- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-信息中心配置
本章節下載: 01-信息中心配置 (475.88 KB)
信息中心是設備的信息樞紐,它接收各模塊生成的日誌信息,能夠按模塊和等級將收到的日誌信息輸出到控製台、監視終端、日誌主機等方向,為管理員監控設備運行情況和診斷網絡故障提供了有力的支持。
係統產生的日誌信息共分為:
· 普通日誌:用於記錄日常信息。除特殊說明外,下文中的日誌均指普通日誌。
· 診斷日誌:用於記錄調試信息。
· 安全日誌:用於記錄與認證、授權等安全相關的信息。
· 隱藏日誌:用於記錄需要以日誌的方式記錄下來但不需要在終端上顯示的信息(如用戶通過命令行輸入命令的記錄信息等)。
· 調試跟蹤日誌:用於記錄係統跟蹤調試信息,調試跟蹤日誌信息,必須加載devkit包後才可以查看,普通用戶無需關注,主要提供給服務工程師定位問題。
日誌信息按嚴重性可劃分為如表1-1所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。在係統輸出信息時,所有信息等級高於或等於配置等級的信息都會被輸出。例如,輸出規則中指定允許等級為6(informational)的信息輸出,則等級0~6的信息均會被輸出。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
係統可以向以下方向發送日誌信息:控製台(console)、監視終端(monitor)、日誌緩衝區(logbuffer)、日誌主機(loghost)和日誌文件(logfile)。日誌信息的各個輸出方向相互獨立,可在開啟信息中心後分別進行配置,同一日誌可同時輸出到多個方向。
日誌信息的輸出規則規定了各個輸出方向可以輸出的日誌信息模塊和輸出的日誌信息等級,日誌信息的輸出方向包括控製台、監視終端、日誌主機、日誌緩衝區和日誌文件。各個輸出方向的缺省情況如表1-2所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
控製台 |
所有支持的模塊 |
開 |
debugging |
|
監視終端 |
所有支持的模塊 |
關 |
debugging |
|
日誌主機 |
所有支持的模塊 |
開 |
informational |
|
日誌緩衝區 |
所有支持的模塊 |
開 |
informational |
|
日誌文件 |
所有支持的模塊 |
開 |
informational |
診斷日誌信息的輸出方向隻有診斷日誌文件。診斷日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-3所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
診斷日誌文件 |
所有支持的模塊 |
開 |
debugging |
安全日誌信息的輸出方向隻有安全日誌文件。安全日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-4所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
安全日誌文件 |
所有支持的模塊 |
關 |
debugging |
隱藏日誌信息的輸出方向包括日誌主機、日誌緩衝區和日誌文件。各個輸出方向的缺省情況如表1-5所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
日誌主機 |
所有支持的模塊 |
開 |
informational |
|
日誌緩衝區 |
所有支持的模塊 |
開 |
informational |
|
日誌文件 |
所有支持的模塊 |
開 |
informational |
調試跟蹤日誌信息的輸出方向隻有調試跟蹤日誌文件。調試跟蹤日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-6所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
調試跟蹤日誌文件 |
所有支持的模塊 |
開 |
debugging |
根據輸出方向不同,日誌信息的輸出格式如下:
表1-7 日誌信息格式表
|
輸出方向 |
格式 |
舉例 |
|
|
控製台、監視終端、日誌緩衝區或日誌文件 |
|||
|
日誌主機 |
非定製格式 |
||
|
cmcc格式 |
|||
|
sgcc格式 |
|||
|
unicom格式 |
|||
上表中介紹的格式是設備向各個輸出方向發送的原始信息的格式,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
· Prefix(信息類型)
對於輸出方向為控製台、監視終端、日誌緩衝區或日誌文件的日誌信息,時間戳前麵會有一個信息類型標識符:
¡ 百分號(%):表示該日誌信息為informational級別及以上級別的log日誌。
¡ 星號(*):表示該日誌信息為debugging級別的log日誌。
¡ 指數符號(^):表示該日誌信息為診斷日誌(不區分級別)。
· PRI(優先級)
對於輸出方向為日誌主機的日誌信息,時間戳前麵會有一個優先級標識符。優先級的計算公式為:facility*8+level。
¡ facility表示工具名稱,由info-center loghost命令配置,主要用於在日誌主機端標誌不同的日誌來源,查找、過濾對應日誌源的日誌。其中,local0~local7分別對應取值16~23。
¡ level表示日誌信息的等級,具體含義請參見表1-1。
· Timestamp(時間戳)
時間戳記錄了日誌信息產生的時間,方便用戶查看和定位係統事件。發送到日誌主機和發送到其它方向的日誌信息的時間戳精度不同:
¡ 發送到日誌主機的日誌信息的時間戳缺省精確到秒,可配置成精確到毫秒。
¡ 發送到其它方向的日誌信息的時間戳精確到毫秒。
發送到日誌主機和發送到其它方向的日誌信息的時間戳的配置命令也不同:
¡ 發送到日誌主機的日誌信息的時間戳格式由info-center timestamp loghost命令配置。
¡ 發送到其它方向的日誌信息的時間戳格式由info-center timestamp命令配置。
各時間戳格式的詳細描述如表1-8所示:
|
時間戳參數 |
說明 |
舉例 |
|
boot |
係統啟動後經曆的時間(即設備本次運行的持續時間),格式為:xxx.yyy,其中xxx是係統啟動後經曆時間的毫秒數高32位,yyy是低32位 除日誌主機方向外,發往其它方向的日誌信息均支持該參數 |
其中0.109391473即為boot格式的時間戳 |
|
date |
係統當前的日期和時間,格式為: · 日誌主機(不帶毫秒):“mmm dd hh:mm:ss yyyy” · 日誌主機(帶毫秒):“mmm dd hh:mm:ss.ms yyyy” · 其他方向:“MMM DD hh:mm:ss:ms YYYY” 發往所有方向的日誌信息均支持該參數 |
其中May 30 05:36:29:579 2018為發往控製台方向的date格式的時間戳 |
|
iso |
ISO 8601中規定的時間戳格式,可通過配置選擇是否精確到毫秒 隻有發往日誌主機方向的日誌信息支持該參數 |
其中2018-05-30T06:42:44為iso格式的時間戳 對於iso格式的時間戳,加毫秒後,形如:2018-05-30T06:42:44.708 |
|
none |
不帶時間信息 發往所有方向的日誌信息均支持該參數 |
其中沒有包含時間戳 |
|
no-year-date |
係統當前日期和時間,但不包含年份信息,格式為“MMM DD hh:mm:ss:ms” 隻有發往日誌主機方向的日誌信息支持該參數 |
其中May 30 06:44:22為no-year-date格式的時間戳 |
· Hostip(出接口IP地址)
本字段表示發送的日誌信息的源IP地址。隻有配置info-center loghost source後,此字段才顯示為出接口的IP地址,未配置時,使用Sysname顯示。隻有使用unicom格式發往日誌主機時,日誌信息中才包含該字段。
· Serial_number(設備序列號)
主設備的序列號。主設備的序列號可通過display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
隻有使用unicom格式發往日誌主機時,日誌信息才包含該字段。
· Sysname(主機名或主機IP地址)
本字段為生成該日誌信息的設備的名稱或IP地址。用戶可使用sysname命令修改設備的名稱。
· %%(廠家標誌)
本字段表示本日誌信息由H3C設備生成。
隻有發往日誌主機時,日誌信息中才包含該字段。
· vv(版本信息)
本字段為日誌信息的版本標識,取值為10。
隻有發往日誌主機時,日誌信息中才包含該字段。
· Module(模塊名)
本字段為生成該日誌信息的功能模塊的名稱。模塊列表可以通過在係統視圖下輸入命令info-center source ?進行查看。
· Level(信息等級)
本字段為日誌信息的等級,具體說明請參見表1-1。
· Mnemonic(助記符)
本字段為該日誌信息的概述,是一個不超過32個字符的字符串。
· Location(定位信息)
本字段為可選字段,用來標識該日誌的產生者。隻有使用非定製格式或者cmcc格式發往日誌主機的日誌中攜帶該字段。可能包含以下參數:
¡ -DevIp=XXX.XXX.XXX.XXX,表示日誌發送者的源IP。
¡ -Slot=XX,表示生成該日誌的IRF的成員設備編號。
¡ -SN=XX,主設備的序列號。隻有開啟攜帶SN功能後才會攜帶該字段。主設備的序列號可通過display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· Devtype
設備類型。隻有在使用sgcc格式發往日誌主機時,日誌信息中才包含該字段。
· Content(信息文本)
本字段為該日誌信息的具體內容。
大部分日誌的Content字段為一個或多個句子,例如“VTY logged in from 192.168.1.21.”;部分日誌專用於記錄參數的取值,其Content字段的形式為“關鍵信息1;關鍵信息2;……關鍵信息n.”,關鍵信息的格式可能為:
¡ 關鍵字(關鍵字序號)=數值
¡ 關鍵字(關鍵字序號)=(文本序號)文字描述
其中,序號是設備出廠時約定的參數,用於供日誌主機軟件(例如安全管理係統)準確、高效地解析關鍵信息中的內容。
¡ 關鍵字序號用來代表其前麵的關鍵字
¡ 文本序號用來代表其後麵的文字描述
例如:streamAlarmType(1032)=(42)Too fast speed of TCP session to destination IP,其中1032就是streamAlarmType的代號,42就是Too fast speed of TCP session to destination IP的代號。
普通日誌配置任務如下:
(1) 開啟信息中心功能
(2) 將日誌信息輸出到指定方向
請至少選擇其中一項進行配置:
(3) (可選)配置日誌信息的最短保存時間
(4) (可選)配置命令行輸入回顯功能
(5) (可選)配置日誌信息的字符集編碼
(6) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
(7) (可選)將係統日誌封裝成告警信息發送
隱藏日誌配置任務如下:
(1) 開啟信息中心功能
(2) 將日誌信息輸出到指定方向
請至少選擇其中一項進行配置:
(3) (可選)配置日誌信息的最短保存時間
(4) (可選)配置重複日誌抑製功能
安全日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)配置重複日誌抑製功能
(3) 配置安全日誌功能
¡ 保存安全日誌
¡ 管理安全日誌文件
診斷日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)配置重複日誌抑製功能
調試跟蹤日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)配置重複日誌抑製功能
(3) 配置調試跟蹤日誌文件的大小
開啟信息中心功能後,信息中心模塊才能處理各業務模塊生成的日誌,用戶才能看到設備生成的日誌。
(1) 進入係統視圖。
system-view
(2) 開啟信息中心功能。
info-center enable
缺省情況下,信息中心處於開啟狀態。
terminal monitor、terminal debugging、terminal logging命令隻對當前連接有效。當終端與設備重新建立連接後,這些命令會恢複到缺省情況。
(1) 進入係統視圖。
system-view
info-center source { module-name | default } console { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,信息的時間戳輸出格式為date格式。
(4) 退回到用戶視圖。
quit
(5) 允許日誌信息輸出到當前終端。
terminal monitor
缺省情況下,不允許日誌信息輸出到監視終端。
(6) 允許調試信息輸出到當前終端。
terminal debugging
缺省情況下,不允許調試信息輸出到當前終端。
調試信息指的是打開業務模塊的調試信息開關後,業務模塊生成的debugging級別的日誌信息。
(7) 配置當前終端允許輸出的日誌信息的最低級別。
terminal logging level severity
缺省情況下,監視終端顯示的日誌信息最低等級為6(informational)。
監視終端是指以VTY類型用戶線登錄的用戶終端。
terminal monitor、terminal debugging、terminal logging命令隻對當前連接有效。當終端與設備重新建立連接後,這些命令會恢複到缺省情況。
(1) 進入係統視圖。
system-view
info-center source { module-name | default } monitor { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,信息的時間戳輸出格式為date格式。
(4) 退回到用戶視圖。
quit
(5) 允許日誌信息輸出到當前終端。
terminal monitor
缺省情況下,不允許日誌信息輸出到監視終端。
(6) 允許調試信息輸出到當前終端。
terminal debugging
缺省情況下,不允許調試信息輸出到當前終端。
調試信息指的是打開業務模塊的調試信息開關後,業務模塊生成的debugging級別的日誌信息。
(7) 配置當前終端允許輸出的日誌信息的最低級別。
terminal logging level severity
缺省情況下,監視終端顯示的日誌信息最低等級為6(informational)。
設備支持通過以下功能將某些業務模塊的日誌發送給日誌主機,這些功能按優先級從高到低的順序依次為:
(1) 快速日誌輸出
(2) Flow日誌
(3) 信息中心
對於同一業務模塊,如果用戶配置了高優先級的輸出方式,則不再采用其他方式輸出。哪些業務模塊的日誌支持快速日誌輸出,以及快速日誌輸出詳細介紹請參見“網絡管理和監控配置指導”中的“快速日誌輸出”;哪些業務模塊的日誌支持通過Flow日誌輸出,以及Flow日誌的詳細介紹請參見“網絡管理和監控配置指導”中的“Flow日誌”。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息發送到日誌主機時的輸出規則。請選擇其中一項進行配置。
¡ 創建日誌輸出規則。
info-center filter filter-name { module-name | default } { deny | level severity }
缺省情況下,未為日誌主機配置日誌信息輸出規則。
多次執行本命令可以創建多個輸出規則,將輸出規則和日誌主機綁定,可以為不同的日誌主機指定不同的輸出規則。
¡ 配置日誌信息的輸出規則。
info-center source { module-name | default } loghost { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
本命令配置的輸出規則對所有日誌主機生效。如果日誌主機沒有綁定info-center filter命令配置的輸出規則,則使用info-center source命令配置的輸出規則。
(3) (可選)配置發送日誌信息時使用的源IP地址。
info-center loghost source interface-type interface-number
缺省情況下,使用出接口的主IP地址作為發送的日誌信息的源IP地址。
(4) (可選)配置發往日誌主機的日誌信息的輸出格式。
info-center format { cmcc | sgcc | unicom }
缺省情況下,發往日誌主機的日誌信息的格式為非定製格式。
(5) (可選)配置發往日誌主機的定位信息中攜帶設備序列號。
info-center loghost locate-info with-sn
缺省情況下,發往日誌主機的日誌定位信息中不攜帶設備序列號。
(6) (可選)配置發送的日誌信息的時間戳格式。
info-center timestamp loghost { date [ with-milliseconds ] | iso [ with-milliseconds ] | no-year-date | none }
缺省情況下,發往日誌主機的日誌信息的時間戳輸出格式為date格式。
(7) 配置日誌主機及相關參數。
info-center loghost [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ facility local-number | filter filter-name | format { cmcc | default | sgcc | unicom } | port port-number | source-ip source-ip-address ] *
缺省情況下,未配置日誌主機及相關參數。
port-number參數的值需要和日誌主機側的配置一致,否則,日誌主機接收不到日誌信息。
本命令中指定的日誌格式優先級高於info-center format命令的配置;本命令中指定的源IP地址優先級高於info-center loghost source命令的配置。
配置本功能後,設備會將業務模塊生成的日誌保存到日誌緩衝區中以便隨時查看。日誌緩衝區按業務模塊支持情況分為獨立模塊日誌緩衝區和通用日誌緩衝區,其關係如圖1-1所示。
· 獨立模塊日誌緩衝區
獨立模塊日誌緩衝區用於存儲單個業務模塊生成的日誌。
部分業務模塊(例如會話、攻擊防禦等)以及部分業務模塊的子模塊生成的日誌較多,或者比較重要,為方便用戶查看日誌,也為了避免這些業務模塊、子模塊的日誌和其它業務模塊的日誌互相影響,設備支持獨立模塊日誌緩衝區。一個業務模塊、子模塊對應一個獨立的日誌緩衝區。允許日誌信息輸出到日誌緩衝區後,這些特定的業務模塊、子模塊就會將其生成的日誌輸出到各自對應的獨立日誌緩衝區中保存。
哪些業務模塊、子模塊支持獨立模塊日誌緩衝區由設備出廠決定,在任意視圖下執行display logbuffer module ?命令,通過幫助信息可獲得業務模塊的取值;在任意視圖下執行display logbuffer module module-name submodule ?命令,通過幫助信息可獲得子模塊的取值。特定業務模塊的日誌請使用帶module參數的display logbuffer命令查看;特定子模塊的日誌請使用帶module和submodule參數的display logbuffer命令查看。
· 通用日誌緩衝區
除了輸出到獨立日誌緩衝區的業務模塊和子模塊,其它業務模塊以及係統生成的日誌會統一輸出到通用日誌緩衝區。
通用日誌緩衝區的日誌請使用不帶module參數的display logbuffer命令查看。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息發送到日誌緩衝區時的輸出規則。
info-center source { module-name | default } logbuffer { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,日誌信息的時間戳輸出格式為date格式。
(4) 允許日誌信息輸出到日誌緩衝區。
info-center logbuffer
缺省情況下,允許日誌輸出到日誌緩衝區。
(5) (可選)配置獨立模塊日誌緩衝區的容量。
info-center logbuffer module module-name size buffersize
缺省情況下,獨立模塊日誌緩衝區可存儲512條信息。
(6) (可選)配置通用日誌緩衝區的容量。
info-center logbuffer size buffersize
缺省情況下,通用日誌緩衝區可存儲512條信息。
通過使用本特性,用戶可以將係統產生的日誌信息保存到設備的日誌文件中以便隨時查看。日誌文件按業務模塊支持情況分為獨立模塊日誌文件和通用日誌文件兩大類。
· 獨立模塊日誌文件
獨立模塊日誌文件用於存儲單個業務模塊生成的日誌。
部分業務模塊(例如會話、攻擊防禦等)生成的日誌較多,或者比較重要,為方便用戶管理和利用日誌,也為了避免這些業務模塊的日誌和其它業務模塊的日誌互相影響,設備支持獨立日誌文件功能。開啟日誌文件功能後,這些特定的業務模塊就會將本模塊生成的日誌輸出到獨立的日誌文件中保存,一個業務模塊對應一個獨立日誌文件。獨立模塊日誌文件以模塊名和“.log”後綴為文件名,形如:session.log。
哪些業務模塊、子模塊支持獨立模塊日誌文件由設備出廠決定,可在係統視圖下執行info-center logfile module ?命令,通過幫助信息可獲得業務模塊的取值。要查看這些業務模塊的日誌,可在用戶視圖下執行more命令查看對應獨立模塊日誌文件的內容。
· 通用日誌文件
通用日誌文件用於存儲除獨立存儲日誌的業務模塊外的其它業務模塊以及係統生成的日誌。通用日誌文件的名稱為logfile.log。
獨立模塊日誌在保存到獨立模塊日誌文件前,先保存在獨立模塊日誌文件緩衝區;通用日誌在保存到通用日誌文件前,先保存在通用日誌文件緩衝區。出現以下情況時,係統會將獨立模塊日誌文件緩衝區的內容保存到獨立模塊日誌文件,通用日誌文件緩衝區的內容保存到通用日誌文件,成功保存後,日誌文件緩衝區裏的內容會被清空:
· 按用戶配置的周期自動保存。
· 用戶手工觸發立即保存。
· 日誌文件緩衝區寫滿後觸發保存。
設備在有日誌存儲需要時,會自動生成對應的日誌文件。日誌文件有容量限製:
· 當日誌文件的大小達到最大值,且日誌文件寫滿保護功能處於開啟狀態,設備停止將通用日誌文件緩衝區的新日誌保存到通用日誌文件。
· 當存儲介質的存儲空間不足或者存儲介質有存儲空間但日誌文件的大小達到最大值,且日誌文件寫滿保護功能處於關閉狀態,係統會使用最新日誌覆蓋最舊日誌。
· 當尚未生成日誌文件,且存儲介質的剩餘空間不足時,設備不會將新生成的日誌存儲到日誌文件。請定期清理存儲介質的存儲空間,以免影響日誌文件功能。
· 建議及時備份日誌文件,以免重要日誌被覆蓋或丟失。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息保存到日誌文件時的輸出規則。
info-center source { module-name | default } logfile { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) 開啟日誌文件功能。
info-center logfile enable
缺省情況下,允許日誌信息輸出到日誌文件。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
(4) (可選)配置單個獨立模塊日誌文件最大能占用的存儲空間的大小。
info-center logfile module module-name size-quota size
缺省情況下,單個通用日誌文件可使用的存儲空間的最大值為10MB,指定模塊的單個日誌文件可使用的存儲空間的最大值為1MB。
(5) (可選)配置模塊日誌文件使用率的告警門限。
info-center logfile module module-name alarm-threshold usage
缺省情況下,模塊日誌文件使用率的告警門限是80。即當模塊日誌文件使用率達到80%時,係統會提醒用戶。
將usage配置為0時,表示關閉模塊日誌文件使用率告警功能。
(6) (可選)配置存儲日誌文件的目錄。
info-center logfile directory dir-name
缺省情況下,存放日誌文件的目錄為設備缺省文件係統根目錄下的logfile文件夾。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
該命令會在IRF重啟或主從設備倒換後失效。
(7) 將日誌文件緩衝區中的內容保存到日誌文件。至少選擇其中一項進行配置。
¡ 配置自動將日誌文件緩衝區中的內容保存到日誌文件。
info-center logfile frequency freq-sec
缺省情況下,設備自動保存日誌文件的頻率為86400秒。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
¡ 在任意視圖下執行以下命令,手動立即將日誌文件緩衝區中的內容保存到日誌文件。
logfile save
本命令對獨立模塊日誌文件和通用日誌文件都生效。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息保存到日誌文件時的輸出規則。
info-center source { module-name | default } logfile { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) 開啟日誌文件功能。
info-center logfile enable
缺省情況下,允許日誌信息輸出到日誌文件。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
(4) (可選)配置單個日誌文件最大能占用的存儲空間的大小。
info-center logfile size-quota size
缺省情況下,單個通用日誌文件可使用的存儲空間的最大值為10MB,指定模塊的單個日誌文件可使用的存儲空間的最大值為1MB。
(5) (可選)配置存儲日誌文件的目錄。
info-center logfile directory dir-name
缺省情況下,存放日誌文件的目錄為設備缺省文件係統根目錄下的logfile文件夾。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
該命令會在IRF重啟或主從設備倒換後失效。
(6) 將日誌文件緩衝區中的內容保存到日誌文件。至少選擇其中一項進行配置。
¡ 配置自動將日誌文件緩衝區中的內容保存到日誌文件。
info-center logfile frequency freq-sec
缺省情況下,設備自動保存日誌文件的頻率為86400秒。
本命令對獨立模塊日誌文件和通用日誌文件都生效。
¡ 在任意視圖下執行以下命令,手動立即將日誌文件緩衝區中的內容保存到日誌文件。
logfile save
本命令對獨立模塊日誌文件和通用日誌文件都生效。
使用本特性可以確保重要日誌在指定時間內不被新的日誌覆蓋。
允許日誌輸出到日誌緩衝區和日誌文件後,獨立模塊日誌會被保存在獨立模塊日誌緩衝區和獨立模塊日誌文件中,通用日誌(非獨立輸出的日誌)會被保存在通用日誌緩衝區和通用日誌文件中。但日誌緩衝區和日誌文件均有容量限製,當存儲的日誌達到容量限製時,係統會直接使用最新日誌覆蓋最早生成的日誌。配置日誌信息的最短保存時間後,係統在覆蓋日誌前,會檢查該日誌在係統中存在的時間(根據日誌生成時間和當前係統時間計算):
· 如果日誌存在時間小於等於最短保存時間,則不刪除該日誌,新日誌保存失敗;
· 如果日誌存在時間大於最短保存時間,則使用最新的日誌覆蓋本條日誌。
(1) 進入係統視圖。
system-view
(2) 配置獨立模塊日誌信息的最短保存時間。
info-center syslog module module-name min-age min-age
缺省情況下,未配置日誌信息的最短保存時間。
(1) 進入係統視圖。
system-view
(2) 配置通用日誌信息的最短保存時間。
info-center syslog min-age min-age
缺省情況下,未配置日誌信息的最短保存時間。
當用戶進行命令行、參數或者Y/N確認信息輸入時,如果被大量的日誌信息打斷,用戶可能記不清已經輸入了哪些字符串,還需要輸入哪些字符串。使用命令行輸入回顯功能,能夠協助用戶配置。係統會在日誌信息輸出完畢後回顯用戶已有的輸入或者Y/N確認信息,以便用戶繼續執行配置。
(1) 進入係統視圖。
system-view
(2) 開啟命令行輸入回顯功能。
info-center synchronous
缺省情況下,命令行輸入回顯功能處於關閉狀態。
信息中心發送日誌信息時,支持使用GB18030或UTF-8作為字符集編碼,缺省為GB18030。設備使用的日誌信息的字符集編碼必須和用戶登錄終端使用的字符集編碼相同,否則,當設備往登錄軟件發送的信息中包含中文字符時,可能會出現中文字符在登錄軟件上顯示為亂碼的情況。
(1) 進入係統視圖。
system-view
(2) 配置信息中心使用UTF-8編碼方式輸出日誌。
info-center syslog utf-8 enable
缺省情況下,業務模塊每生成一條日誌,信息中心會對應輸出一條日誌。如果業務模塊連續生成的兩條日誌中模塊名、信息等級、日誌助記符、定位信息和信息文本字段的取值完全相同,則信息中心認為第二條日誌為第一條日誌的重複日誌。
有些場景下,例如設備受到了ARP攻擊、路由鏈路故障等,業務模塊在短時間內會產生大量重複日誌,記錄和傳輸這些重複日誌會浪費設備資源和網絡資源,並可能導致有用的日誌被淹沒、被覆蓋,不利於設備的維護。為了避免此問題,可開啟重複日誌抑製功能。
開啟重複日誌抑製功能後,業務模塊每產生一條新日誌,信息中心會輸出該日誌,並啟動重複日誌抑製定時器。抑製分階段,不同階段對應的抑製定時器時長不同,第一階段的抑製時長為30秒、第二階段的抑製時長為2分鍾、第三及後續階段的抑製時長均為10分鍾,直到這次抑製流程結束。
· 在任一抑製階段內,如果信息中心連續收到某條日誌的重複日誌,則信息中心不再逐條輸出重複日誌,而是等抑製時間到達時,生成一條彙總日誌來供用戶查閱,並進入下一個抑製階段。彙總日誌包含本階段抑製的日誌的內容和條數。
· 在任一抑製階段內,如果信息中心收到其它新日誌,則信息中心會進行以下處理:
¡ 結束對當前日誌的抑製,並立即生成一條彙總日誌來供用戶查閱,彙總日誌包含本階段抑製的日誌的內容和條數。
¡ 輸出新日誌,並針對新日誌進入重複日誌抑製第一階段。
· 在任一抑製階段,如果整個階段內信息中心均未收到任何業務模塊的日誌,則刪除重複日誌抑製定時器,結束對當前日誌的抑製,且不輸出任何日誌。
(1) 進入係統視圖。
system-view
(2) 開啟重複日誌抑製功能。
info-center logging suppress duplicates
缺省情況下,重複日誌抑製功能處於關閉狀態。
下麵以SHELL_CMD日誌為例,來描述重複日誌抑製效果。已知用戶在設備上成功執行一條命令行時,SHELL模塊會生成SHELL_CMD日誌來記錄用戶執行的命令行,信息中心將SHELL_CMD日誌封裝後,輸出到日誌緩衝區。
(1) 為驗證第一、二、三、四階段(對應的時長分別為30秒、2分鍾、10分鍾、10分鍾)的抑製效果,在25分鍾內,重複執行命令行display logbuffer,(實驗室環境,期間無其它日誌生成),在日誌緩衝區可看到如下日誌。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
以上日誌表明:
¡ 新日誌為SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer。
¡ (第一階段)在最近30秒內,信息中心抑製了2次重複日誌。
¡ (第二階段)在最近2分鍾內,信息中心抑製了5次重複日誌。
¡ (第三階段)在最近10分鍾內,信息中心抑製了10次重複日誌。
¡ (第四階段)在最近10分鍾內,信息中心抑製了6次重複日誌。
(2) 為驗證在抑製時長內,抑製動作被新日誌打斷的效果,在25分鍾後,連續執行3次命令行display logbuffer後,再執行命令行display interface brief。信息中心會退出對日誌“SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer”的抑製,輸出新日誌,並開始對新日誌的抑製。在日誌緩衝區可看到如下日誌。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
%Jul 20 13:24:56:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 3 times in last 1 minute 6 seconds.
%Jul 20 13:25:41:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display interface brief.
<Sysname>
當係統日誌較多時,對於用戶不關心的日誌,可禁止指定模塊日誌的輸出,或者禁止指定模塊特定助記符的日誌輸出。
(1) 進入係統視圖。
system-view
(2) 禁止指定模塊日誌的輸出。
info-center logging suppress module module-name mnemonic { all | mnemonic-value }
缺省情況下,未禁止指定模塊日誌的輸出。
缺省情況下,設備的所有接口在接口狀態改變時都會生成Link up/Link down的日誌信息。為了方便管理,用戶可以根據實際情況禁止某些接口生成接口Link up/Link down的日誌信息:
· 用戶隻關心某個或某些接口的狀態時,可以使用該功能禁止其它接口生成Link up/Link down日誌信息。
· 某個接口的狀態因不穩定而頻繁地改變,生成大量的Link up/Link down日誌信息時,可以使用該功能禁止該接口生成Link up/Link down日誌信息。
使用本特性後,如果接口狀態改變,將不再生成接口Link up/Link down的日誌信息。這樣可能會影響用戶監控接口狀態,所以在一般情況下建議采用缺省配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 禁止接口生成Link up/Link down日誌信息。
undo enable log updown
缺省情況下,允許所有接口在狀態發生改變時生成接口Link up和Link down的日誌信息。
設備在處理某些安全業務時會產生大量的安全業務日誌並發送至信息中心,此時會導致信息中心的負擔過大。可以通過配置抑製安全業務日誌輸出功能,減少同一時刻發往日誌中心的安全業務日誌總數。配置本功能後,當日誌信息發送速率超過本功能配置的閾值時,超出閾值的日誌信息將被丟棄,管理員需要根據實際情況進行合理配置。
本功能支持的安全業務包括:AFT、ASPF、數據過濾、文件過濾、URL過濾、NAT、會話、防病毒、審計、IPS、共享上網、服務器外聯防護和ATK。
(1) 進入係統視圖。
system-view
(2) 配置安全業務日誌信息的發送速率限製。
security syslog rate-limit max-value
缺省情況下,每秒允許的日誌信息發送速率最大值為1000。
使用本特性後,設備除了根據輸出規則將日誌輸出到各方向外,還會將日誌信息封裝成告警信息,發送到SNMP模塊和日誌告警緩衝區。
· 發送到SNMP模塊後,是否輸出到目的主機,以Trap還是Inform形式發送,由SNMP模塊的配置決定,關於告警信息以及SNMP配置的詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP”。
· 發送到日誌告警緩衝區後,用戶可通過“日誌告警緩衝區對應的MIB節點”來直接讀取日誌信息封裝成的告警信息。用戶還可通過info-center syslog trap buffersize命令來配置日誌告警緩衝區的大小。
(1) 進入係統視圖。
system-view
(2) 將係統日誌封裝成告警信息發送。
snmp-agent trap enable syslog
缺省情況下,係統日誌不會封裝成告警信息發送。
(3) 配置日誌告警緩衝區的大小。
info-center syslog trap buffersize buffersize
缺省情況下,日誌告警緩衝區的大小為1024條。
查看係統日誌是了解設備狀態、定位和排除網絡問題的一個重要方法,而在係統日誌中與設備安全相關的安全日誌顯得尤為重要。但通常情況下,安全日誌與其它日誌一同輸出,經常被淹沒在大量的係統日誌中,很難識別、不便於查看。針對這個問題,係統提供了安全日誌同步保存功能。安全日誌同步保存功能的配置和安全日誌文件的管理相互分離,安全日誌文件實行專人專管。
開啟安全日誌同步保存功能後,係統將安全日誌進行集中處理:當生成的日誌信息中有安全日誌,在不影響日誌信息現有輸出規則的前提下,係統會將安全日誌信息同步保存到專用的安全日誌文件。這樣既實現了安全日誌的集中管理,又有利於用戶隨時快捷地查看安全日誌,了解設備狀態。
安全日誌會先被輸出到安全日誌文件緩衝區(security-logfile buffer),係統會按照配置中指定的頻率將安全日誌文件緩衝區的內容寫入安全日誌文件(安全日誌管理員也可以手工觸發保存)。當安全日誌文件緩衝區裏的內容成功保存到安全日誌文件後,安全日誌文件緩衝區會被立即清空。係統隻支持單個安全日誌文件。
安全日誌文件寫滿並收到新的安全日誌時,新安全日誌會覆蓋安全日誌文件中的舊安全日誌。為了防止安全日誌的丟失,用戶可以配置安全日誌文件使用率告警上限。當達到上限時,係統會輸出日誌信息提醒用戶,此時,用戶可以使用安全日誌管理員身份登錄設備,將安全日誌文件進行備份,以防止重要曆史數據丟失。
(1) 進入係統視圖。
system-view
(2) 開啟安全日誌同步保存功能。
info-center security-logfile enable
缺省情況下,安全日誌同步保存功能處於關閉狀態。
(3) 配置設備自動保存安全日誌文件的頻率。
info-center security-logfile frequency freq-sec
(4) (可選)配置單個安全日誌文件最大能占用的存儲空間的大小。
info-center security-logfile size-quota size
缺省情況下,單個安全日誌文件可使用的存儲空間的最大值為10MB。
(5) (可選)配置安全日誌文件使用率的告警上限。
info-center security-logfile alarm-threshold usage
缺省情況下,安全日誌文件使用率的告警門限是80。即當安全日誌文件使用率達到80%時,係統會發出日誌提醒用戶。
隻有具有安全日誌管理員角色的用戶登錄設備後,才能管理完全日誌文件。安全日誌管理員的相關配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 修改存儲安全日誌文件的路徑。
info-center security-logfile directory dir-name
缺省情況下,存儲安全日誌文件路徑為存儲設備根目錄下的seclog文件夾。
該命令會在IRF重啟或主從設備倒換後失效。
(3) 在任意視圖下執行以下命令,手動將安全日誌文件緩衝區中的內容全部保存到安全日誌文件。
security-logfile save
(4) (可選)在任意視圖下執行以下命令,顯示安全日誌文件的概要信息。
display security-logfile summary
通過使用本特性,用戶可以將係統產生的診斷日誌信息保存到設備的診斷日誌文件中以便隨時查看。
診斷日誌在保存到診斷日誌文件前,先保存在診斷日誌文件緩衝區。係統會按照指定的頻率將診斷日誌文件緩衝區的內容寫入診斷日誌文件,用戶也可以手工觸發立即保存。成功保存後,保存前的診斷日誌文件緩衝區裏的內容會被清空。
診斷日誌文件有容量限製,當診斷日誌文件的大小達到最大值時,係統會使用最新日誌覆蓋最舊日誌。
(1) 進入係統視圖。
system-view
(2) 開啟診斷日誌保存功能。
info-center diagnostic-logfile enable
缺省情況下,診斷日誌同步保存功能處於開啟狀態。
(3) (可選)配置單個診斷日誌文件最大可占用的存儲空間的大小。
info-center diagnostic-logfile quota size
缺省情況下,單個診斷日誌文件可使用的存儲空間的最大值為10MB。
(4) (可選)配置存儲診斷日誌文件的目錄。
info-center diagnostic-logfile directory dir-name
缺省情況下,存儲診斷日誌文件路徑為設備缺省文件係統根目錄下的diagfile文件夾。
該命令會在IRF重啟或Master和Slave倒換後失效。
(5) 將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
¡ 配置自動保存的頻率將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
info-center diagnostic-logfile frequency freq-sec
¡ 在任意視圖下執行以下命令,手動將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
diagnostic-logfile save
設備在調試過程中,會產生大量的調試跟蹤日誌。如果調試跟蹤日誌文件存儲空間太小,可能會導致日誌被很快覆蓋,不利於定位問題。使用本特性,可以用來配置調試跟蹤日誌文件最大能占用的存儲空間的大小。係統隻支持單個跟蹤調試日誌文件。
(1) 進入係統視圖。
system-view
(2) 配置調試跟蹤日誌文件最大可占用的存儲空間的大小。
info-center trace-logfile quota size
缺省情況下,調試跟蹤日誌文件最大可占用的存儲空間的大小為1MB。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後信息中心的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset logbuffer命令可以將日誌緩衝區的統計信息清除。
|
操作 |
命令 |
|
顯示設備或登錄軟件當前使用的字符集編碼 |
display character-set [ terminal ] |
|
顯示診斷日誌文件的配置 |
display diagnostic-logfile summary |
|
顯示各個輸出方向的信息 |
display info-center |
|
顯示用戶創建的日誌輸出規則的相關信息 |
display info-center filter [ filtername ] |
|
顯示日誌信息的輸出規則 |
display info-center source [ module module-name ] |
|
顯示日誌緩衝區的狀態和日誌緩衝區記錄的日誌信息 |
display logbuffer [ module module-name [ submodule submodule-name ] ] [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ last-mins mins ] |
|
顯示日誌緩衝區的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * |
|
顯示日誌文件的配置 |
display logfile summary |
|
顯示安全日誌文件的概要信息(隻有安全日誌管理員才能執行該命令) |
display security-logfile summary |
|
清除日誌緩衝區內的信息 |
reset logbuffer [ module module-name [ submodule submodule-name ] ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
