- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-日誌設置基本配置
本章節下載: 06-日誌設置基本配置 (371.90 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 係統日誌
¡ 流日誌
¡ 快速日誌
¡ 郵件服務器
¡ 存儲空間設置
¡ 日誌等級
· 配置指南
¡ 係統日誌
¡ 流日誌
¡ 快速日誌
¡ 郵件服務器
¡ 存儲空間設置
日誌信息是設備記錄的對報文處理的相關信息。網絡管理員利用這些信息即可以有效監控網絡運行情況和診斷網絡故障;也可以實時跟蹤、記錄、分析用戶訪問網絡的情況,審計用戶的上網行為。設備支持輸出日誌的方式包括:係統日誌、流日誌、快速日誌。
係統日誌傳輸格式為ASCII碼,其通過設備的信息中心進行統一收集、管理和輸出。設備發送係統日誌信息的方向包括:控製台(console)、監視終端(monitor)、日誌緩衝區(logbuffer)、日誌主機(loghost)和日誌文件(logfile)。
設備根據報文的5元組(源IP地址、目的IP地址、源端口、目的端口、協議號)對用戶訪問網絡的流進行分類統計,並生成流日誌。流日誌目前主要用來記錄用戶訪問網絡所產生的NAT會話相關信息,包括5元組信息和發送、接收的字節數等。管理員利用這些信息可以實時跟蹤、記錄、分析用戶訪問網絡的情況。
流日誌根據日誌信息所包含字段多少分為1.0、3.0和5.0三個版本。三種流日誌的內容稍有不同,具體差別請參見表-1、表-2和表-3。
下表中介紹的字段是設備向日誌主機方向發送的原始信息所包含的字段,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
表-1 1.0版本流日誌包含的字段
|
字段 |
描述 |
|
SrcIP |
NAT轉換前的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/1/1 0:0開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/1/1 0:0開始計算 當Operator字段取值為6時,該字段為0 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
Reserved |
保留 |
表-2 3.0版本流日誌包含的字段
|
字段 |
描述 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
IPVersion |
IP報文版本 |
|
TosIPv4 |
IPv4報文的Tos字段 |
|
SourceIP |
NAT轉換前的源IP地址 |
|
SrcNatIP |
NAT轉換後的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
DestNatIP |
NAT轉換後的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
SrcNatPort |
NAT轉換後的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
DestNatPort |
NAT轉換後的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/01/01 00:00開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/01/01 00:00開始計算 當Operator字段取值為6時,該字段為0 |
|
InTotalPkg |
接收的報文包數 |
|
InTotalByte |
接收的報文字節數 |
|
OutTotalPkg |
發出的報文包數 |
|
OutTotalByte |
發出的報文字節數 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留字段 |
|
AppID |
應用協議ID |
|
Reserved3 |
保留字段 |
表-3 5.0版本流日誌包含的字段
|
字段 |
描述 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
IPVersion |
IP報文版本 |
|
TosIPv4 |
IPv4報文的Tos字段 |
|
SourceIP |
NAT轉換前的源IP地址 |
|
SrcNatIP |
NAT轉換後的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
DestNatIP |
NAT轉換後的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
SrcNatPort |
NAT轉換後的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
DestNatPort |
NAT轉換後的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/01/01 00:00開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/01/01 00:00開始計算 當Operator字段取值為6時,該字段為0 |
|
InTotalPkg |
接收的報文包數 |
|
InTotalByte |
接收的報文字節數 |
|
OutTotalPkg |
發出的報文包數 |
|
OutTotalByte |
發出的報文字節數 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
AppID |
應用協議ID |
|
UserName |
用戶名 |
|
Reserved1、2、3 |
保留字段 |
快速日誌輸出功能用於快速地將用戶關心的日誌發往日誌主機。配置該功能後,業務模塊生成的日誌通過快速輸出通道直接發送給日誌主機,不經過信息中心模塊處理。相比通過信息中心輸出,該方式可以節省係統資源,更快捷。
將郵件服務器的相關參數配置完成後,可以通過郵件將日誌信息發送給接收人。
存儲空間用於保存流量業務以及DPI相關業務(包含審計業務、威脅業務、URL過濾業務和文件過濾業務)的日誌數據。
通過設置存儲空間,管理員可分別對各業務日誌信息的數據保存周期、存儲上限以及上限處理動作進行管理。
存儲空間支持的存儲設備類型包括:硬盤、U盤和內存。各業務的曆史數據優先保存在硬盤中,當硬盤不在位時保存在U盤中,當U盤也不在位時才會保存在內存中。
其中,U盤的支持情況與設備型號有關,請以設備的實際情況為準。
存儲空間設置的支持情況與設備型號有關,請以設備實際情況為準。
存儲空間中僅保存數據保存周期內的數據,當某類業務的數據保存時間超過設置的數據保存周期時,設備會根據上限處理動作對該業務的數據進行處理。
設備為各業務占用的存儲空間提供了設置上限功能。當某類業務所占的存儲空間超過其設置的上限時,設備將根據上限處理動作對該業務的數據進行處理。管理員可根據實際業務情況,對各業務的存儲上限進行設置。
當存儲空間中某類業務的曆史數據超過數據保存周期,或者達到存儲上限時,設備將根據該業務配置的上限處理動作對數據進行處理。
設備支持以下兩種上限處理動作:
· 刪除:設備將刪除保存時間最長的數據以便保存最新的數據,並發送日誌信息。刪除日誌信息時,設備將按天刪除,且不可刪除當天的日誌信息。
· 提示:設備不對曆史數據進行刪除,也不保存新數據,僅發送日誌信息提示用戶。管理員可在“監控 > 設備日誌 > 係統日誌”頁麵中查看日誌信息。
日誌信息按嚴重性可劃分為如表-4所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。在係統輸出信息時,所有信息等級高於或等於配置等級的信息都會被輸出。例如,輸出規則中指定允許等級為6(informational)的信息輸出,則等級0~6的信息均會被輸出。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化,存儲卡拔出等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping操作的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
設備支持通過係統日誌、流日誌和快速日誌方式將某些業務模塊的日誌發送給日誌主機,這些日誌發送方式按優先級從高到低的順序依次為:快速日誌 > 流日誌 > 係統日誌。對於同一業務模塊,如果用戶配置了高優先級的輸出方式,則不再采用其他方式輸出。
1. 單擊“係統 > 日誌設置 > 基本配置”,進入“基本配置”頁麵。
2. 在“基本配置”頁麵,選擇“係統日誌”頁簽。
3. 配置係統日誌的基本信息。
表-5 係統日誌的基本信息配置
|
參數 |
說明 |
|
將係統日誌輸出到日誌緩衝區 |
配置此功能後,設備會將業務模塊生成的日誌保存到日誌緩衝區。其中,設備會為一些業務模塊(例如會話、攻擊防禦等)創建單獨的日誌緩衝區,用來分別存儲這些業務模塊的日誌,其它業務模塊的日誌會統一存儲到通用日誌緩衝區中 |
|
日誌緩衝區上限 |
日誌緩衝區可存儲的信息條數,當存儲的日誌達到容量限製時,係統會直接使用最新日誌覆蓋最早生成的日誌,此處設置的為通用日誌緩衝區的上限 |
4. 單擊<應用>按鈕,完成係統日誌的基本信息配置。
5. 單擊<新建>按鈕,配置係統日誌主機。
表-6 係統日誌主機配置
|
參數 |
說明 |
|
日誌主機 |
支持IP地址和主機名 |
|
端口號 |
日誌主機接收係統日誌信息的端口號 |
|
VRF |
日誌主機所屬的VPN實例 |
6. 單擊<確定>按鈕,新建的係統日誌主機會在“係統日誌”頁麵顯示。
1. 單擊“係統 > 日誌設置 > 基本配置”,進入“基本配置”頁麵。
2. 在“基本配置”頁麵,選擇“流日誌”頁簽。
3. 配置流日誌的基本信息。
表-7 流日誌的基本信息配置
|
參數 |
說明 |
|
日誌版本 |
選擇流日誌的版本,包括: · 1.0 · 3.0 · 5.0 請根據日誌接收設備的實際能力配置流日誌的版本 |
|
開啟日誌負載分擔 |
缺省情況下,每一條流日誌會輸出給所有已配置的流日誌主機 開啟此功能後,流日誌按照日誌信息的源IP地址進行逐流負載分擔,即源IP地址相同的會話對應的流日誌始終發送到特定的一台流日誌主機。這樣可以降低用戶日誌發送的壓力,並減少冗餘日誌的處理 在開啟此功能時請注意,如果配置的流日誌主機不可達,流日誌仍會進行負載分擔,但負載分擔到不可達的流日誌主機的流日誌將被丟棄 |
|
日誌信息的源IP地址 |
缺省情況下,流日誌信息的源IP地址為發送該報文的出接口IP地址 流日誌使用源地址來唯一標識報文的發送者,以便對流日誌進行過濾。配置日誌信息的源IP地址後,當設備向流日誌主機發送流日誌時,就使用這個唯一IP地址作為報文的源IP地址 推薦將流日誌報文的源IP地址配置為設備上Loopback接口的地址,以屏蔽某個物理接口狀態改變對流日誌報文的影響 |
4. 單擊<應用>按鈕,完成流日誌的基本信息配置。
5. 單擊<新建>按鈕,配置流日誌主機。
表-8 流日誌主機配置
|
參數 |
說明 |
|
日誌主機 |
支持IP地址和主機名 |
|
端口號 |
日誌主機接收流日誌信息的端口號 |
|
VRF |
日誌主機所屬的VPN實例 |
6. 單擊<確定>按鈕,新建的流日誌主機會在“流日誌”頁麵顯示。
1. 單擊“係統 > 日誌設置 > 基本配置”,進入“基本配置”頁麵。
2. 在“基本配置”頁麵,選擇“快速日誌”頁簽。
3. 配置快速日誌的基本信息。
表-9 快速日誌的基本信息配置
4. 單擊<應用>按鈕,完成快速日誌的基本信息配置。
5. 單擊<新建>按鈕,配置快速日誌主機。
表-10 快速日誌主機配置
|
參數 |
說明 |
|
日誌主機 |
支持IP地址和主機名 |
|
端口號 |
日誌主機接收快速日誌信息的端口號 |
|
VRF |
日誌主機所屬的VPN實例 |
|
會話日誌 |
允許設備向指定的快速日誌主機發送會話日誌 |
|
NAT日誌 |
允許設備向指定的快速日誌主機發送NAT日誌。NAT日誌包括NAT會話日誌和NAT444用戶日誌,其中每一種NAT日誌均支持中國聯通、中國電信和中國移動三種輸出格式。 |
|
AFT日誌 |
允許設備向指定的快速日誌主機發送AFT日誌,目前僅支持AFT端口塊日誌 |
|
應用審計日誌 |
允許設備向指定的快速日誌主機發送應用審計日誌 |
|
URL過濾日誌 |
允許設備向指定的快速日誌主機發送URL過濾日誌 |
|
攻擊防範日誌 |
允許設備向指定的快速日誌主機發送攻擊防範日誌 |
|
負載均衡日誌 |
允許設備向指定的快速日誌主機發送負載均衡日誌 |
|
IP信譽日誌 |
允許設備向指定的快速日誌主機發送IP信譽日誌 |
|
共享上網日誌 |
允許設備向指定的快速日誌主機發送共享上網日誌 |
|
安全策略日誌 |
允許設備向指定的快速日誌主機發送安全策略日誌 |
|
心跳日誌 |
允許設備向指定的快速日誌主機發送心跳日誌 |
|
入侵防禦日誌 |
允許設備向指定的快速日誌主機發送入侵防禦日誌 |
|
帶寬管理日誌 |
允許設備向指定的快速日誌主機發送帶寬管理日誌 |
|
防病毒日誌 |
允許設備向指定的快速日誌主機發送防病毒日誌 |
|
Web應用防護日誌 |
允許設備向指定的快速日誌主機發送Web應用防護日誌 |
6. 單擊<確定>按鈕,新建的快速日誌主機會在“快速日誌”頁麵顯示。
1. 單擊“係統 > 日誌設置 > 基本配置”,進入“基本配置”頁麵。
2. 在“基本配置”頁麵,選擇“郵件服務器”頁簽。
3. 配置郵件服務器信息。
表-11 郵件服務器信息配置
|
參數 |
說明 |
|
郵件服務器地址 |
支持IP地址和主機名 |
|
發件人地址 |
配置發送郵件的人的地址 |
|
收件人地址 |
配置郵件接收人的地址。可以配多個收件人地址,之間用分號隔開 |
|
DNS服務器IP地址 |
配置DNS服務器的IP地址,用於DNS解析 |
|
身份驗證 |
當郵件服務器需要登錄用戶進行身份驗證時需要開啟此功能 |
|
安全傳輸用戶信息 |
配置此功能後,先在設備與郵件服務器之間創建一條安全通道,然後再在此通道中傳輸登錄郵件服務器的用戶信息 |
|
用戶名 |
配置登錄郵件服務器的用戶名 |
|
密碼 |
配置登錄郵件服務器的密碼 |
4. 單擊<應用>按鈕,完成郵件服務器信息配置。
1. 單擊“係統 > 日誌設置 > 基本配置”,進入“基本配置”頁麵。
2. 在“基本配置”頁麵,選擇“存儲空間設置”頁簽。
3. 進入“存儲空間設置”頁麵,具體配置內容如下:
表-12 存儲空間設置參數表
|
參數 |
說明 |
|
業務 |
流量業務和DPI相關業務。其中,DPI相關業務包含如下幾種: · 審計業務 · 威脅業務(包括入侵防禦業務和防病毒業務) · URL過濾業務 · 文件過濾業務 |
|
數據保存周期 |
各業務曆史數據能夠保存的最長時間 |
|
存儲上限 |
各業務在存儲空間中能夠占用的最大空間 |
|
上限處理動作 |
當存儲空間中某類業務的曆史數據超過其數據保存周期,或者達到其存儲上限時,設備對該類業務曆史數據執行的處理動作 |
4. 單擊<應用>按鈕,進入“修改項”頁麵,確認修改內容。
5. 單擊<應用>按鈕,完成存儲空間的配置。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
