• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙 策略命中 日志

1天前提问
  • 0关注
  • 0收藏,67浏览
327688 四段
粉丝:0人 关注:1人

问题描述:

防火web界面的安全策略命中日志,在设备本身命令行需要开启什么才能够显示,或者在display log能看到?

组网及组网描述:

4 个回答
粉丝:12人 关注:9人

要在H3C防火墙命令行查看安全策略命中日志,需完成以下配置:
1. 开启安全策略日志功能:

security-policy ip
rule name
action permit
logging enable # 开启该策略的日志记录

2. 配置日志输出到设备本地缓存:

info-center source security channel logbuffer log level informational # 允许安全模块日志进入logbuffer,级别至少informational

3. 查看日志:

display logbuffer # 查看本地缓存日志,可过滤策略命中日志
display security-policy hitcount # 查看策略命中次数(非日志,但直观反映命中情况)

注:若需日志持久化,可配置info-center将日志输出到文件或远程日志服务器。

粉丝:25人 关注:1人

要让防火墙在命令行中显示策略命中日志,需要两步:先在安全策略中开启日志记录功能,再通过display logbuffer命令查看

简单来说,Web界面帮你“打开开关”,而命令行则可以查看开关打开后产生的日志记录。

⚙️ 第一步:在安全策略中开启日志功能

这是最关键的一步,否则系统不会产生任何策略命中日志。

  1. 进入系统视图

    bash
    <H3C> system-view
  2. 进入安全策略视图

    bash
    [H3C] security-policy ip
  3. 进入你需要开启日志的策略规则视图

    bash
    [H3C-security-policy-ip] rule name <你的规则名称>
  4. 开启该策略的日志记录功能

    bash
    [H3C-security-policy-ip-<id>-<name>] logging enable

    注意:此命令的缺省状态是关闭的。执行后,设备会对所有匹配该规则的报文生成日志。

🔍 第二步:通过命令行查看日志

日志开启后,就可以通过以下命令查看了。

  • 查看本地日志缓冲区
    这是最常用的方法,用于查看存储在设备内存中的最新日志。

    bash
    <H3C> display logbuffer

    由于日志量可能很大,建议使用过滤功能来精确定位。例如,使用以下命令过滤出包含“deny”的日志:

    bash
    <H3C> display logbuffer | include deny

    或根据具体的规则ID(RuleID)进行过滤:

    bash
    <H3C> display logbuffer | include RuleID=xxx

    你也可以通过 display logbuffer | include "源IP" 或 "目的IP" 来查找特定IP的相关日志。

  • 查看设备存储的日志文件
    如果日志已被保存到设备的存储介质中,可以使用以下命令查看:

    bash
    <H3C> more logfile/logfile.log

⚠️ 重要注意事项

  • info-center 必须开启logging enable 命令产生的日志,需要交给“信息中心”(info-center)模块处理。请确保它已开启:

    bash
    [H3C] info-center enable

    此命令通常是默认开启的

  • 日志不实时显示在终端:安全策略日志默认不会实时输出到命令行终端。需要通过 display logbuffer 命令手动查看

  • 拒绝(deny)策略的日志:有时在Web界面可能看不到被拒绝(deny)的日志,但通过命令行的 display logbuffer 通常可以查到。

  • 性能影响:在高流量场景下,开启大量策略的日志记录可能会消耗设备性能,建议仅在排查问题时开启,或配置合理的日志过滤规则。

  • 日志存储:设备本地的日志缓冲区容量有限,可能会被新日志覆盖。对于需要长期保存的日志,建议配置 info-center loghost 命令,将日志发送到远程的Syslog服务器

配置了logging enabl,info-center也是打开的,在logbuffer里看不到命中记录

327688 发表时间:1天前 更多>>

配置了logging enabl,info-center也是打开的,在logbuffer里看不到命中记录

327688 发表时间:1天前
粉丝:23人 关注:2人

SecPath F1000 安全策略命中日志 命令行全套开启配置
一、核心前提:两个必开功能
安全策略开启日志记录(单条策略勾选「记录日志」)
信息中心开启域间策略日志输出,并配置日志缓存 / 本地文件
二、分步完整配置(Comware V7 防火墙通用)
1. 安全策略开启日志(对应 Web 界面策略日志)
Web 操作(你截图界面)
策略编辑 → 勾选 记录日志;
命令行批量配置示例(策略 10)
bash
运行
system-view
security-policy
rule 10 permit source-zone trust destination-zone local service icmp
rule logging enable # 开启本条策略命中日志

不配置 rule logging enable,设备不会生成这条策略的命中日志。
2. 全局开启域间策略日志输出(关键,否则 display log 看不到)
bash
运行
system-view
# 开启信息中心总开关
info-center enable

# 允许安全策略日志输出到本地缓冲区logbuffer
info-center source POLICY channel logbuffer

# 可选:持久化保存到flash文件,重启不丢失
info-center logfile enable
info-center source POLICY channel logfile

POLICY 模块就是域间安全策略日志;
logbuffer = 内存缓存,display logbuffer 查看;
logfile = 硬盘持久日志,display logfile buffer / dir flash:/logfile/ 查看。
3. 日志缓冲区扩容(默认条数少,容易被覆盖)
bash
运行
# 日志缓冲区最大条目,建议调到2048或更大
info-center logbuffer size 2048

三、查看策略命中日志的命令
查看内存实时日志(最常用,对应 Web 页面实时日志)
bash
运行
display logbuffer
# 过滤只看安全策略日志
display logbuffer | include POLICY

查看持久化文件日志(重启后仍存在)
bash
运行
display logfile buffer | include POLICY
# 查看日志文件列表
dir flash:/logfile/

实时持续打印日志(调试实时命中)
bash
运行
terminal monitor
terminal debugging

四、常见排查点(看不到日志的原因)
策略没开 rule logging enable → 无日志生成;
没配置 info-center source POLICY channel logbuffer → 策略日志不写入缓存;
logbuffer 容量太小,日志快速被覆盖;
安全策略是 deny 规则,同样需要开启rule logging enable才会记录拒绝日志;
域间方向、安全域匹配错误,流量没命中这条策略,自然无日志。
五、极简总结
两层开关:①单条安全策略开启 rule logging enable;②全局 info-center source POLICY channel logbuffer;
实时日志:display logbuffer | include POLICY;持久日志:display logfile buffer;
配套开启 info-center enable、扩容 logbuffer 避免日志覆盖。

粉丝:133人 关注:11人

dis log看不了,看下安全策略日志

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明