F1000 流量日志和安全策略日志区别

 底层逻辑与记录范围对比

 为什么“安全日志有记录，流量日志无记录”？

1. 策略动作为“拒绝 (Deny)”的流量
   这是最常见的原因。如果你在安全策略中配置了拒绝规则并开启了日志记录，防火墙会生成安全策略日志。但由于该流量被直接丢弃，没有成功建立完整的 NAT 会话，因此不会产生流量日志（Flow Log）。
2. 未触发 NAT 转换的流量
   流量日志的核心作用是记录 NAT 会话信息（如 NAT 转换前后的 IP 和端口）。如果某些内部流量（如同网段互访）没有经过 NAT 处理，即使它们命中了开启日志的安全策略，也通常不会生成流量日志。
3. 未开启流量日志功能的流量
   流量日志需要在设备上单独开启（如 userlog flow syslog 或配置 Flow 日志外发）。如果某些特定域或特定策略下的流量未被纳入流量日志的统计范围，就不会有记录。

一、底层运行原理（F1000 V7 版本设备）
1、流量日志（会话日志）：依托整条 TCP/UDP 访问会话生成记录
生成节点：
会话新建时生成起始日志；会话结束、链路断开、条目老化删除时生成结束日志（附带收发数据大小、数据包数量、地址转换前后地址端口、对应策略编号）；数据包被拦截无法建立会话时，直接生成拦截日志。
核心特点：以五元组会话为统计单位，一次完整访问最多生成两条日志，拦截数据包单独生成一条日志；附带地址转换、流量统计、区域、进出接口等完整信息。
2、安全策略日志（规则日志）：按单个数据包匹配规则生成记录，需在对应安全规则内开启日志功能
生成节点：任意数据包匹配对应规则，单个报文即生成单条记录，不受会话条目约束。
核心特点：以单包为统计单位，一次 TCP 握手会生成多条记录，长期持续访问会重复批量生成日志；仅记录源目地址、端口、协议、规则编号和处理动作，不含地址转换、流量大小、会话起止时间相关内容。
产品设计说明：流量日志基本涵盖安全策略日志所需信息，同时开启两类日志会造成日志数据翻倍，占用存储空间与传输带宽，常规部署仅启用流量日志即可。
二、安全日志有记录、流量日志缺失的常见原因
数据包通过安全策略放行后，被入侵防护、网址管控等功能拦截。数据包匹配规则生成安全日志，但无法建立完整会话，不会产出流量日志。
数据包分片传输：首个分片建立会话产生流量日志，后续分片无完整五元组，仅匹配规则生成安全日志，不再新增流量日志。
ICMP 类短报文：单次请求应答为独立报文，每条报文匹配规则生成安全日志，无长效会话，极少生成或不生成流量结束日志。
设备会话资源满载：数据包放行生成安全日志后，会话条目因资源不足被系统快速回收，来不及生成流量日志。
两类日志传输队列不同：流量日志走高速传输通道，策略日志走常规日志通道，网络短暂拥堵时高速通道更容易丢包，出现日志收录不一致。
二层控制报文：部分链路管控报文匹配安全规则生成日志，不经过三层会话转发流程，无流量日志产出。
三、两类日志字段区别
安全策略日志独有：单数据包命中规则的实时记录；
流量日志独有：地址转换信息、收发总数据量、会话起止时间、进出安全域与接口信息。
四、双日志同时启用优化配置（减少日志缺失）
plaintext
#开启全类型会话日志
session log enable all
#配置高速通道转发流量日志
fast-log output syslog destination 日志服务器IP port 514 source 接口IP
#策略日志统一接入高速传输通道，共用队列
info-center source RULE logchannel fast-log
#扩容本地日志缓存
info-center buffer-size xxx
五、故障排查查询指令
plaintext
#查看全量日志生成收发统计
display info-center statistics
#查看高速日志通道收发数据
display fast-log statistics
#查看会话日志整体统计数据
display session log statistics
排查结论：设备本地已经生成日志、服务器接收不到，排查中间网络设备是否限制 514 端口报文；设备本地无对应日志，报文属于上述异常场景导致。