- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
11-Flow日誌配置
本章節下載: 11-Flow日誌配置 (280.20 KB)
目 錄
Flow日誌用來記錄NAT會話信息,主要包括用戶訪問網絡的流的5元組信息(源IP地址、目的IP地址、源端口、目的端口、協議號),以及發送和接收的報文統計信息。
Flow日誌有兩種輸出方式:
· 將Flow日誌封裝成UDP報文直接發送給網絡中的日誌主機。日誌主機可以對Flow日誌進行解析和分類顯示,以達到遠程監控的目的。
· 將Flow日誌輸出到本設備的信息中心模塊,再通過設置信息中心的輸出參數,最終決定Flow日誌的輸出方向。關於信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
通常情況下,用戶訪問網絡會在短時間內產生大量NAT會話日誌。係統日誌傳輸格式為ASCII碼,相比Flow日誌的二進製格式傳輸效率低。所以,建議在日誌量較小的情況下,使用輸出到信心中心的方式。
Flow日誌根據日誌信息所包含字段多少分為Flow1.0、Flow3.0和Flow5.0三個版本。三種Flow日誌的內容稍有不同,具體差別請參見表1-1、表1-2和1-3。
下表中介紹的字段是設備向日誌主機方向發送的原始信息所包含的字段,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
表1-1 Flow1.0日誌信息包含的字段
|
字段 |
描述 |
|
SrcIP |
NAT轉換前的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/1/1 0:0開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/1/1 0:0開始計算 當Operator字段取值為6時,該字段為0 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
Reserved |
保留 |
表1-2 Flow3.0日誌信息包含的字段
|
字段 |
描述 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
IPVersion |
IP報文版本 |
|
TosIPv4 |
IPv4報文的Tos字段 |
|
SourceIP |
NAT轉換前的源IP地址 |
|
SrcNatIP |
NAT轉換後的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
DestNatIP |
NAT轉換後的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
SrcNatPort |
NAT轉換後的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
DestNatPort |
NAT轉換後的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/01/01 00:00開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/01/01 00:00開始計算 當Operator字段取值為6時,該字段為0 |
|
InTotalPkg |
接收的報文包數 |
|
InTotalByte |
接收的報文字節數 |
|
OutTotalPkg |
發出的報文包數 |
|
OutTotalByte |
發出的報文字節數 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留 |
|
AppID |
應用協議ID |
|
Reserved3 |
保留 |
表1-3 Flow5.0日誌信息包含的字段
|
字段 |
描述 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
IPVersion |
IP報文版本 |
|
TosIPv4 |
IPv4報文的Tos字段 |
|
SourceIP |
NAT轉換前的源IP地址 |
|
SrcNatIP |
NAT轉換後的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
DestNatIP |
NAT轉換後的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
SrcNatPort |
NAT轉換後的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
DestNatPort |
NAT轉換後的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/01/01 00:00開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/01/01 00:00開始計算 當Operator字段取值為6時,該字段為0 |
|
InTotalPkg |
接收的報文包數 |
|
InTotalByte |
接收的報文字節數 |
|
OutTotalPkg |
發出的報文包數 |
|
OutTotalByte |
發出的報文字節數 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
AppID |
應用協議ID |
|
UserName |
用戶名 |
|
Reserved1、2、3 |
保留字段 |
(1) 配置Flow日誌輸出方式
請選擇以下一項任務進行配置:
(2) (可選)配置Flow日誌的版本
(3) (可選)配置Flow日誌報文的源地址
(4) (可選)配置Flow日誌的時間戳
(5) (可選)配置Flow日誌的負載分擔
(6) (可選)配置Flow日誌的主機組
在配置Flow日誌前需要通過nat log enable命令使能NAT日誌功能,並根據用戶需求選擇開啟NAT新建、刪除會話日誌和活躍流日誌功能,關於命令的詳細介紹,請參見“NAT命令參考”中的“NAT”。
· Flow日誌的兩種輸出方式互斥,同一時刻隻能選擇一種輸出方式。如果同時配置了兩種輸出方式,則係統會自動選擇輸出到信息中心,而不會發送到日誌主機。
· Flow日誌輸出至信息中心時,嚴重性等級為informational,即作為設備的一般提示信息。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌輸出到日誌主機。
userlog flow export [ vpn-instance vpn-instance-name ] host { hostname | ipv4-address | ipv6 ipv6-address } port udp-port
缺省情況下,未配置Flow日誌主機的IP地址和UDP端口號。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌輸出到信息中心。
userlog flow syslog
缺省情況下,Flow日誌不輸出到信息中心。
設備支持Flow1.0、Flow3.0和Flow5.0三個版本,但同一時刻隻能使用一個版本。請保證與日誌主機版本一致。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌報文的版本號。
userlog flow export version version-number
缺省情況下,Flow日誌報文的版本號為1.0。
Flow日誌可以使用源地址來唯一標識報文的發送者,以便對Flow日誌進行過濾。指定源地址後,當設備向日誌主機發送Flow日誌時,就使用這個唯一IP地址作為報文的源IP地址。
推薦將Flow日誌報文的源地址配置為設備上Loopback接口的地址,以屏蔽物理接口狀態改變對Flow日誌報文的影響。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌報文的源地址。
userlog flow export source-ip { ipv4-address | ipv6 ipv6-address }
缺省情況下,Flow日誌報文的源地址為發送該報文的出接口IP地址。
Flow日誌支持UTC和本地兩種時間戳,UTC是指標準的格林威治時間,本地是指格林威治時間加上時區偏移的時間。可以使用命令clock timezone來配置需要偏移的時間。關於命令clock timezone的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌的時間戳使用本地時間。
userlog flow export timestamp localtime
缺省情況下,Flow日誌的時間戳使用UTC時間。
缺省情況下,每一條Flow日誌會複製輸出給所有已配置的Flow日誌主機。
配置了Flow日誌負載分擔功能後,Flow日誌按照會話源IP進行逐流負載分擔,即源IP相同的會話對應的Flow日誌始終發送到特定的一台日誌主機。這樣可以降低用戶日誌發送的壓力,並減少冗餘日誌的處理。
如果配置的日誌主機不可達,Flow日誌仍會進行負載分擔,但負載分擔到不可達的日誌主機的Flow日誌將被丟棄。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌的負載分擔。
userlog flow export load-balancing
缺省情況下,Flow日誌輸出到所有已配置的日誌主機。
缺省情況下,每一條Flow日誌會輸出給所有已配置的日誌主機。為了方便用戶從大量日誌中獲取特定日誌信息,同時降低設備發送和處理日誌的壓力,可以通過配置Flow日誌主機組對發往日誌主機的日誌進行過濾。
通過創建Flow日誌主機組,可以將日誌主機劃分成不同的組。每個日誌主機組都對應一個ACL,匹配了ACL規則的Flow日誌會發送到該日誌主機組中所有的日誌主機。與Flow日誌的負載分擔功能同時使用時,日誌會按照會話源IP進行逐流負載分擔,即源IP相同的會話對應的日誌始終發送到日誌主機組中的某一特定日誌主機。
如果Flow日誌匹配了多個日誌主機組,則按照日誌主機組的名稱字母序選擇最先匹配上的日誌主機組。
如果Flow日誌沒有匹配到ACL或者日誌主機組沒有配置日誌主機,則日誌主機組不生效,Flow日誌輸出給所有已配置的日誌主機。
· 配置Flow日誌主機組將要引用的ACL。請合理規劃ACL的規則,使Flow日誌能夠按照需求發送到指定的日誌主機組。
· 通過userlog flow export host命令配置將要加入Flow日誌主機組的日誌主機。
(1) 進入係統視圖。
system-view
(2) 創建IPv4 Flow日誌主機組,並進入IPv4 Flow日誌主機組視圖。
userlog host-group host-group-name acl { name acl-name | number acl-number }
缺省情況下,不存在IPv4 Flow日誌主機組。
(3) 向IPv4 Flow日誌主機組中添加IPv4日誌主機。
userlog host-group [ vpn-instance vpn-instance-name ] host flow { hostname | ipv4-address }
缺省情況下,IPv4 Flow日誌主機組中不存在IPv4日誌主機。
(1) 進入係統視圖。
system-view
(2) 創建IPv6 Flow日誌主機組,並進入IPv6 Flow日誌主機組視圖。
userlog host-group ipv6 host-group-name acl { name acl-name | number acl-number }
缺省情況下,不存在IPv6 Flow日誌主機組。
(3) 向IPv6 Flow日誌主機組中添加IPv6日誌主機。
userlog host-group [ vpn-instance vpn-instance-name ] host flow ipv6 { hostname | ipv6-address }
缺省情況下,IPv6 Flow日誌主機組中不存在IPv6日誌主機
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後Flow日誌的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除Flow日誌信息。
表1-4 Flow日誌顯示和維護
|
操作 |
命令 |
|
查看日誌的配置和統計信息 |
display userlog export |
|
查看Flow日誌主機組的配置信息 |
display userlog host-group [ ipv6 ] [ host-group-name ] |
|
清除Flow日誌的統計信息 |
reset userlog flow export |
用戶通過在設備Device上配置Flow日誌功能,實現在日誌主機上(Log Host)對用戶User的上網活動進行監控。
圖1-1 Flow日誌配置組網圖
# 配置接口IP地址、路由、安全域及域間策略從而保證網絡路由可達,具體配置步驟略。
# 開啟NAT日誌功能。
<Device> system-view
[Device] nat log enable
# 開啟NAT新建、刪除會話和活躍流的日誌功能。
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 將Flow日誌報文版本號設為3.0。
[Device] userlog flow export version 3
# 將Flow日誌信息發送給Flow日誌主機(地址為1.2.3.6:2000)。
[Device] userlog flow export host 1.2.3.6 port 2000
# 將2.2.2.2配置為承載Flow日誌的UDP報文的源IP地址。
[Device] userlog flow export source-ip 2.2.2.2
# 查看Flow日誌的配置和統計信息。
[Device] display userlog export
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address: 2.2.2.2
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1
Log host 1:
Host/Port: 1.2.3.6/2000
Total logs/UDP packets exported: 112/87
用戶通過在設備Device上配置會話Flow日誌功能,實現將內網用戶User訪問網絡產生的會話日誌信息發送至日誌服務器,便於網絡管理員進行跟蹤和分析用戶訪問網絡的情況。
圖1-2 會話Flow日誌配置組網圖
# 配置接口IP地址、路由、安全域及域間策略從而保證網絡路由可達,具體配置步驟略。
# 開啟會話日誌功能。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] session log enable ipv4 inbound
# 開啟新建會話、刪除會話的日誌功能。
[Device] session log flow-begin
[Device] session log flow-end
# 將Flow日誌報文版本號設為3.0。
[Device] userlog flow export version 3
# 將Flow日誌信息發送給Flow日誌主機(地址為1.2.3.6:2000)。
[Device] userlog flow export host 1.2.3.6 port 2000
# 將2.2.2.2配置為承載Flow日誌的UDP報文的源IP地址。
[Device] userlog flow export source-ip 2.2.2.2
# 查看Flow日誌的配置和統計信息。
[Device] display userlog export
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address: 2.2.2.2
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1
Log host 1:
Host/Port: 1.2.3.6/2000
Total logs/UDP packets exported: 112/87
通過在設備Device上配置Flow日誌主機組功能,實現僅在日誌主機Log Host1上對用戶User的上網活動進行監控。
圖1-3 Flow日誌主機組配置組網圖
# 配置接口IP地址、路由、安全域及域間策略從而保證網絡路由可達,具體配置步驟略。
# 開啟NAT日誌功能。
<Device> system-view
[Device] nat log enable
# 開啟NAT新建、刪除會話和活躍流的日誌功能。
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 配置Flow日誌輸出到日誌主機。
[Device] userlog flow export host 1.1.1.2 port 2000
[Device] userlog flow export host 2.2.2.2 port 2000
# 將3.3.3.3配置為承載Flow日誌的UDP報文的源IP地址。
[Device] userlog flow export source-ip 3.3.3.3
# 配置用於匹配日誌信息的ACL,匹配源IP為169.1.1.2的報文。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule 1 permit source 169.1.1.2 0.0.0.0
[Device-acl-ipv4-basic-2000] quit
# 創建IPv4 Flow日誌主機組並添加日誌主機。
[Device] userlog host-group test acl number 2000
[Device-userlog-host-group-test] userlog host-group host flow 1.1.1.2
[Device-userlog-host-group-test] quit
# 查看Flow日誌主機組的配置信息。
[Device] display userlog host-group test
Userlog host-group test:
ACL number: 2000
Flow log host numbers: 1
Log host 1:
Host/port: 1.1.1.2/2000
# 用戶User上網之後,查看Flow日誌的統計信息。
[Device] display userlog export
Flow:
Export flow log as UDP Packet.
Version: 1.0
Source ipv4 address: 3.3.3.3
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 2
Log host 1:
Host/Port: 1.1.1.2/2000
Total logs/UDP packets exported: 13/13
Log host 2:
Host/Port: 2.2.2.2/2000
Total logs/UDP packets exported: 0/0
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
