- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
24-快速日誌輸出配置
本章節下載: 24-快速日誌輸出配置 (332.95 KB)
目 錄
快速日誌輸出功能用於快速地將用戶關心的日誌發往日誌主機。配置該功能後,業務模塊生成的日誌通過快速輸出通道直接發送給日誌主機,不經過信息中心模塊處理。相比通過信息中心輸出,該方式可以節省係統資源,更快捷。關於信息中心的詳細介紹請參見“網絡管理和監控配置指導”中的“信息中心”。
日誌信息按嚴重性可劃分為如表1-1所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
快速日誌的日誌頭格式如下:
表1-2 日誌頭格式表
|
格式類型 |
格式 |
舉例 |
|
|
標準格式日誌頭 |
|||
|
定製格式日誌頭 |
URL過濾unicom格式 |
||
|
NAT cmcc格式 |
|||
|
NAT unicom格式 |
|||
|
NAT telecom格式 |
|||
· PRI:日誌類型碼。標準格式和NAT telecom格式固定為134;URL過濾unicom格式、NAT cmcc格式和NAT unicom格式固定為142。
· Version:版本信息。日誌信息的版本標識,取值為1。
· Timestamp:日誌信息產生的時間,方便用戶查看和定位係統事件。格式為:YYYY Mon DD hh:mm:ss。
· AppName:生成該日誌信息的設備名稱。
· %%10:設備的廠家標誌。
· SN:設備的序列號。隻有執行customlog with-sn開啟攜帶SN功能後才會攜帶該字段。設備的序列號可通過display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· VsysId:產生快速日誌的虛擬係統ID。
· HostName:快速日誌輸出時使用的源IPv4地址。NAT cmcc格式固定為-。
· MsgID:日誌消息類型。
· Len:日誌頭總長度,單位為字節。
· ProcID:固定為-。
設備支持通過以下功能將某些業務模塊的日誌發送給日誌主機,這些功能按優先級從高到低的順序依次為:
(1) 快速日誌輸出
(2) Flow日誌(哪些業務模塊的日誌支持通過Flow日誌輸出,以及Flow日誌的詳細介紹請參見“網絡管理和監控配置指導”中的“Flow日誌”。)
(3) 信息中心
對於同一業務模塊,如果用戶配置了高優先級的輸出方式,則不再采用其他方式輸出。
對於NAT模塊的日誌,customlog format和customlog host命令中指定的日誌輸出格式必須相同,且為日誌主機要求的格式。否則,設備不會生成指定格式的日誌,日誌主機將接收不到日誌。
目前僅TELECOM格式支持攜帶VNI(即VXLAN ID),且攜帶該字段後,設備將使用新的日誌格式發送NAT模塊日誌。
對於IPS模塊的日誌,標準格式的日誌與國家電網格式的日誌互斥,不能同時配置兩種格式的日誌。同時配置這兩種格式時,最後一次執行的命令生效。但標準格式和國家電網格式的日誌都能與中國移動格式的日誌共存。
設備支持通過v1和v2兩種方式配置快速日誌輸出功能,推薦使用v2方式配置,可以更方便後期維護發送快速日誌的類型。
設備最多支持同時指定10個日誌主機,可向10個日誌主機分別發送日誌。兩種方式指定的日誌主機數量共享,當v2方式已經指定10個日誌主機,則不能再使用v1方式指定新的日誌主機,反之亦然。
日誌主機不支持配置本機地址。
快速日誌輸出功能v2中的module命令僅列舉和解釋所有業務模塊日誌參數的功能與作用。但是各模塊的參數配置後是否生效,還取決於所屬業務模塊的配置是否完整。因此不同產品對命令中各業務模塊參數的支持情況,與各業務模塊的支持情況保持一致,請以產品是否支持對應業務模塊的情況為準。例如:如果某設備不支持NAT功能,即使配置了有關NAT功能快速日誌輸出的參數,那麼設備也不會生成有關NAT功能的快速日誌。
設備可以通過配置日誌主機實例,並在實例下指定要輸出的日誌類型,來支持將特定類型的日誌快速發送到日誌主機。這種設置能夠有效地將設備生成的日誌集中存儲和管理,便於運維人員實時監控和分析設備的運行情況,以幫助用戶更好地了解和解決網絡設備上的問題。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌主機,並進入日誌主機視圖。
customlog host v2 [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情況下,未配置快速日誌主機。
(3) 配置向日誌主機發送指定類型的快速日誌。
¡ 向日誌主機發送AFT模塊的日誌
module aft [ cmcc | unicom | telecom ]
¡ 向日誌主機發送防病毒模塊的日誌
module anti-viru
¡ 向日誌主機發送攻擊檢測與防範模塊的日誌
module attack-defense
¡ 向日誌主機發送應用審計與管理模塊的日誌
module audit
¡ 向日誌主機發送數據過濾模塊的日誌
module data-filter
¡ 向日誌主機發送文件過濾模塊的日誌
module file-filter
¡ 向日誌主機發送物聯網設備安全管理功能中準入控製模塊的日誌
module iot-access-control
¡ 向日誌主機發送物聯網設備安全管理功能中流量控製模塊的日誌
module iot-flow-control
¡ 向日誌主機發送物聯網設備安全管理功能中格式檢查模塊的日誌
module iot-format-check
¡ 向日誌主機發送物聯網設備安全管理功能中信令控製模塊的日誌
module iot-signal-control
¡ 向日誌主機發送入侵防禦模塊的日誌
module ips [ sgcc { policy-hit | signature-update } ]
¡ 向日誌主機發送國家電網格式的心跳模塊日誌
module keepalive sgcc
¡ 向日誌主機發送負載均衡模塊的日誌
module loadbalance [ global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy ] *
¡ 向日誌主機發送NAT模塊的日誌
module nat [ cmcc | telecom | telecom-vni | unicom ]
¡ 向日誌主機發送共享上網管理模塊的日誌
module netshare
¡ 向日誌主機發送IP信譽、域名信譽和URL信譽模塊的日誌
module reputation
¡ 向日誌主機發送沙箱模塊的日誌
module sandbox
¡ 向日誌主機發送服務器外聯防護模塊的日誌
module scd
¡ 向日誌主機發送安全策略報文匹配快速日誌
module security-policy [ sgcc ]
¡ 向日誌主機發送國家電網格式的安全策略內容快速日誌
module security-policy-config sgcc
¡ 向日誌主機發送會話管理模塊的日誌
module session
¡ 向日誌主機發送SSL VPN模塊的日誌
module sslvpn
¡ 向日誌主機發送終端識別模塊的日誌
module terminal
¡ 向日誌主機發送帶寬管理模塊的日誌
module traffic-policy
¡ 向日誌主機發送IAM類型可信訪問控製模塊的日誌
module trusted-access iam [ authorization | notification ]*
¡ 向日誌主機發送URL過濾模塊的日誌
module url-filter [ unicom ]
¡ 向日誌主機發送WAF模塊的日誌
module waf
缺省情況下,未配置向日誌主機發送指定類型的快速日誌。
(4) 退回係統視圖。
quit
(5) (可選)配置快速日誌輸出時使用的源IP地址。
customlog host source interface-type interface-number
缺省情況下,快速日誌輸出時使用的源IP地址為出接口的主IP地址。
配置本命令後,不管實際使用哪個物理接口發送日誌信息,日誌信息的源IP地址均為指定接口的主IP地址。當日誌主機需要根據日誌的源IP對日誌進行過濾顯示時,請配置該命令。
(6) (可選)配置快速輸出日誌的時間戳為係統時間。
customlog timestamp localtime
缺省情況下,快速輸出日誌的時間戳為格林威治時間。
(7) (可選)配置快速日誌輸出時攜帶設備序列號。
customlog with-sn
缺省情況下,快速日誌輸出時不攜帶設備序列號。
(8) (可選)配置快速日誌輸出時使用的語言。
customlog language { chinese | english }
缺省情況下,快速日誌輸出時使用的語言為英文。
目前僅部分業務支持發送中文的快速日誌,且各業務日誌中僅部分字段支持使用中文。例如,會話日誌中僅“應用”和“分類”字段支持中文。各業務日誌的具體支持情況請參見命令參考手冊。
如果日誌接收服務器和設備使用的中文字符集編碼不同,日誌服務器上可能會出現中文字符亂碼的情況。使用本命令可以將快轉日誌輸出模塊發送日誌信息時使用的字符集編碼配置為UTF-8或者GB18030。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌輸出使用UTF-8編碼方式輸出日誌。
customlog character-encoding utf-8
缺省情況下,快速日誌輸出使用GB18030編碼方式輸出日誌。
設備支持向Kafka日誌服務器發送Kafka格式快速日誌,當網絡中部署了Kafka日誌服務器,則可以在設備端配置Kafka服務器,並開啟快速日誌輸出到Kafka服務器功能,設備即可向Kafka日誌服務器發送Kafka格式快速日誌。
其中Kafka服務器的Broker即Kafka服務器集群的成員,在設備端需要配置接收日誌Broker的IP地址和端口,設備會向指定的地址發送Kafka格式快速日誌。
隻有通過customlog format命令開啟了對應模塊的快速日誌輸出功能後,customlog kafka-server export命令才會生效。
(1) 進入係統視圖。
system-view
(2) 創建日誌輸出的Kafka服務器,並進入Kafka服務器視圖。
kafka-server server-name
缺省情況下,不存在日誌輸出的Kafka服務器。
(3) 配置連接Kafka服務器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情況下,未配置連接Kafka 服務器的Broker。
(4) 配置Kafka服務器所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,Kafka服務器所屬的VPN實例為公網。
(5) 退回係統視圖。
quit
(6) 開啟快速日誌輸出到Kafka服務器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情況下,快速日誌輸出到Kafka服務器功能處於關閉狀態。
(7) 開啟IPS模塊輸出快速日誌功能。
customlog format dpi ips cmcc-kafka
缺省情況下,IPS模塊輸出快速日誌功能處於關閉狀態。
當快速日誌配置完成後,可以使用該功能生成指定類型的測試日誌,檢測快速日誌服務器是否能正常接收到這些測試報文。
由於日誌主機到日誌後不會回複發送日誌的設備,測試日誌的發送結果需要在日誌主機上查看。
(1) 進入係統視圖。
system-view
(2) 發送指定類型指定數目的測試日誌。
customlog host v2 test count number { aft | anti-virus | attack-defense | audit | data-filter | dga | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips | keepalive | loadbalance { global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy } | nat | sandbox | scd | security-policy | security-policy-config | session | sslvpn | traffic-policy | trusted-access iam { authorization | notification } | url-filter | waf } [ slot slot-number [ kernel ]
缺省情況下,未配置指定類型指定數目的測試日誌。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後快速日誌輸出的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除快速日誌輸出的統計信息。
表2-1 快速日誌輸出顯示和維護
|
操作 |
命令 |
|
顯示指定日誌主機當前運行狀態下的內核數據信息 |
display customlog host v2 kernel [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] [ slot slot-number ] |
|
顯示快速日誌輸出的相關統計信息 |
display customlog host v2 [ send-failed ] statistics [ slot slot-number ] |
|
清除快速日誌輸出的統計信息 |
reset customlog host v2 statistics [ slot slot-number ] |
快速日誌輸出功能v1中的customlog format、customlog host命令僅列舉和解釋所有業務模塊日誌參數。但是各模塊的參數配置後是否生效,還取決於所屬業務模塊的配置是否完整。因此不同產品對命令中各業務模塊參數的支持情況,與各業務模塊的支持情況保持一致,請以產品是否支持對應業務模塊的情況為準。例如:如果某設備不支持NAT功能,即使配置了有關NAT功能快速日誌輸出的參數,那麼設備也不會生成有關NAT功能的快速日誌。
(1) 進入係統視圖。
system-view
(2) 開啟快速日誌輸出功能。
customlog format { aft | aft-cmcc | aft-telecom | aft-unicom | attack-defense | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips [ sgcc { policy-hit | signature-update } | cmcc-kafka ] | netshare | reputation | sandbox | terminal | traffic-policy | url-filter [ unicom ] | waf ] | keepalive sgcc | lb [ dns-proxy | gslb | inbound | outbound | slb ] | nat { cmcc | telecom [ with-vni ] | unicom } | packet-filter [ sgcc ] | scd | security-policy sgcc | session | trusted-access { csap | iam [ authorization | notification ] } | wlan }
缺省情況下,快速日誌輸出功能處於關閉狀態。
(3) 配置快速日誌輸出參數。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { aft | attack-defense | cmcc-sessionlog | cmcc-userlog | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | iot-access-control | iot-flow-control | iot-format-check | iot-signal-control | ips | netshare | reputation | sandbox | terminal | traffic-policy | url-filter | waf ] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | packet-filter | scd | security-policy | session | telecom-sessionlog | telecom-userlog | trusted-access { csap | iam [ authorization | notification ] } * | unicom-sessionlog | unicom-userlog } *
缺省情況下,未配置快速日誌輸出參數。
port-number參數的值需要和日誌主機側的配置一致,否則,日誌主機接收不到日誌信息。
(4) (可選)配置快速日誌輸出時使用的源IP地址。
customlog host source interface-type interface-number
缺省情況下,快速日誌輸出時使用的源IP地址為出接口的主IP地址。
配置本命令後,不管實際使用哪個物理接口發送日誌信息,日誌信息的源IP地址均為指定接口的主IP地址。當日誌主機需要根據日誌的源IP對日誌進行過濾顯示時,請配置該命令。
(5) (可選)配置快速輸出日誌的時間戳為係統時間。
customlog timestamp localtime
缺省情況下,快速輸出日誌的時間戳為格林威治時間。
(6) (可選)配置快速日誌輸出時攜帶設備序列號。
customlog with-sn
缺省情況下,快速日誌輸出時不攜帶設備序列號。
本命令的支持情況與設備的型號有關,具體請參見命令參考。
(7) (可選)配置快速日誌輸出時使用的語言。
customlog language { chinese | english }
缺省情況下,快速日誌輸出時使用的語言為英文。
目前僅部分業務支持發送中文的快速日誌,且各業務日誌中僅部分字段支持使用中文。例如,會話日誌中僅“應用”和“分類”字段支持中文。各業務日誌的具體支持情況請參見命令參考手冊。
如果日誌接收服務器和設備使用的中文字符集編碼不同,日誌服務器上可能會出現中文字符亂碼的情況。使用本命令可以將快轉日誌輸出模塊發送日誌信息時使用的字符集編碼配置為UTF-8或者GB18030。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌輸出使用UTF-8編碼方式輸出日誌。
customlog character-encoding utf-8
缺省情況下,快速日誌輸出使用GB18030編碼方式輸出日誌。
設備支持向Kafka日誌服務器發送Kafka格式快速日誌,當網絡中部署了Kafka日誌服務器,則可以在設備端配置Kafka服務器,並開啟快速日誌輸出到Kafka服務器功能,設備即可向Kafka日誌服務器發送Kafka格式快速日誌。
其中Kafka服務器的Broker即Kafka服務器集群的成員,在設備端需要配置接收日誌Broker的IP地址和端口,設備會向指定的地址發送Kafka格式快速日誌。
隻有通過customlog format命令開啟了對應模塊的快速日誌輸出功能後,customlog kafka-server export命令才會生效。
(1) 進入係統視圖。
system-view
(2) 創建日誌輸出的Kafka服務器,並進入Kafka服務器視圖。
kafka-server server-name
缺省情況下,不存在日誌輸出的Kafka服務器。
(3) 配置連接Kafka服務器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情況下,未配置連接Kafka 服務器的Broker。
(4) 配置Kafka服務器所屬的VPN實例。
vpn-instance vpn-instance-name
缺省情況下,Kafka服務器所屬的VPN實例為公網。
(5) 退回係統視圖。
quit
(6) 開啟快速日誌輸出到Kafka服務器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情況下,快速日誌輸出到Kafka服務器功能處於關閉狀態。
(7) 開啟IPS模塊輸出快速日誌功能。
customlog format dpi ips cmcc-kafka
將Device上會話日誌以快速日誌方式發送到日誌主機Server上。
圖3-1 將日誌快速輸出到日誌主機配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 1.1.0.1 255.255.0.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到Server的下一跳IP地址為1.1.0.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 1.2.0.0 16 1.1.0.2
(3) 配置接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名稱為loglocalout的安全策略規則,使Device可以向Host發送快速日誌信息,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone untrust
[Device-security-policy-ip-1-loglocalout] source-ip-host 1.1.0.1
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.2.0.1
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
[Device-security-policy-ip] quit
(5) 配置快速日誌輸出功能
# 開啟快速日誌輸出功能,配置日誌快速輸出到日誌主機,開啟新建和刪除會話時輸出日誌會話日誌信息功能。在連接內網的接口下開啟會話日誌功能,指定輸出此接口入方向上的所有IPv4會話日誌,具體配置步驟如下。
[Device] customlog format session
[Device] customlog host 1.2.0.1 port 1000 export session
[Device] session log flow-begin
[Device] session log flow-end
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] session log enable ipv4 inbound
成功在Server主機上接收到設備發送的日誌。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
