要让防火墙在命令行中显示策略命中日志,需要两步:先在安全策略中开启日志记录功能,再通过display logbuffer命令查看。
简单来说,Web界面帮你“打开开关”,而命令行则可以查看开关打开后产生的日志记录。
这是最关键的一步,否则系统不会产生任何策略命中日志。
进入系统视图:
进入安全策略视图:
进入你需要开启日志的策略规则视图:
日志开启后,就可以通过以下命令查看了。
查看本地日志缓冲区:
这是最常用的方法,用于查看存储在设备内存中的最新日志。
由于日志量可能很大,建议使用过滤功能来精确定位。例如,使用以下命令过滤出包含“deny”的日志:
或根据具体的规则ID(RuleID)进行过滤:
你也可以通过 display logbuffer | include "源IP" 或 "目的IP" 来查找特定IP的相关日志。
查看设备存储的日志文件:
如果日志已被保存到设备的存储介质中,可以使用以下命令查看:
info-center 必须开启:logging enable 命令产生的日志,需要交给“信息中心”(info-center)模块处理。请确保它已开启:
日志不实时显示在终端:安全策略日志默认不会实时输出到命令行终端。需要通过 display logbuffer 命令手动查看。
拒绝(deny)策略的日志:有时在Web界面可能看不到被拒绝(deny)的日志,但通过命令行的 display logbuffer 通常可以查到。
性能影响:在高流量场景下,开启大量策略的日志记录可能会消耗设备性能,建议仅在排查问题时开启,或配置合理的日志过滤规则。
日志存储:设备本地的日志缓冲区容量有限,可能会被新日志覆盖。对于需要长期保存的日志,建议配置 info-center loghost 命令,将日志发送到远程的Syslog服务器。
配置了logging enabl,info-center也是打开的,在logbuffer里看不到命中记录
配置了logging enabl,info-center也是打开的,在logbuffer里看不到命中记录
SecPath F1000 安全策略命中日志 命令行全套开启配置
一、核心前提:两个必开功能
安全策略开启日志记录(单条策略勾选「记录日志」)
信息中心开启域间策略日志输出,并配置日志缓存 / 本地文件
二、分步完整配置(Comware V7 防火墙通用)
1. 安全策略开启日志(对应 Web 界面策略日志)
Web 操作(你截图界面)
策略编辑 → 勾选 记录日志;
命令行批量配置示例(策略 10)
bash
运行
system-view
security-policy
rule 10 permit source-zone trust destination-zone local service icmp
rule logging enable # 开启本条策略命中日志
不配置 rule logging enable,设备不会生成这条策略的命中日志。
2. 全局开启域间策略日志输出(关键,否则 display log 看不到)
bash
运行
system-view
# 开启信息中心总开关
info-center enable
# 允许安全策略日志输出到本地缓冲区logbuffer
info-center source POLICY channel logbuffer
# 可选:持久化保存到flash文件,重启不丢失
info-center logfile enable
info-center source POLICY channel logfile
POLICY 模块就是域间安全策略日志;
logbuffer = 内存缓存,display logbuffer 查看;
logfile = 硬盘持久日志,display logfile buffer / dir flash:/logfile/ 查看。
3. 日志缓冲区扩容(默认条数少,容易被覆盖)
bash
运行
# 日志缓冲区最大条目,建议调到2048或更大
info-center logbuffer size 2048
三、查看策略命中日志的命令
查看内存实时日志(最常用,对应 Web 页面实时日志)
bash
运行
display logbuffer
# 过滤只看安全策略日志
display logbuffer | include POLICY
查看持久化文件日志(重启后仍存在)
bash
运行
display logfile buffer | include POLICY
# 查看日志文件列表
dir flash:/logfile/
实时持续打印日志(调试实时命中)
bash
运行
terminal monitor
terminal debugging
四、常见排查点(看不到日志的原因)
策略没开 rule logging enable → 无日志生成;
没配置 info-center source POLICY channel logbuffer → 策略日志不写入缓存;
logbuffer 容量太小,日志快速被覆盖;
安全策略是 deny 规则,同样需要开启rule logging enable才会记录拒绝日志;
域间方向、安全域匹配错误,流量没命中这条策略,自然无日志。
五、极简总结
两层开关:①单条安全策略开启 rule logging enable;②全局 info-center source POLICY channel logbuffer;
实时日志:display logbuffer | include POLICY;持久日志:display logfile buffer;
配套开启 info-center enable、扩容 logbuffer 避免日志覆盖。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明