- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-Flow日誌配置
本章節下載: 07-Flow日誌配置 (264.30 KB)
目 錄
Flow日誌用來記錄NAT會話信息,主要包括用戶訪問網絡的流的5元組信息(源IP地址、目的IP地址、源端口、目的端口、協議號),以及發送和接收的報文統計信息。
Flow日誌有兩種輸出方式:
· 將Flow日誌封裝成UDP報文直接發送給網絡中的日誌主機。日誌主機可以對Flow日誌進行解析和分類顯示,以達到遠程監控的目的。
· 將Flow日誌輸出到本設備的信息中心模塊,再通過設置信息中心的輸出參數,最終決定Flow日誌的輸出方向。關於信息中心的詳細介紹,請參見“設備管理配置指導”中的“信息中心”。
通常情況下,用戶訪問網絡會在短時間內產生大量NAT會話日誌。係統日誌傳輸格式為ASCII碼,相比Flow日誌的二進製格式傳輸效率低。所以,建議在日誌量較小的情況下,使用輸出到信心中心的方式。
Flow日誌根據日誌信息所包含字段多少分為Flow1.0和Flow3.0兩個版本。兩種Flow日誌的內容稍有不同,具體差別請參見表1-1和表1-2。
下表中介紹的字段是設備向日誌主機方向發送的原始信息所包含的字段,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
表1-1 Flow1.0日誌信息包含的字段
|
字段 |
描述 |
|
SrcIP |
NAT轉換前的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/1/1 0:0開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/1/1 0:0開始計算 當Operator字段取值為6時,該字段為0 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
Reserved |
保留 |
表1-2 Flow3.0日誌信息包含的字段
|
字段 |
描述 |
|
Protocol |
IP承載的協議類型 |
|
Operator |
操作字,記錄生成Flow日誌的原因: · 0:保留不用 · 1:正常流結束 · 2:定時器超時老化 · 3:清除配置/配置變動引起的流老化 · 4:資源不足帶來的流老化 · 5:保留不用 · 6:活躍流定期記錄其連接情況 · 7:新的流創建觸發強製刪除原有流 · 8:流創建 · FE:其他 · 10~FE-1:以後擴充用 |
|
IPVersion |
IP報文版本 |
|
TosIPv4 |
IPv4報文的Tos字段 |
|
SourceIP |
NAT轉換前的源IP地址 |
|
SrcNatIP |
NAT轉換後的源IP地址 |
|
DestIP |
NAT轉換前的目的IP地址 |
|
DestNatIP |
NAT轉換後的目的IP地址 |
|
SrcPort |
NAT轉換前的TCP/UDP源端口號 |
|
SrcNatPort |
NAT轉換後的TCP/UDP源端口號 |
|
DestPort |
NAT轉換前的TCP/UDP目的端口號 |
|
DestNatPort |
NAT轉換後的TCP/UDP目的端口號 |
|
StartTime |
流起始時間,以秒為單位,從1970/01/01 00:00開始計算 |
|
EndTime |
流結束時間,以秒為單位,從1970/01/01 00:00開始計算 當Operator字段取值為6時,該字段為0 |
|
InTotalPkg |
接收的報文包數 |
|
InTotalByte |
接收的報文字節數 |
|
OutTotalPkg |
發出的報文包數 |
|
OutTotalByte |
發出的報文字節數 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留 |
|
AppID |
應用協議ID |
|
Reserved3 |
保留 |
(1) 配置Flow日誌輸出方式
請選擇以下一項任務進行配置:
(2) (可選)配置Flow日誌的版本
(3) (可選)配置Flow日誌報文的源地址
(4) (可選)配置Flow日誌的時間戳
(5) (可選)配置Flow日誌的負載分擔
在配置Flow日誌前需要通過nat log enable命令使能NAT日誌功能,並根據用戶需求選擇開啟NAT新建、刪除會話日誌和活躍流日誌功能,關於命令的詳細介紹,請參見“NAT命令參考”中的“NAT”。
· Flow日誌的兩種輸出方式互斥,同一時刻隻能選擇一種輸出方式。如果同時配置了兩種輸出方式,則係統會自動選擇輸出到信息中心,而不會發送到日誌主機。
· Flow日誌輸出至信息中心時,嚴重性等級為informational,即作為設備的一般提示信息。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌輸出到日誌主機。
userlog flow export [ vpn-instance vpn-instance-name ] host { hostname | ipv4-address | ipv6 ipv6-address } port udp-port
缺省情況下,未配置Flow日誌主機的IP地址和UDP端口號。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌輸出到信息中心。
userlog flow syslog
缺省情況下,Flow日誌不輸出到信息中心。
設備支持Flow1.0和Flow3.0兩個版本,但同一時刻隻能使用一個版本。請保證與日誌主機版本一致。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌報文的版本號。
userlog flow export version version-number
缺省情況下,Flow日誌報文的版本號為1.0。
Flow日誌可以使用源地址來唯一標識報文的發送者,以便對Flow日誌進行過濾。指定源地址後,當設備向日誌主機發送Flow日誌時,就使用這個唯一IP地址作為報文的源IP地址。
推薦將Flow日誌報文的源地址配置為設備上Loopback接口的地址,以屏蔽物理接口狀態改變對Flow日誌報文的影響。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌報文的源地址。
userlog flow export source-ip { ipv4-address | ipv6 ipv6-address }
缺省情況下,Flow日誌報文的源地址為發送該報文的出接口IP地址。
Flow日誌支持UTC和本地兩種時間戳,UTC是指標準的格林威治時間,本地是指格林威治時間加上時區偏移的時間。可以使用命令clock timezone來配置需要偏移的時間。關於命令clock timezone的詳細介紹,請參見“設備管理命令參考”中的“設備基本配置”。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌的時間戳使用本地時間。
userlog flow export timestamp localtime
缺省情況下,Flow日誌的時間戳使用UTC時間。
缺省情況下,每一條Flow日誌會複製輸出給所有已配置的Flow日誌主機。
配置了Flow日誌負載分擔功能後,Flow日誌按照會話源IP進行逐流負載分擔,即源IP相同的會話對應的Flow日誌始終發送到特定的一台日誌主機。這樣可以降低用戶日誌發送的壓力,並減少冗餘日誌的處理。
如果配置的日誌主機不可達,Flow日誌仍會進行負載分擔,但負載分擔到不可達的日誌主機的Flow日誌將被丟棄。
(1) 進入係統視圖。
system-view
(2) 配置Flow日誌的負載分擔。
userlog flow export load-balancing
缺省情況下,Flow日誌輸出到所有已配置的日誌主機。
可在任意視圖下執行以下命令,查看輸出到日誌主機的Flow日誌的配置和統計信息。
display userlog export
可在用戶視圖下執行以下命令,清除Flow日誌的統計信息。
reset userlog flow export
如圖1-1所示,用戶通過在設備Device上的配置,從而實現在日誌主機上(Log Host)對用戶User的上網活動進行監控。
圖1-1 Flow日誌輸出到日誌主機配置組網圖
按組網圖所示配置各接口的IP地址,並確保Device與User、Log Host之間路由可達。
# 開啟NAT日誌功能。
<Device> system-view
[Device] nat log enable
# 開啟NAT新建、刪除會話和活躍流的日誌功能。
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 將Flow日誌報文版本號設為3.0。
[Device] userlog flow export version 3
# 將Flow日誌信息發送給Flow日誌主機(地址為1.2.3.6:2000)。
[Device] userlog flow export host 1.2.3.6 port 2000
# 將2.2.2.2配置為承載Flow日誌的UDP報文的源IP地址。
[Device] userlog flow export source-ip 2.2.2.2
[Device] quit
# 查看Flow日誌的配置和統計信息。
<Device> display userlog export
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address: 2.2.2.2
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1
Log host 1:
Host/Port: 1.2.3.6/2000
Total logs/UDP packets exported: 112/87
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
