• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

10508X-V的syslog日志如何只发送操作命令的日志

5小时前提问
  • 0关注
  • 0收藏,36浏览
粉丝:0人 关注:1人

问题描述:

2026-07-07T10:15:51+08:00 131.100.17.253 [info] HDZY-CS01-105Rack %%10SHELL/6/SHELL_CMD: -DevIP=192.168.0.1; -Line=vty1-IPAddr=192.168.14.1.201-User=hdfy; Command is dis arp 192.168.17.2 需要是这个日志

2026-07-07T10:15:51+08:00 131.100.17.253 [info] HDZY-CS01-105Rack %%10SHELL/6/SHELL_CMD_EXECUTESUCCESS: -DevIP=192.168.0.1  -Line=vty1-User=hdfy-IPAddr=1192.168.14.1.201; Command dis arp 192.168.17.2 in view shell succeed to be executed. Result=Success. 这个日志过滤不不发送

只发送用户执行了哪些命令的日志,其它都不要发送

 

5 个回答
粉丝:12人 关注:9人

要仅发送操作命令相关日志(SHELL模块的SHELL_CMD和SHELL_CMD_EXECUTESUCCESS日志),需通过配置日志过滤规则实现,关键步骤和命令如下:
1. 进入系统视图:
system-view
2. 创建日志过滤规则(仅允许SHELL模块的指定日志):
info-center filter-id 1 module SHELL level 6
info-center filter-id 1 msg-id SHELL_CMD
info-center filter-id 1 msg-id SHELL_CMD_EXECUTESUCCESS
3. 配置日志服务器时关联该过滤规则:
info-center loghost [日志服务器IP] [传输协议,如udp] filter 1
4. 启用日志发送:
info-center enable
说明:SHELL模块的SHELL_CMD(命令执行请求)和SHELL_CMD_EXECUTESUCCESS(命令执行成功)日志级别为6(info),通过filter-id指定仅发送这两类日志到日志服务器,实现需求。

info-center filter ? STRING<1-8> Filter name info-center filter 1 SHELL level ? alert Action must be taken immediately (severity=1) critical Critical conditions (severity=2) debugging Debug-level messages (severity=7) emergency System is unusable (severity=0) error Error conditions (severity=3) informational Informational messages (severity=6) notification Normal but significant conditions (severity=5) warning Warning conditions (severity=4)

zhiliao_H9EnVh 发表时间:4小时前 更多>>

info-center filter-id 1 msg-id SHELL_CMD,没有这个命令,只发送这个,其它的不发送

zhiliao_H9EnVh 发表时间:4小时前

info-center filter ? STRING<1-8> Filter name info-center filter 1 SHELL level ? alert Action must be taken immediately (severity=1) critical Critical conditions (severity=2) debugging Debug-level messages (severity=7) emergency System is unusable (severity=0) error Error conditions (severity=3) informational Informational messages (severity=6) notification Normal but significant conditions (severity=5) warning Warning conditions (severity=4)

zhiliao_H9EnVh 发表时间:4小时前
粉丝:133人 关注:11人

按照等级发送 

zhiliao_H9EnVh 知了小白
粉丝:0人 关注:1人

info-center filter ?
STRING<1-8> Filter name



info-center filter 1 SHELL level ?
alert Action must be taken immediately (severity=1)
critical Critical conditions (severity=2)
debugging Debug-level messages (severity=7)
emergency System is unusable (severity=0)
error Error conditions (severity=3)
informational Informational messages (severity=6)
notification Normal but significant conditions (severity=5)
warning Warning conditions (severity=4)




粉丝:23人 关注:1人

要实现只发送用户执行命令的日志(SHELL/6/SHELL_CMD),而过滤掉执行结果日志(SHELL/6/SHELL_CMD_EXECUTESUCCESS),核心方法是利用 H3C Comware V7 系统的日志抑制功能。

这里有几种配置思路,你可以根据需求选择。

方案一:精准抑制(推荐)

这个方法最直接,通过命令精确地禁止 SHELL_CMD_EXECUTESUCCESS 这条日志发送到日志服务器(loghost),而其他所有日志不受影响

  1. 进入系统视图

    bash
    <H3C> system-view
  2. 配置日志抑制规则

    bash
    [H3C] info-center logging suppress module SHELL mnemonic SHELL_CMD_EXECUTESUCCESS
    • module SHELL:指定要操作的日志模块为 SHELL

    • mnemonic SHELL_CMD_EXECUTESUCCESS:指定要抑制的日志助记符(Mnemonic)为 SHELL_CMD_EXECUTESUCCESS

配置后,日志服务器将只收到 SHELL/6/SHELL_CMD 日志,不会再收到 SHELL_CMD_EXECUTESUCCESS 日志。


方案二:白名单放行(更严格的过滤)

如果你希望日志服务器只接收 SHELL_CMD 日志,而拒绝该模块的所有其他日志,可以使用 info-center source 命令进行更严格的控制

  1. 首先,关闭 SHELL 模块向 loghost 发送的所有日志

    bash
    [H3C] info-center source SHELL loghost deny

    这一步会禁止 SHELL 模块的所有日志发送到日志服务器

  2. 然后,单独允许 SHELL_CMD 这条日志通过
    需要注意的是,info-center source 命令基于级别(level) 进行控制,无法精确到具体的助记符。SHELL_CMD 和 SHELL_CMD_EXECUTESUCCESS 的级别都是 6(Informational),因此无法通过此命令将二者区分开。

    结论:如果只用 info-center source,无法实现只放行 SHELL_CMD 而过滤 SHELL_CMD_EXECUTESUCCESS 的目标。因此,方案一(日志抑制)是完成此需求更合适的方法。


方案三:调整日志级别(不推荐)

你可能会看到通过设置日志级别来过滤的方案。例如,只发送级别高于 6 的日志。但请注意:

  • 此方法无效:因为你提到的这两条日志的级别都是 6(Informational)。通过级别过滤无法将它们分开,要么都发,要么都不发。

粉丝:20人 关注:2人

H3C S10508X-V 仅推送 SHELL_CMD 操作命令日志、屏蔽其他所有 syslog 完整配置
需求说明:
只发送 %%10SHELL/6/SHELL_CMD(用户输入命令原始记录)
过滤掉 SHELL_CMD_EXECUTESUCCESS、硬件告警、端口日志、路由、安全、系统内核等全部其他日志
Comware V7 采用信息中心过滤 + 源模块过滤 + 输出通道绑定三层控制实现精准推送
完整配置命令(直接复制 Console 执行)
plaintext
system-view
# 1. 关闭设备本地缓存以外默认输出,清空原有信息源输出配置
undo info-center source default logbuffer
undo info-center source default console
undo info-center source default monitor
undo info-center source default loghost

# 2. 创建专用信息过滤策略,只放行SHELL模块、SHELL_CMD子类型
info-center filter policy ONLY_SHELL_CMD
# 放行SHELL模块,仅匹配SHELL/6/SHELL_CMD,拒绝SHELL其他子日志
module SHELL include subtype SHELL_CMD
module SHELL exclude
# 全局拒绝所有其他模块日志
module all exclude
quit

# 3. 配置syslog服务器(替换为你的日志服务器IP)
info-center loghost source Vlan-interface 1
info-center loghost 131.100.17.253

# 4. 将过滤策略绑定到日志主机输出通道
info-center source all loghost filter-policy ONLY_SHELL_CMD

# 5. 开启命令行操作日志功能(确保SHELL_CMD日志正常生成)
info-center source SHELL loghost level informational
shell log enable

# 可选:关闭冗余执行成功日志的生成(治本,不再产生SHELL_CMD_EXECUTESUCCESS)
undo shell log execute-record enable

# 6. 校验配置后保存
save force
关键配置解释
shell log enable
开启用户输入命令记录,产生目标日志 SHELL_CMD。
undo shell log execute-record enable
核心过滤治本方案:直接关闭 “命令执行成功” 日志,不再生成 SHELL_CMD_EXECUTESUCCESS,无需额外过滤。
info-center filter policy 过滤逻辑
module SHELL include subtype SHELL_CMD:仅允许登录用户输入命令的原始日志
module SHELL exclude:屏蔽 SHELL 模块下其余所有子日志(执行结果、会话登录登出等)
module all exclude:交换机硬件、端口、STP、路由、ACL、电源风扇、IRF 等全部模块日志禁止发送到 syslog 服务器
验证排查命令
plaintext
# 查看信息过滤策略
display info-center filter policy ONLY_SHELL_CMD

# 查看日志主机输出绑定的过滤策略
display info-center loghost

# 查看SHELL日志开关状态
display shell log

# 实时调试查看本地匹配的日志(测试用)
terminal monitor
terminal debugging
补充说明
若现场需要保留 console/monitor 调试日志,仅远程 syslog 过滤,上述配置不受影响,仅 loghost 通道会被策略限制;
若无法关闭 shell log execute-record(老版本固件不支持该命令),可在过滤策略增加一条屏蔽:
plaintext
info-center filter policy ONLY_SHELL_CMD
module SHELL exclude subtype SHELL_CMD_EXECUTESUCCESS
日志等级统一使用 informational,匹配 %%10SHELL/6/SHELL_CMD 信息级别,不会丢失命令记录。

info-center filter policy 没有这个命令

zhiliao_H9EnVh 发表时间:1小时前 更多>>

info-center filter policy 没有这个命令

zhiliao_H9EnVh 发表时间:1小时前

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明