2026-07-07T10:15:51+08:00 131.100.17.253 [info] HDZY-CS01-105Rack %%10SHELL/6/SHELL_CMD: -DevIP=192.168.0.1; -Line=vty1-IPAddr=192.168.14.1.201-User=hdfy; Command is dis arp 192.168.17.2 需要是这个日志
2026-07-07T10:15:51+08:00 131.100.17.253 [info] HDZY-CS01-105Rack %%10SHELL/6/SHELL_CMD_EXECUTESUCCESS: -DevIP=192.168.0.1 -Line=vty1-User=hdfy-IPAddr=1192.168.14.1.201; Command dis arp 192.168.17.2 in view shell succeed to be executed. Result=Success. 这个日志过滤不不发送
只发送用户执行了哪些命令的日志,其它都不要发送
info-center filter-id 1 msg-id SHELL_CMD,没有这个命令,只发送这个,其它的不发送
info-center filter ? STRING<1-8> Filter name info-center filter 1 SHELL level ? alert Action must be taken immediately (severity=1) critical Critical conditions (severity=2) debugging Debug-level messages (severity=7) emergency System is unusable (severity=0) error Error conditions (severity=3) informational Informational messages (severity=6) notification Normal but significant conditions (severity=5) warning Warning conditions (severity=4)
info-center filter ?
STRING<1-8> Filter name
info-center filter 1 SHELL level ?
alert Action must be taken immediately (severity=1)
critical Critical conditions (severity=2)
debugging Debug-level messages (severity=7)
emergency System is unusable (severity=0)
error Error conditions (severity=3)
informational Informational messages (severity=6)
notification Normal but significant conditions (severity=5)
warning Warning conditions (severity=4)
要实现只发送用户执行命令的日志(SHELL/6/SHELL_CMD),而过滤掉执行结果日志(SHELL/6/SHELL_CMD_EXECUTESUCCESS),核心方法是利用 H3C Comware V7 系统的日志抑制功能。
这里有几种配置思路,你可以根据需求选择。
这个方法最直接,通过命令精确地禁止 SHELL_CMD_EXECUTESUCCESS 这条日志发送到日志服务器(loghost),而其他所有日志不受影响。
进入系统视图
配置日志抑制规则
配置后,日志服务器将只收到 SHELL/6/SHELL_CMD 日志,不会再收到 SHELL_CMD_EXECUTESUCCESS 日志。
如果你希望日志服务器只接收 SHELL_CMD 日志,而拒绝该模块的所有其他日志,可以使用 info-center source 命令进行更严格的控制。
首先,关闭 SHELL 模块向 loghost 发送的所有日志
然后,单独允许 SHELL_CMD 这条日志通过
需要注意的是,info-center source 命令基于级别(level) 进行控制,无法精确到具体的助记符。SHELL_CMD 和 SHELL_CMD_EXECUTESUCCESS 的级别都是 6(Informational),因此无法通过此命令将二者区分开。
结论:如果只用 info-center source,无法实现只放行 SHELL_CMD 而过滤 SHELL_CMD_EXECUTESUCCESS 的目标。因此,方案一(日志抑制)是完成此需求更合适的方法。
你可能会看到通过设置日志级别来过滤的方案。例如,只发送级别高于 6 的日志。但请注意:
H3C S10508X-V 仅推送 SHELL_CMD 操作命令日志、屏蔽其他所有 syslog 完整配置
需求说明:
只发送 %%10SHELL/6/SHELL_CMD(用户输入命令原始记录)
过滤掉 SHELL_CMD_EXECUTESUCCESS、硬件告警、端口日志、路由、安全、系统内核等全部其他日志
Comware V7 采用信息中心过滤 + 源模块过滤 + 输出通道绑定三层控制实现精准推送
完整配置命令(直接复制 Console 执行)
plaintext
system-view
# 1. 关闭设备本地缓存以外默认输出,清空原有信息源输出配置
undo info-center source default logbuffer
undo info-center source default console
undo info-center source default monitor
undo info-center source default loghost
# 2. 创建专用信息过滤策略,只放行SHELL模块、SHELL_CMD子类型
info-center filter policy ONLY_SHELL_CMD
# 放行SHELL模块,仅匹配SHELL/6/SHELL_CMD,拒绝SHELL其他子日志
module SHELL include subtype SHELL_CMD
module SHELL exclude
# 全局拒绝所有其他模块日志
module all exclude
quit
# 3. 配置syslog服务器(替换为你的日志服务器IP)
info-center loghost source Vlan-interface 1
info-center loghost 131.100.17.253
# 4. 将过滤策略绑定到日志主机输出通道
info-center source all loghost filter-policy ONLY_SHELL_CMD
# 5. 开启命令行操作日志功能(确保SHELL_CMD日志正常生成)
info-center source SHELL loghost level informational
shell log enable
# 可选:关闭冗余执行成功日志的生成(治本,不再产生SHELL_CMD_EXECUTESUCCESS)
undo shell log execute-record enable
# 6. 校验配置后保存
save force
关键配置解释
shell log enable
开启用户输入命令记录,产生目标日志 SHELL_CMD。
undo shell log execute-record enable
核心过滤治本方案:直接关闭 “命令执行成功” 日志,不再生成 SHELL_CMD_EXECUTESUCCESS,无需额外过滤。
info-center filter policy 过滤逻辑
module SHELL include subtype SHELL_CMD:仅允许登录用户输入命令的原始日志
module SHELL exclude:屏蔽 SHELL 模块下其余所有子日志(执行结果、会话登录登出等)
module all exclude:交换机硬件、端口、STP、路由、ACL、电源风扇、IRF 等全部模块日志禁止发送到 syslog 服务器
验证排查命令
plaintext
# 查看信息过滤策略
display info-center filter policy ONLY_SHELL_CMD
# 查看日志主机输出绑定的过滤策略
display info-center loghost
# 查看SHELL日志开关状态
display shell log
# 实时调试查看本地匹配的日志(测试用)
terminal monitor
terminal debugging
补充说明
若现场需要保留 console/monitor 调试日志,仅远程 syslog 过滤,上述配置不受影响,仅 loghost 通道会被策略限制;
若无法关闭 shell log execute-record(老版本固件不支持该命令),可在过滤策略增加一条屏蔽:
plaintext
info-center filter policy ONLY_SHELL_CMD
module SHELL exclude subtype SHELL_CMD_EXECUTESUCCESS
日志等级统一使用 informational,匹配 %%10SHELL/6/SHELL_CMD 信息级别,不会丢失命令记录。
info-center filter policy 没有这个命令
info-center filter policy 没有这个命令
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
info-center filter ? STRING<1-8> Filter name info-center filter 1 SHELL level ? alert Action must be taken immediately (severity=1) critical Critical conditions (severity=2) debugging Debug-level messages (severity=7) emergency System is unusable (severity=0) error Error conditions (severity=3) informational Informational messages (severity=6) notification Normal but significant conditions (severity=5) warning Warning conditions (severity=4)