
info-center source firewall log URL-FILTER channel logbuffer level info
info-center source firewall log APP-AUDIT channel logbuffer level info

# 3. （可选）同时发往日志服务器（你已配置）
info-center loghost x.x.x.x

# 4. 清空缓冲区，立刻看效果
reset info-center logbuffer
五、结论再总结
不是 “推送到服务器就不生成本地日志” → 两者独立。
你现在：策略生成日志 → 发给服务器成功 → 没配置本地 logbuffer 输出 → Web 空。
把上面 info-center source 两条加上，Web 就能看到 URL 过滤 / 应用审计日志。