- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-快速日誌輸出配置
本章節下載: 09-快速日誌輸出配置 (326.26 KB)
目 錄
快速日誌輸出功能用於快速地將用戶關心的日誌發往日誌主機。配置該功能後,業務模塊生成的日誌通過快速輸出通道直接發送給日誌主機,不經過信息中心模塊處理。相比通過信息中心輸出,該方式可以節省係統資源,更快捷。關於信息中心的詳細介紹請參見“設備管理配置指導”中的“信息中心”。
日誌信息按嚴重性可劃分為如表1-1所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
快速日誌的日誌頭格式如下:
表1-2 日誌頭格式表
|
格式類型 |
格式 |
舉例 |
|
|
標準格式日誌頭 |
|||
|
定製格式日誌頭 |
URL過濾unicom格式 |
||
|
NAT cmcc格式 |
|||
|
NAT unicom格式 |
|||
|
NAT telecom格式 |
|||
· PRI:日誌類型碼。標準格式和NAT telecom格式固定為134;URL過濾unicom格式、NAT cmcc格式和NAT unicom格式固定為142。
· Timestamp:日誌信息產生的時間,方便用戶查看和定位係統事件。格式為:YYYY Mon DD hh:mm:ss。
· AppName:生成該日誌信息的設備名稱。
· %%10:設備的廠家標誌。
· SN:設備的序列號。隻有執行customlog with-sn開啟攜帶SN功能後才會攜帶該字段。設備的序列號可通過display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· VsysId:產生快速日誌的虛擬係統ID。
· HostName:快速日誌輸出時使用的源IPv4地址。
· MsgID:日誌消息類型。
· Len:日誌頭總長度,單位為字節。
· ProcID:固定為-。
設備支持通過以下功能將某些業務模塊的日誌發送給日誌主機,這些功能按優先級從高到低的順序依次為:
(1) 快速日誌輸出
(2) Flow日誌(哪些業務模塊的日誌支持通過Flow日誌輸出,以及Flow日誌的詳細介紹請參見“網絡管理和監控配置指導”中的“Flow日誌”。)
(3) 信息中心
對於同一業務模塊,如果用戶配置了高優先級的輸出方式,則不再采用其他方式輸出。
對於NAT模塊的日誌,customlog format和customlog host命令中指定的日誌輸出格式必須相同,且為日誌主機要求的格式。否則,設備不會生成指定格式的日誌,日誌主機將接收不到日誌。
目前僅TELECOM格式支持攜帶VNI(即VXLAN ID),且攜帶該字段後,設備將使用新的日誌格式發送NAT模塊日誌。
對於IPS模塊的日誌,標準格式的日誌與國家電網格式的日誌互斥,不能同時配置兩種格式的日誌。同時配置這兩種格式時,最後一次執行的命令生效。但標準格式和國家電網格式的日誌都能與中國移動格式的日誌共存。
設備支持通過v1和v2兩種方式配置快速日誌輸出功能,推薦使用v2方式配置,可以更方便後期維護發送快速日誌的類型。
設備最多支持同時指定8個日誌主機,可向8個日誌主機分別發送日誌。兩種方式指定的日誌主機數量共享,當v2方式已經指定8個日誌主機,則不能再使用v1方式指定新的日誌主機,反之亦然。
快速日誌輸出功能v2中的module命令僅列舉和解釋所有業務模塊日誌參數的功能與作用。但是各模塊的參數配置後是否生效,還取決於所屬業務模塊的配置是否完整。因此不同產品對命令中各業務模塊參數的支持情況,與各業務模塊的支持情況保持一致,請以產品是否支持對應業務模塊的情況為準。例如:如果某設備不支持NAT功能,即使配置了有關NAT功能快速日誌輸出的參數,那麼設備也不會生成有關NAT功能的快速日誌。
設備可以通過配置日誌主機實例,並在實例下指定要輸出的日誌類型,來支持將特定類型的日誌快速發送到日誌主機。這種設置能夠有效地將設備生成的日誌集中存儲和管理,便於運維人員實時監控和分析設備的運行情況,以幫助用戶更好地了解和解決網絡設備上的問題。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌主機,並進入日誌主機視圖。
customlog host v2 { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情況下,未配置快速日誌主機。
(3) 配置向日誌主機發送指定類型的快速日誌。
¡ 向日誌主機發送防病毒模塊的日誌
module anti-viru
¡ 向日誌主機發送攻擊檢測與防範模塊的日誌
module attack-defense
¡ 向日誌主機發送應用審計與管理模塊的日誌
module audit
¡ 向日誌主機發送數據過濾模塊的日誌
module data-filter
¡ 向日誌主機發送文件過濾模塊的日誌
module file-filter
¡ 向日誌主機發送入侵防禦模塊的日誌
module ips [ sgcc { policy-hit | signature-update } ]
¡ 向日誌主機發送國家電網格式的心跳模塊日誌
module keepalive sgcc
¡ 向日誌主機發送負載均衡模塊的日誌
module loadbalance [ global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy ] *
¡ 向日誌主機發送NAT模塊的日誌
module nat [ cmcc | telecom | telecom-vni | unicom ]
¡ 向日誌主機發送安全策略報文匹配快速日誌
module security-policy [ sgcc ]
¡ 向日誌主機發送國家電網格式的安全策略內容快速日誌
module security-policy-config sgcc
¡ 向日誌主機發送會話管理模塊的日誌
module session
¡ 向日誌主機發送SSL VPN模塊的日誌
module sslvpn
¡ 向日誌主機發送帶寬管理模塊的日誌
module traffic-policy
¡ 向日誌主機發送URL過濾模塊的日誌
module url-filter [ unicom ]
缺省情況下,未配置向日誌主機發送指定類型的快速日誌。
(4) 退回係統視圖。
quit
(5) (可選)配置快速日誌輸出時使用的源IP地址。
customlog host source interface-type interface-number
缺省情況下,快速日誌輸出時使用的源IP地址為出接口的主IP地址。
配置本命令後,不管實際使用哪個物理接口發送日誌信息,日誌信息的源IP地址均為指定接口的主IP地址。當日誌主機需要根據日誌的源IP對日誌進行過濾顯示時,請配置該命令。
(6) (可選)配置快速輸出日誌的時間戳為係統時間。
customlog timestamp localtime
缺省情況下,快速輸出日誌的時間戳為格林威治時間。
(7) (可選)配置快速日誌輸出時攜帶設備序列號。
customlog with-sn
缺省情況下,快速日誌輸出時不攜帶設備序列號。
(8) (可選)配置快速日誌輸出時使用的語言。
customlog language { chinese | english }
缺省情況下,快速日誌輸出時使用的語言為英文。
目前僅部分業務支持發送中文的快速日誌,且各業務日誌中僅部分字段支持使用中文。例如,會話日誌中僅“應用”和“分類”字段支持中文。各業務日誌的具體支持情況請參見命令參考手冊。
配置日誌主機的記錄工具,主要用於在日誌主機端標誌不同的日誌來源,查找、過濾對應日誌源的日誌。
本功能僅對各業務模塊的標準格式,以及NAT模塊的運營商格式的輸出日誌生效,對於其他模塊的非標準格式的輸出日誌不生效。
未配置本功能時,將根據各業務模塊輸出的日誌格式頭中的Facility值作為日誌主機的記錄工具,而對於NAT模塊,以CMCC、UNICOM格式輸出的日誌的Facility值為Local1,以TELECOM格式輸出的日誌的Facility值為Local0。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌主機,並進入日誌主機視圖。
customlog host v2 { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ]
缺省情況下,未配置快速日誌主機。
(3) 配置日誌主機的記錄工具。
facility local-number
缺省情況下,未配置日誌主機的記錄工具。
如果日誌接收服務器和設備使用的中文字符集編碼不同,日誌服務器上可能會出現中文字符亂碼的情況。使用本命令可以將快轉日誌輸出模塊發送日誌信息時使用的字符集編碼配置為UTF-8或者GB18030。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌輸出使用UTF-8編碼方式輸出日誌。
customlog character-encoding utf-8
缺省情況下,快速日誌輸出使用GB18030編碼方式輸出日誌。
設備支持向Kafka日誌服務器發送Kafka格式快速日誌,當網絡中部署了Kafka日誌服務器,則可以在設備端配置Kafka服務器,並開啟快速日誌輸出到Kafka服務器功能,設備即可向Kafka日誌服務器發送Kafka格式快速日誌。
其中Kafka服務器的Broker即Kafka服務器集群的成員,在設備端需要配置接收日誌Broker的IP地址和端口,設備會向指定的地址發送Kafka格式快速日誌。
隻有通過customlog format命令開啟了對應模塊的快速日誌輸出功能後,customlog kafka-server export命令才會生效。
(1) 進入係統視圖。
system-view
(2) 創建日誌輸出的Kafka服務器,並進入Kafka服務器視圖。
kafka-server server-name
缺省情況下,不存在日誌輸出的Kafka服務器。
(3) 配置連接Kafka服務器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情況下,未配置連接Kafka 服務器的Broker。
(4) 退回係統視圖。
quit
(5) 開啟快速日誌輸出到Kafka服務器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情況下,快速日誌輸出到Kafka服務器功能處於關閉狀態。
(6) 開啟IPS模塊輸出快速日誌功能。
customlog format dpi ips cmcc-kafka
缺省情況下,IPS模塊輸出快速日誌功能處於關閉狀態。
當快速日誌配置完成後,可以使用該功能生成指定類型的測試日誌,檢測快速日誌服務器是否能正常接收到這些測試報文。
由於日誌主機到日誌後不會回複發送日誌的設備,測試日誌的發送結果需要在日誌主機上查看。
(1) 進入係統視圖。
system-view
(2) 發送指定類型指定數目的測試日誌。
customlog host v2 test count number { anti-virus | attack-defense | audit | data-filter | file-filter | ips | keepalive | loadbalance { global-intelligent-dns | local-intelligent-dns | outbound-link-lb | server-lb | transparent-dns-proxy } | nat | security-policy | security-policy-config | session | sslvpn | traffic-policy | url-filter } [ kernel ]
缺省情況下,未配置指定類型指定數目的測試日誌。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後快速日誌輸出的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除快速日誌輸出的統計信息。
表2-1 快速日誌輸出顯示和維護
|
操作 |
命令 |
|
顯示指定日誌主機當前運行狀態下的內核數據信息 |
display customlog host v2 kernel { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] |
|
顯示快速日誌輸出的相關統計信息 |
display customlog host v2 [ send-failed ] statistics |
|
清除快速日誌輸出的統計信息 |
reset customlog host v2 statistics |
快速日誌輸出功能v1中的customlog format、customlog host命令僅列舉和解釋所有業務模塊日誌參數。但是各模塊的參數配置後是否生效,還取決於所屬業務模塊的配置是否完整。因此不同產品對命令中各業務模塊參數的支持情況,與各業務模塊的支持情況保持一致,請以產品是否支持對應業務模塊的情況為準。例如:如果某設備不支持NAT功能,即使配置了有關NAT功能快速日誌輸出的參數,那麼設備也不會生成有關NAT功能的快速日誌。
(1) 進入係統視圖。
system-view
(2) 開啟快速日誌輸出功能。
customlog format { attack-defense | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips [ sgcc { policy-hit | signature-update } | cmcc-kafka ] | traffic-policy | url-filter [ unicom ] ] | keepalive sgcc | lb [ dns-proxy | gslb | inbound | outbound | slb ] | nat { cmcc | telecom | unicom } | packet-filter [ sgcc ] | security-policy sgcc | session | wlan }
缺省情況下,快速日誌輸出功能處於關閉狀態。
(3) 配置快速日誌輸出參數。
customlog host { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ][ facility local-number ] export { attack-defense | cmcc-sessionlog | cmcc-userlog | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips | traffic-policy | url-filter] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | packet-filter | security-policy | session | telecom-sessionlog | telecom-userlog | unicom-sessionlog | unicom-userlog } *
缺省情況下,未配置快速日誌輸出參數。
port-number參數的值需要和日誌主機側的配置一致,否則,日誌主機接收不到日誌信息。
facility local-number參數僅對各業務模塊的標準格式,以及AFT模塊和NAT模塊的運營商格式的輸出日誌生效,對於其他模塊的非標準格式的輸出日誌均不生效。未配置本參數時,根據各業務模塊輸出的日誌格式頭中的Facility值作為日誌主機的記錄工具,而對於AFT模塊和NAT模塊,以CMCC、UNICOM格式輸出的日誌的Facility值為Local1,以TELECOM格式輸出的日誌的Facility值為Local0。
(4) (可選)配置快速日誌輸出時使用的源IP地址。
customlog host source interface-type interface-number
缺省情況下,快速日誌輸出時使用的源IP地址為出接口的主IP地址。
配置本命令後,不管實際使用哪個物理接口發送日誌信息,日誌信息的源IP地址均為指定接口的主IP地址。當日誌主機需要根據日誌的源IP對日誌進行過濾顯示時,請配置該命令。
(5) (可選)配置快速輸出日誌的時間戳為係統時間。
customlog timestamp localtime
缺省情況下,快速輸出日誌的時間戳為格林威治時間。
(6) (可選)配置快速日誌輸出時攜帶設備序列號。
customlog with-sn
缺省情況下,快速日誌輸出時不攜帶設備序列號。
(7) (可選)配置快速日誌輸出時使用的語言。
customlog language { chinese | english }
缺省情況下,快速日誌輸出時使用的語言為英文。
目前僅部分業務支持發送中文的快速日誌,且各業務日誌中僅部分字段支持使用中文。例如,會話日誌中僅“應用”和“分類”字段支持中文。各業務日誌的具體支持情況請參見命令參考手冊。
如果日誌接收服務器和設備使用的中文字符集編碼不同,日誌服務器上可能會出現中文字符亂碼的情況。使用本命令可以將快轉日誌輸出模塊發送日誌信息時使用的字符集編碼配置為UTF-8或者GB18030。
(1) 進入係統視圖。
system-view
(2) 配置快速日誌輸出使用UTF-8編碼方式輸出日誌。
customlog character-encoding utf-8
缺省情況下,快速日誌輸出使用GB18030編碼方式輸出日誌。
設備支持向Kafka日誌服務器發送Kafka格式快速日誌,當網絡中部署了Kafka日誌服務器,則可以在設備端配置Kafka服務器,並開啟快速日誌輸出到Kafka服務器功能,設備即可向Kafka日誌服務器發送Kafka格式快速日誌。
其中Kafka服務器的Broker即Kafka服務器集群的成員,在設備端需要配置接收日誌Broker的IP地址和端口,設備會向指定的地址發送Kafka格式快速日誌。
隻有通過customlog format命令開啟了對應模塊的快速日誌輸出功能後,customlog kafka-server export命令才會生效。
(1) 進入係統視圖。
system-view
(2) 創建日誌輸出的Kafka服務器,並進入Kafka服務器視圖。
kafka-server server-name
缺省情況下,不存在日誌輸出的Kafka服務器。
(3) 配置連接Kafka服務器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情況下,未配置連接Kafka 服務器的Broker。
(4) 退回係統視圖。
quit
(5) 開啟快速日誌輸出到Kafka服務器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情況下,快速日誌輸出到Kafka服務器功能處於關閉狀態。
(6) 開啟IPS模塊輸出快速日誌功能。
customlog format dpi ips cmcc-kafka
將AC上NAT444用戶日誌以中國移動格式發送到日誌主機Host上。
圖3-1 將日誌快速輸出到日誌主機配置組網圖
(1) 配置前請確保AC和Host之間路由可達,具體配置步驟略。
(2) 配置AC
# 開啟快速日誌輸出功能,並設置日誌格式為CMCC格式。
<AC> system-view
[AC] customlog format nat cmcc
# 配置向IP地址為1.2.0.1/16的日誌主機發送CMCC格式的NAT444用戶日誌。
[AC] customlog host 1.2.0.1 port 1000 export cmcc-userlog
# 開啟NAT444用戶日誌功能。
[AC] nat log enable
[AC] nat log port-block-assign
[AC] nat log port-block-withdraw
(3) 配置Host
用戶使用的日誌主機類型不同配置方法不同,具體配置請參考日誌主機的相關資料。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
