选择区域语言: EN CN HK

H3C S12500-X & S12500X-AF 系列交换机日志信息参考(R1xxx)-6W102

手册下载

H3C S12500-X & S12500X-AF 系列交换机日志信息参考

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 


 

1 简介·· 1

1.1 日志格式说明·· 1

1.2 如何获取日志信息·· 3

1.2.1 通过控制台获取日志·· 3

1.2.2 通过监视终端获取日志·· 3

1.2.3 通过日志缓冲区获取日志·· 3

1.2.4 通过日志文件获取日志·· 4

1.2.5 通过日志主机获取日志·· 4

1.3 软件模块列表·· 4

1.4 文档使用说明·· 7

2 AAA· 8

2.1 AAA_FAILURE· 8

2.2 AAA_LAUNCH· 9

2.3 AAA_SUCCESS· 9

3 ACL· 9

3.1 ACL_IPV6_STATIS_INFO·· 10

3.2 ACL_NO_MEM·· 10

3.3 ACL_RESOURCE_INFO·· 10

3.4 ACL_STATIS_INFO·· 11

4 APMGR· 11

4.1 APMGR_ADDBAC_INFO·· 11

4.2 APMGR_DELBAC_INFO·· 11

5 ARP· 12

5.1 DUPIFIP· 12

5.2 DUPIP· 12

5.3 DUPVRRPIP· 13

5.4 ARP_ACTIVE_ACK_NO_REPLY· 13

5.5 ARP_ACTIVE_ACK_NOREQUESTED_REPLY· 13

5.6 ARP_RATE_EXCEEDED·· 14

5.7 ARP_SENDER_IP_INVALID·· 14

5.8 ARP_SENDER_MAC_INVALID·· 14

5.9 ARP_SRC_MAC_FOUND_ATTACK· 15

5.10 ARP_TARGET_IP_INVALID·· 15

5.11 ARP_SENDER_SMACCONFLICT_VSI 15

5.12 ARP_SENDER_SMACCONFLICT· 16

6 ATK· 16

6.1 ATKDF_ICMP_ADDRMASK_REQ·· 16

6.2 ATKDF_ICMP_ADDRMASK_REQ_RAW·· 17

6.3 ATKDF_ICMP_ADDRMASK_RPL· 17

6.4 ATKDF_ICMP_ADDRMASK_RPL_RAW·· 18

6.5 ATKDF_ICMP_ECHO_REQ·· 18

6.6 ATKDF_ICMP_ECHO_REQ_RAW·· 19

6.7 ATKDF_ICMP_ECHO_RPL· 19

6.8 ATKDF_ICMP_ECHO_RPL_RAW·· 20

6.9 ATKDF_ICMP_FLOOD·· 20

6.10 ATKDF_ICMP_INFO_REQ·· 21

6.11 ATKDF_ICMP_INFO_REQ_RAW·· 21

6.12 ATKDF_ICMP_INFO_RPL· 22

6.13 ATKDF_ICMP_INFO_RPL_RAW·· 22

6.14 ATKDF_ICMP_LARGE· 23

6.15 ATKDF_ICMP_LARGE_RAW·· 23

6.16 ATKDF_ICMP_PARAPROBLEM·· 24

6.17 ATKDF_ICMP_PARAPROBLEM_RAW·· 24

6.18 ATKDF_ICMP_PINGOFDEATH· 25

6.19 ATKDF_ICMP_PINGOFDEATH_RAW·· 25

6.20 ATKDF_ICMP_REDIRECT· 26

6.21 ATKDF_ICMP_REDIRECT_RAW·· 26

6.22 ATKDF_ICMP_SMURF· 27

6.23 ATKDF_ICMP_SMURF_RAW·· 27

6.24 ATKDF_ICMP_SOURCEQUENCH· 28

6.25 ATKDF_ICMP_SOURCEQUENCH_RAW·· 28

6.26 ATKDF_ICMP_TIMEEXCEED·· 29

6.27 ATKDF_ICMP_TIMEEXCEED_RAW·· 29

6.28 ATKDF_ICMP_TRACEROUTE· 30

6.29 ATKDF_ICMP_TRACEROUTE_RAW·· 30

6.30 ATKDF_ICMP_TSTAMP_REQ·· 31

6.31 ATKDF_ICMP_TSTAMP_REQ_RAW·· 31

6.32 ATKDF_ICMP_TSTAMP_RPL· 32

6.33 ATKDF_ICMP_TSTAMP_RPL_RAW·· 32

6.34 ATKDF_ICMP_TYPE· 33

6.35 ATKDF_ICMP_TYPE_RAW·· 33

6.36 ATKDF_ICMP_UNREACHABLE· 34

6.37 ATKDF_ICMP_UNREACHABLE_RAW·· 34

6.38 ATKDF_ICMPV6_DEST_UNREACH· 35

6.39 ATKDF_ICMPV6_DEST_UNREACH_RAW·· 35

6.40 ATKDF_ICMPV6_ECHO_REQ·· 36

6.41 ATKDF_ICMPV6_ECHO_REQ_RAW·· 36

6.42 ATKDF_ICMPV6_ECHO_RPL· 37

6.43 ATKDF_ICMPV6_ECHO_RPL_RAW·· 37

6.44 ATKDF_ICMPV6_FLOOD·· 38

6.45 ATKDF_ICMPV6_GROUPQUERY· 38

6.46 ATKDF_ICMPV6_GROUPQUERY_RAW·· 39

6.47 ATKDF_ICMPV6_GROUPREDUCTION· 39

6.48 ATKDF_ICMPV6_GROUPREDUCTION_RAW·· 40

6.49 ATKDF_ICMPV6_GROUPREPORT· 40

6.50 ATKDF_ICMPV6_GROUPREPORT_RAW·· 41

6.51 ATKDF_ICMPV6_LARGE· 41

6.52 ATKDF_ICMPV6_LARGE_RAW·· 42

6.53 ATKDF_ICMPV6_PACKETTOOBIG·· 42

6.54 ATKDF_ICMPV6_PACKETTOOBIG_RAW·· 43

6.55 ATKDF_ICMPV6_PARAPROBLEM·· 43

6.56 ATKDF_ICMPV6_PARAPROBLEM_RAW·· 44

6.57 ATKDF_ICMPV6_TIMEEXCEED·· 44

6.58 ATKDF_ICMPV6_TIMEEXCEED_RAW·· 45

6.59 ATKDF_ICMPV6_TRACEROUTE· 45

6.60 ATKDF_ICMPV6_TRACEROUTE_RAW·· 46

6.61 ATKDF_ICMPV6_TYPE· 46

6.62 ATKDF_ICMPV6_TYPE_RAW·· 47

6.63 ATKDF_IP_OPTION· 47

6.64 ATKDF_IP_OPTION_RAW·· 48

6.65 ATKDF_IP4_ACK_FLOOD·· 48

6.66 ATKDF_IP4_DIS_PORTSCAN· 49

6.67 ATKDF_IP4_DNS_FLOOD·· 49

6.68 ATKDF_IP4_FIN_FLOOD·· 50

6.69 ATKDF_IP4_FRAGMENT· 50

6.70 ATKDF_IP4_FRAGMENT_RAW·· 51

6.71 ATKDF_IP4_HTTP_FLOOD·· 51

6.72 ATKDF_IP4_IMPOSSIBLE· 52

6.73 ATKDF_IP4_IMPOSSIBLE_RAW·· 52

6.74 ATKDF_IP4_IPSWEEP· 53

6.75 ATKDF_IP4_PORTSCAN· 53

6.76 ATKDF_IP4_RST_FLOOD·· 54

6.77 ATKDF_IP4_SYN_FLOOD·· 54

6.78 ATKDF_IP4_SYNACK_FLOOD·· 55

6.79 ATKDF_IP4_TCP_ALLFLAGS· 55

6.80 ATKDF_IP4_TCP_ALLFLAGS_RAW·· 56

6.81 ATKDF_IP4_TCP_FINONLY· 56

6.82 ATKDF_IP4_TCP_FINONLY_RAW·· 57

6.83 ATKDF_IP4_TCP_INVALIDFLAGS· 57

6.84 ATKDF_IP4_TCP_INVALIDFLAGS_RAW·· 58

6.85 ATKDF_IP4_TCP_LAND·· 58

6.86 ATKDF_IP4_TCP_LAND_RAW·· 59

6.87 ATKDF_IP4_TCP_NULLFLAG·· 59

6.88 ATKDF_IP4_TCP_NULLFLAG_RAW·· 60

6.89 ATKDF_IP4_TCP_SYNFIN· 60

6.90 ATKDF_IP4_TCP_SYNFIN_RAW·· 61

6.91 ATKDF_IP4_TCP_WINNUKE· 61

6.92 ATKDF_IP4_TCP_WINNUKE_RAW·· 62

6.93 ATKDF_IP4_TEARDROP· 62

6.94 ATKDF_IP4_TEARDROP_RAW·· 63

6.95 ATKDF_IP4_TINY_FRAGMENT· 63

6.96 ATKDF_IP4_TINY_FRAGMENT_RAW·· 64

6.97 ATKDF_IP4_UDP_BOMB· 64

6.98 ATKDF_IP4_UDP_BOMB_RAW·· 65

6.99 ATKDF_IP4_UDP_FLOOD·· 65

6.100 ATKDF_IP4_UDP_FRAGGLE· 66

6.101 ATKDF_IP4_UDP_FRAGGLE_RAW·· 66

6.102 ATKDF_IP4_UDP_SNORK· 67

6.103 ATKDF_IP4_UDP_SNORK_RAW·· 67

6.104 ATKDF_IP6_ACK_FLOOD·· 68

6.105 ATKDF_IP6_DIS_PORTSCAN· 68

6.106 ATKDF_IP6_DNS_FLOOD·· 69

6.107 ATKDF_IP6_FIN_FLOOD·· 69

6.108 ATKDF_IP6_FRAGMENT· 70

6.109 ATKDF_IP6_FRAGMENT_RAW·· 70

6.110 ATKDF_IP6_HTTP_FLOOD·· 71

6.111 ATKDF_IP6_IMPOSSIBLE· 71

6.112 ATKDF_IP6_IMPOSSIBLE_RAW·· 72

6.113 ATKDF_IP6_IPSWEEP· 72

6.114 ATKDF_IP6_PORTSCAN· 73

6.115 ATKDF_IP6_RST_FLOOD·· 73

6.116 ATKDF_IP6_SYN_FLOOD·· 74

6.117 ATKDF_IP6_SYNACK_FLOOD·· 74

6.118 ATKDF_IP6_TCP_ALLFLAGS· 75

6.119 ATKDF_IP6_TCP_ALLFLAGS_RAW·· 75

6.120 ATKDF_IP6_TCP_FINONLY· 76

6.121 ATKDF_IP6_TCP_FINONLY_RAW·· 76

6.122 ATKDF_IP6_TCP_INVALIDFLAGS· 77

6.123 ATKDF_IP6_TCP_INVALIDFLAGS_RAW·· 77

6.124 ATKDF_IP6_TCP_LAND·· 78

6.125 ATKDF_IP6_TCP_LAND_RAW·· 78

6.126 ATKDF_IP6_TCP_NULLFLAG·· 79

6.127 ATKDF_IP6_TCP_NULLFLAG_RAW·· 79

6.128 ATKDF_IP6_TCP_SYNFIN· 80

6.129 ATKDF_IP6_TCP_SYNFIN_RAW·· 80

6.130 ATKDF_IP6_TCP_WINNUKE· 81

6.131 ATKDF_IP6_TCP_WINNUKE_RAW·· 81

6.132 ATKDF_IP6_UDP_FLOOD·· 82

6.133 ATKDF_IP6_UDP_FRAGGLE· 82

6.134 ATKDF_IP6_UDP_FRAGGLE_RAW·· 83

6.135 ATKDF_IP6_UDP_SNORK· 83

6.136 ATKDF_IP6_UDP_SNORK_RAW·· 84

6.137 ATKDF_IPOPT_ABNORMAL· 84

6.138 ATKDF_IPOPT_ABNORMAL_RAW·· 85

6.139 ATKDF_IPOPT_LOOSESRCROUTE· 85

6.140 ATKDF_IPOPT_LOOSESRCROUTE_RAW·· 86

6.141 ATKDF_IPOPT_RECORDROUTE· 86

6.142 ATKDF_IPOPT_RECORDROUTE_RAW·· 87

6.143 ATKDF_IPOPT_ROUTEALERT· 87

6.144 ATKDF_IPOPT_ROUTEALERT_RAW·· 88

6.145 ATKDF_IPOPT_SECURITY· 88

6.146 ATKDF_IPOPT_SECURITY_RAW·· 89

6.147 ATKDF_IPOPT_STREAMID·· 89

6.148 ATKDF_IPOPT_STREAMID_RAW·· 90

6.149 ATKDF_IPOPT_STRICTSRCROUTE· 90

6.150 ATKDF_IPOPT_STRICTSRCROUTE_RAW·· 91

6.151 ATKDF_IPOPT_TIMESTAMP· 91

6.152 ATKDF_IPOPT_TIMESTAMP_RAW·· 92

6.153 ATKDF_IPV6_EXT_HEADER· 92

6.154 ATKDF_IPV6_EXT_HEADER_RAW·· 93

7 BFD· 93

7.1 BFD_CHANGE_FSM·· 93

7.2 BFD_MAD_INTERFACE_CHANGE_STATE· 94

7.3 BFD_REACHED_UPPER_LIMIT· 94

8 BGP· 94

8.1 BGP_EXCEED_ROUTE_LIMIT· 94

8.2 BGP_EXCEEDS_THRESHOLD·· 95

8.3 BGP_MEM_ALERT· 95

8.4 BGP_STATE_CHANGED·· 95

9 CFD· 96

9.1 CFD_CROSS_CCM·· 96

9.2 CFD_ERROR_CCM·· 96

9.3 CFD_LOST_CCM·· 97

9.4 CFD_RECEIVE_CCM·· 97

10 CFGMAN· 97

10.1 CFGMAN_CFGCHANGED·· 98

10.2 CFGMAN_OPTCOMPLETION· 98

11 DEV· 98

11.1 BOARD_REBOOT· 99

11.2 BOARD_REMOVED·· 99

11.3 BOARD_STATE_NORMAL· 99

11.4 BOARD_STATE_FAULT· 100

11.5 CFCARD_INSERTED·· 100

11.6 CFCARD_REMOVED·· 100

11.7 CHASSIS_REBOOT· 101

11.8 DEV_CLOCK_CHANGE· 101

11.9 FAN_ABSENT· 102

11.10 FAN_DIRECTION_NOT_PREFERRED·· 102

11.11 FAN_FAILED·· 103

11.12 FAN_RECOVERED·· 103

11.13 POWER_ABSENT· 104

11.14 POWER_FAILED·· 104

11.15 POWER_MONITOR_ABSENT· 105

11.16 POWER_MONITOR_FAILED·· 105

11.17 POWER_MONITOR_FAN_FAILED·· 106

11.18 POWER_MONITOR_OVERTEMPERATURE· 106

11.19 POWER_MONITOR_RECOVERED·· 107

11.20 POWER_RECOVERED·· 107

11.21 RPS_ABSENT· 108

11.22 RPS_NORMAL· 108

11.23 SUBCARD_FAULT· 109

11.24 SUBCARD_INSERTED·· 109

11.25 SUBCARD_REBOOT· 109

11.26 SUBCARD_REMOVED·· 110

11.27 SYSTEM_REBOOT· 110

11.28 TEMPERATURE_ALARM·· 110

11.29 TEMPERATURE_LOW·· 111

11.30 TEMPERATURE_NORMAL· 111

11.31 TEMPERATURE_SHUTDOWN· 111

11.32 TEMPERATURE_WARNING·· 112

12 DHCP· 112

12.1 DHCP_NOTSUPPORTED·· 112

12.2 DHCP_NORESOURCES· 112

13 DHCPR· 113

13.1 DHCPR_SERVERCHANGE· 113

13.2 DHCPR_SWITCHMASTER· 113

14 DHCPS· 113

14.1 DHCPS_ALLOCATE_IP· 114

14.2 DHCPS_CONFLICT_IP· 114

14.3 DHCPS_EXTEND_IP· 115

14.4 DHCPS_FILE· 115

15 DHCPS6· 115

15.1 DHCPS6_ALLOCATE_ADDRESS· 116

15.2 DHCPS6_ALLOCATE_PREFIX· 116

15.3 DHCPS6_CONFLICT_ADDRESS· 117

15.4 DHCPS6_EXTEND_ADDRESS· 117

15.5 DHCPS6_EXTEND_PREFIX· 118

15.6 DHCPS6_FILE· 118

15.7 DHCPS6_RECLAIM_ADDRESS· 119

16 DHCPSP4· 119

16.1 DHCPSP4_FILE· 119

17 DHCPSP6· 119

17.1 DHCPSP6_FILE· 120

18 DIAG· 120

18.1 MEM_ALERT· 121

18.2 MEM_BELOW_THRESHOLD·· 122

18.3 MEM_EXCEED_THRESHOLD·· 122

19 DLDP· 122

19.1 DLDP_AUTHENTICATION_FAILED·· 123

19.2 DLDP_LINK_BIDIRECTIONAL· 123

19.3 DLDP_LINK_UNIDIRECTIONAL· 123

19.4 DLDP_NEIGHBOR_AGED·· 124

19.5 DLDP_NEIGHBOR_CONFIRMED·· 124

19.6 DLDP_NEIGHBOR_DELETED·· 125

20 DOT1X· 125

20.1 DOT1X_LOGIN_FAILURE· 125

20.2 DOT1X_LOGIN_SUCC· 126

20.3 DOT1X_LOGOFF· 126

20.4 DOT1X_NOTENOUGH_EADFREEIP_RES· 126

20.5 DOT1X_NOTENOUGH_EADFREERULE_RES· 127

20.6 DOT1X_NOTENOUGH_EADMACREDIR_RES· 127

20.7 DOT1X_NOTENOUGH_EADPORTREDIR_RES· 127

20.8 DOT1X_NOTENOUGH_ENABLEDOT1X_RES· 128

20.9 DOT1X_SMARTON_FAILURE· 128

20.10 DOT1X_UNICAST_NOT_EFFECTIVE· 128

21 ETHOAM·· 129

21.1 ETHOAM_CONNECTION_FAIL_DOWN· 129

21.2 ETHOAM_CONNECTION_FAIL_TIMEOUT· 129

21.3 ETHOAM_CONNECTION_FAIL_UNSATISF· 129

21.4 ETHOAM_CONNECTION_SUCCEED·· 130

21.5 ETHOAM_DISABLE· 130

21.6 ETHOAM_DISCOVERY_EXIT· 130

21.7 ETHOAM_ENABLE· 131

21.8 ETHOAM_ENTER_LOOPBACK_CTRLLED·· 131

21.9 ETHOAM_ENTER_LOOPBACK_CTRLLING·· 131

21.10 ETHOAM_LOCAL_DYING_GASP· 132

21.11 ETHOAM_LOCAL_ERROR_FRAME· 132

21.12 ETHOAM_LOCAL_ERROR_FRAME_PERIOD·· 132

21.13 ETHOAM_LOCAL_ERROR_FRAME_SECOND·· 133

21.14 ETHOAM_LOCAL_LINK_FAULT· 133

21.15 ETHOAM_LOOPBACK_EXIT· 133

21.16 ETHOAM_LOOPBACK_EXIT_ERROR_STATU· 134

21.17 ETHOAM_LOOPBACK_NO_RESOURCE· 134

21.18 ETHOAM_LOOPBACK_NOT_SUPPORT· 134

21.19 ETHOAM_QUIT_LOOPBACK_CTRLLED·· 135

21.20 ETHOAM_QUIT_LOOPBACK_CTRLLING·· 135

21.21 ETHOAM_REMOTE_CRITICAL· 135

21.22 ETHOAM_REMOTE_DYING_GASP· 136

21.23 ETHOAM_REMOTE_ERROR_FRAME· 136

21.24 ETHOAM_REMOTE_ERROR_FRAME_PERIOD·· 136

21.25 ETHOAM_REMOTE_ERROR_FRAME_SECOND·· 137

21.26 ETHOAM_REMOTE_ERROR_SYMBOL· 137

21.27 ETHOAM_REMOTE_EXIT· 137

21.28 ETHOAM_REMOTE_FAILURE_RECOVER· 138

21.29 ETHOAM_REMOTE_LINK_FAULT· 138

21.30 ETHOAM_NO_ENOUGH_RESOURCE· 138

21.31 ETHOAM_NOT_CONNECTION_TIMEOUT· 139

22 EVB· 139

22.1 EVB_AGG_FAILED·· 139

22.2 EVB_VSI_OFFLINE· 139

22.3 EVB_VSI_ONLINE· 140

22.4 EVB_WARNING_NO_LICENSE· 140

23 EVIISIS· 140

23.1 EVIISIS_LICENSE_UNAVAILABLE· 140

23.2 EVIISIS_LICENSE_EXPIRED·· 141

23.3 EVIISIS_LICENSE_EXPIRED_TIME· 141

23.4 EVIISIS_NBR_CHG·· 141

23.5 EVIISIS_MEM_ALERT· 142

24 FILTER· 142

24.1 FILTER_EXECUTION_ICMP· 142

24.2 FILTER_EXECUTION_ICMPV6· 143

24.3 FILTER_IPV4_EXECUTION· 144

24.4 FILTER_IPV6_EXECUTION· 144

25 FCOE· 145

25.1 FCOE_INTERFACE_NOTSUPPORT_FCOE· 145

25.2 FCOE_LAGG_BIND_ACTIVE· 145

25.3 FCOE_LAGG_BIND_DEACTIVE· 146

25.4 FCOE_LICENSE_ERROR· 146

25.5 FCOE_LICENSE_EXPIRED_EXIT· 146

25.6 FCOE_LICENSE_EXPIRED_TIME· 147

26 FCLINK· 147

26.1 FCLINK_FDISC_REJECT_NORESOURCE· 147

26.2 FCLINK_FLOGI_REJECT_NORESOURCE· 147

27 FCZONE· 148

27.1 FCZONE_HARDZONE_DISABLED·· 148

27.2 FCZONE_HARDZONE_ENABLED·· 148

28 FIPS· 148

28.1 FCOE_FIPS_HARD_RESOURCE_NOENOUGH· 148

28.2 FCOE_FIPS_HARD_RESOURCE_RESTORE· 149

29 FTPD· 149

29.1 FTPD_REACH_SESSION_LIMIT· 149

29.2 FTPD_AUTHOR_FAILED·· 149

30 HA· 149

30.1 HA_BATCHBACKUP_FINISHED·· 150

30.2 HA_BATCHBACKUP_STARTED·· 150

30.3 HA_STANDBY_NOT_READY· 150

30.4 HA_STANDBY_TO_MASTER· 151

31 HTTPD· 151

31.1 HTTPD_CONNECT· 151

31.2 HTTPD_CONNECT_TIMEOUT· 151

31.3 HTTPD_DISCONNECT· 152

31.4 HTTPD_FAIL_FOR_ACL· 152

31.5 HTTPD_FAIL_FOR_ACP· 152

31.6 HTTPD_REACH_CONNECT_LIMIT· 153

32 IFNET· 153

32.1 IF_BUFFER_CONGESTION_OCCURRENCE· 153

32.2 IFNET_MAD·· 153

32.3 INTERFACE_INSERTED·· 154

32.4 INTERFACE_REMOVED·· 154

32.5 LINK_UPDOWN· 154

32.6 PHY_UPDOWN· 155

32.7 PROTOCOL_UPDOWN· 155

33 IKE· 155

33.1 IKE_P1_SA_ESTABLISH_FAIL· 156

33.2 IKE_P2_SA_ESTABLISH_FAIL· 156

33.3 IKE_P2_SA_TERMINATE· 157

34 IPADDR· 157

34.1 IPADDR_HA_EVENT_ERROR· 158

34.2 IPADDR_HA_STOP_EVENT· 159

35 IPSEC· 159

35.1 IPSEC_PACKET_DISCARDED·· 159

35.2 IPSEC_SA_ESTABLISH· 160

35.3 IPSEC_SA_ESTABLISH_FAIL· 160

35.4 IPSEC_SA_INITINATION· 161

35.5 IPSEC_SA_TERMINATE· 161

36 IPSG· 161

36.1 IPSG_ADDENTRY_ERROR· 162

36.2 IPSG_DELENTRY_ERROR· 162

36.3 IPSG_ADDEXCLUDEDVLAN_ERROR· 163

36.4 IPSG_DELEXCLUDEDVLAN_ERROR· 163

37 IRDP· 163

37.1 IRDP_EXCEED_ADVADDR_LIMIT· 164

38 ISIS· 164

38.1 ISIS_MEM_ALERT· 164

38.2 ISIS_NBR_CHG·· 164

39 ISSU· 165

39.1 ISSU_ROLLBACKCHECKNORMAL· 165

39.2 ISSU_PROCESSWITCHOVER· 165

40 L2PT· 165

40.1 L2PT_SET_MULTIMAC_FAILED·· 165

40.2 L2PT_CREATE_TUNNELGROUP_FAILED·· 166

40.3 L2PT_ADD_GROUPMEMBER_FAILED·· 166

40.4 L2PT_ENABLE_DROP_FAILED·· 166

41 L2VPN· 166

41.1 L2VPN_HARD_RESOURCE_NOENOUGH· 167

41.2 L2VPN_HARD_RESOURCE_RESTORE· 167

42 LAGG· 167

42.1 LACP_MAD_INTERFACE_CHANGE_STATE· 167

42.2 LAGG_ACTIVE· 168

42.3 LAGG_INACTIVE_AICFG·· 168

42.4 LAGG_INACTIVE_CONFIGURATION· 168

42.5 LAGG_INACTIVE_DUPLEX· 169

42.6 LAGG_INACTIVE_HARDWAREVALUE· 169

42.7 LAGG_INACTIVE_LOWER_LIMIT· 169

42.8 LAGG_INACTIVE_PARTNER· 170

42.9 LAGG_INACTIVE_PHYSTATE· 170

42.10 LAGG_INACTIVE_RESOURCE_INSUFICIE· 170

42.11 LAGG_INACTIVE_SPEED·· 171

42.12 LAGG_INACTIVE_UPPER_LIMIT· 171

43 LDP· 171

43.1 LDP_SESSION_CHG·· 172

43.2 LDP_SESSION_GR· 173

43.3 LDP_SESSION_SP· 173

43.4 LDP_MPLSLSRID_CHG·· 174

44 LICENSE· 174

44.1 LIC_INIT· 175

45 LLDP· 175

45.1 LLDP_CREATE_NEIGHBOR· 176

45.2 LLDP_DELETE_NEIGHBOR· 176

45.3 LLDP_LESS_THAN_NEIGHBOR_LIMIT· 177

45.4 LLDP_NEIGHBOR_AGE_OUT· 177

45.5 LLDP_PVID_INCONSISTENT· 178

45.6 LLDP_REACH_NEIGHBOR_LIMIT· 178

46 LOAD· 178

46.1 BOARD_LOADING·· 179

46.2 LOAD_FAILED·· 179

46.3 LOAD_FINISHED·· 179

47 LOGIN· 179

47.1 LOGIN_FAILED·· 180

48 LPDT· 180

48.1 LPDT_LOOPED·· 180

48.2 LPDT_RECOVERED·· 180

49 LS· 180

49.1 LS_ADD_USER_TO_GROUP· 181

49.2 LS_AUTHEN_FAILURE· 181

49.3 LS_AUTHEN_SUCCESS· 182

49.4 LS_DEL_USER_FROM_GROUP· 182

49.5 LS_DELETE_PASSWORD_FAIL· 182

49.6 LS_PWD_ADDBLACKLIST· 183

49.7 LS_PWD_CHGPWD_FOR_AGEDOUT· 183

49.8 LS_PWD_CHGPWD_FOR_AGEOUT· 183

49.9 LS_PWD_CHGPWD_FOR_COMPOSITION· 184

49.10 LS_PWD_CHGPWD_FOR_FIRSTLOGIN· 184

49.11 LS_PWD_CHGPWD_FOR_LENGTH· 184

49.12 LS_PWD_FAILED2WRITEPASS2FILE· 185

49.13 LS_PWD_MODIFY_FAIL· 185

49.14 LS_PWD_MODIFY_SUCCESS· 185

49.15 LS_REAUTHEN_FAILURE· 186

49.16 LS_UPDATE_PASSWORD_FAIL· 186

49.17 LS_USER_CANCEL· 186

49.18 LS_USER_PASSWORD_EXPIRE· 187

49.19 LS_USER_ROLE_CHANGE· 187

50 LSPV· 187

50.1 LSPV_PING_STATIS_INFO·· 188

51 MAC· 188

51.1 MAC_TABLE_FULL_GLOBAL· 188

51.2 MAC_TABLE_FULL_PORT· 189

51.3 MAC_TABLE_FULL_VLAN· 189

52 MACA· 189

52.1 MACA_ENABLE_NOT_EFFECTIVE· 189

52.2 MACA_LOGIN_FAILURE· 190

52.3 MACA_LOGIN_SUCC· 190

52.4 MACA_LOGOFF· 191

53 MACSEC· 191

53.1 MACSEC_MKA_KEEPALIVE_TIMEOUT· 191

53.2 MACSEC_MKA_PRINCIPAL_ACTOR· 192

53.3 MACSEC_MKA_SAK_REFRESH· 192

53.4 MACSEC_MKA_SESSION_REAUTH· 192

53.5 MACSEC_MKA_SESSION_SECURED·· 193

53.6 MACSEC_MKA_SESSION_START· 193

53.7 MACSEC_MKA_SESSION_STOP· 194

53.8 MACSEC_MKA_SESSION_UNSECURED·· 194

54 MBFD· 194

54.1 MBFD_TRACEROUTE_FAILURE· 195

55 MDC· 195

55.1 MDC_CREATE_ERR· 195

55.2 MDC_CREATE· 196

55.3 MDC_DELETE· 196

55.4 MDC_LICENSE_EXPIRE· 196

55.5 MDC_NO_FORMAL_LICENSE· 197

55.6 MDC_NO_LICENSE_EXIT· 197

55.7 MDC_OFFLINE· 197

55.8 MDC_ONLINE· 198

55.9 MDC_STATE_CHANGE· 198

56 MFIB· 198

56.1 MFIB_MEM_ALERT· 198

57 MGROUP· 198

57.1 MGROUP_APPLY_SAMPLER_FAIL· 199

57.2 MGROUP_RESTORE_CPUCFG_FAIL· 199

57.3 MGROUP_RESTORE_IFCFG_FAIL· 199

57.4 MGROUP_SYNC_CFG_FAIL· 200

58 MPLS· 200

58.1 MPLS_HARD_RESOURCE_NOENOUGH· 200

58.2 MPLS_HARD_RESOURCE_RESTORE· 200

59 MSTP· 201

59.1 MSTP_BPDU_PROTECTION· 201

59.2 MSTP_BPDU_RECEIVE_EXPIRY· 201

59.3 MSTP_DETECTED_TC· 201

59.4 MSTP_DISABLE· 202

59.5 MSTP_DISCARDING·· 202

59.6 MSTP_ENABLE· 202

59.7 MSTP_FORWARDING·· 203

59.8 MSTP_LOOP_PROTECTION· 203

59.9 MSTP_NOT_ROOT· 203

59.10 MSTP_NOTIFIED_TC· 204

59.11 MSTP_ROOT_PROTECTION· 204

60 MTLK· 204

60.1 MTLK_UPLINK_STATUS_CHANGE· 204

61 ND· 205

61.1 ND_CONFLICT· 205

61.2 ND_DUPADDR· 205

61.3 ND_RAGUARD_DROP· 206

62 NQA· 206

62.1 NQA_LOG_UNREACHABLE· 206

63 NTP· 206

63.1 NTP_CHANGE_LEAP· 207

63.2 NTP_CHANGE_STRATUM·· 207

63.3 NTP_CLOCK_CHANGE· 207

63.4 NTP_SOURCE_CHANGE· 208

63.5 NTP_SOURCE_LOST· 208

64 OFP· 208

64.1 OFP_ACTIVE· 208

64.2 OFP_ACTIVE_FAILED·· 209

64.3 OFP_CONNECT· 209

64.4 OFP_FAIL_OPEN· 209

64.5 OFP_FLOW_ADD·· 210

64.6 OFP_FLOW_ADD_DUP· 210

64.7 OFP_FLOW_ADD_FAILED·· 211

64.8 OFP_FLOW_ADD_FAILED_SMOOTH· 211

64.9 OFP_FLOW_ADD_TABLE_MISS· 211

64.10 OFP_FLOW_ADD_TABLE_MISS_FAILED·· 212

64.11 OFP_FLOW_DEL· 212

64.12 OFP_FLOW_DEL_TABLE_MISS· 213

64.13 OFP_FLOW_DEL_TABLE_MISS_FAILED·· 213

64.14 OFP_FLOW_MOD·· 214

64.15 OFP_FLOW_MOD_FAILED·· 214

64.16 OFP_FLOW_MOD_TABLE_MISS· 215

64.17 OFP_FLOW_MOD_TABLE_MISS_FAILED·· 215

64.18 OFP_FLOW_RMV_GROUP· 215

64.19 OFP_FLOW_RMV_HARDTIME· 216

64.20 OFP_FLOW_RMV_IDLETIME· 216

64.21 OFP_FLOW_RMV_METER· 216

64.22 OFP_GROUP_ADD·· 217

64.23 OFP_GROUP_ADD_FAILED·· 217

64.24 OFP_GROUP_DEL· 217

64.25 OFP_GROUP_MOD·· 218

64.26 OFP_GROUP_MOD_FAILED·· 218

64.27 OFP_LOCAL_FLOW_FAILED·· 219

64.28 OFP_METER_ADD·· 219

64.29 OFP_METER_ADD_FAILED·· 220

64.30 OFP_METER_DEL· 220

64.31 OFP_METER_MOD·· 220

64.32 OFP_METER_MOD_FAILED·· 221

64.33 OFP_MISS_RMV_GROUP· 221

64.34 OFP_MISS_RMV_HARDTIME· 221

64.35 OFP_MISS_RMV_IDLETIME· 222

64.36 OFP_MISS_RMV_METER· 222

65 OPTMOD· 222

65.1 BIAS_HIGH· 222

65.2 BIAS_LOW·· 223

65.3 BIAS_NORMAL· 223

65.4 CFG_ERR· 223

65.5 CHKSUM_ERR· 224

65.6 FIBER_SFPMODULE_INVALID·· 224

65.7 FIBER_SFPMODULE_NOWINVALID·· 224

65.8 IO_ERR· 225

65.9 MOD_ALM_OFF· 225

65.10 MOD_ALM_ON· 225

65.11 MODULE_IN· 226

65.12 MODULE_OUT· 226

65.13 PHONY_MODULE· 226

65.14 RX_ALM_OFF· 227

65.15 RX_ALM_ON· 227

65.16 RX_POW_HIGH· 227

65.17 RX_POW_LOW·· 228

65.18 RX_POW_NORMAL· 228

65.19 TEMP_HIGH· 228

65.20 TEMP_LOW·· 228

65.21 TEMP_NORMAL· 229

65.22 TX_ALM_OFF· 229

65.23 TX_ALM_ON· 229

65.24 TX_POW_HIGH· 230

65.25 TX_POW_LOW·· 230

65.26 TX_POW_NORMAL· 230

65.27 TYPE_ERR· 230

65.28 VOLT_HIGH· 231

65.29 VOLT_LOW·· 231

65.30 VOLT_NORMAL· 231

66 OSPF· 231

66.1 OSPF_DUP_RTRID_NBR· 232

66.2 OSPF_IP_CONFLICT_INTRA· 232

66.3 OSPF_LAST_NBR_DOWN· 233

66.4 OSPF_MEM_ALERT· 233

66.5 OSPF_NBR_CHG·· 234

66.6 OSPF_RTRID_CONFLICT_INTRA· 234

66.7 OSPF_RTRID_CONFLICT_INTER· 234

66.8 OSPF_RT_LMT· 235

66.9 OSPF_RTRID_CHG·· 235

66.10 OSPF_VLINKID_CHG·· 235

67 OSPFV3· 235

67.1 OSPFV3_LAST_NBR_DOWN· 236

67.2 OSPFV3_MEM_ALERT· 236

67.3 OSPFV3_NBR_CHG·· 236

67.4 OSPFV3_RT_LMT· 237

68 PBB· 237

68.1 PBB_JOINAGG_WARNING·· 237

69 PBR· 237

69.1 PBR_HARDWARE_ERROR· 238

70 PEX· 238

70.1 PEX_ASSOCIATEID_MISMATCHING·· 238

70.2 PEX_CONFIG_ERROR· 239

70.3 PEX_STACKCONNECTION_ERROR· 239

70.4 PEX_CONNECTION_ERROR· 240

70.5 PEX_FORBID_STACK· 240

70.6 PEX_LINK_BLOCK· 241

70.7 PEX_LINK_DOWN· 241

70.8 PEX_LINK_FORWARD·· 242

70.9 PEX_REG_JOININ· 242

70.10 PEX_REG_LEAVE· 243

70.11 PEX_REG_REQUEST· 243

71 PFILTER· 244

71.1 PFILTER_GLB_IPV4_DACT_NO_RES· 244

71.2 PFILTER_GLB_IPV4_DACT_UNK_ERR· 244

71.3 PFILTER_GLB_IPV6_DACT_NO_RES· 244

71.4 PFILTER_GLB_IPV6_DACT_UNK_ERR· 245

71.5 PFILTER_GLB_MAC_DACT_NO_RES· 245

71.6 PFILTER_GLB_MAC_DACT_UNK_ERR· 245

71.7 PFILTER_GLB_NO_RES· 246

71.8 PFILTER_GLB_NOT_SUPPORT· 246

71.9 PFILTER_GLB_UNK_ERR· 246

71.10 PFILTER_IF_IPV4_DACT_NO_RES· 247

71.11 PFILTER_IF_IPV4_DACT_UNK_ERR· 247

71.12 PFILTER_IF_IPV6_DACT_NO_RES· 247

71.13 PFILTER_IF_IPV6_DACT_UNK_ERR· 248

71.14 PFILTER_IF_MAC_DACT_NO_RES· 248

71.15 PFILTER_IF_MAC_DACT_UNK_ERR· 248

71.16 PFILTER_IF_NO_RES· 249

71.17 PFILTER_IF_NOT_SUPPORT· 249

71.18 PFILTER_IF_UNK_ERR· 250

71.19 PFILTER_IPV6_STATIS_INFO·· 250

71.20 PFILTER_STATIS_INFO·· 251

71.21 PFILTER_VLAN_IPV4_DACT_NO_RES· 251

71.22 PFILTER_VLAN_IPV4_DACT_UNK_ERR· 251

71.23 PFILTER_VLAN_IPV6_DACT_NO_RES· 252

71.24 PFILTER_VLAN_IPV6_DACT_UNK_ERR· 252

71.25 PFILTER_VLAN_MAC_DACT_NO_RES· 252

71.26 PFILTER_VLAN_MAC_DACT_UNK_ERR· 253

71.27 PFILTER_VLAN_NO_RES· 253

71.28 PFILTER_VLAN_NOT_SUPPORT· 254

71.29 PFILTER_VLAN_UNK_ERR· 254

72 PIM·· 254

72.1 PIM_MEM_ALERT· 255

72.2 PIM_NBR_DOWN· 255

72.3 PIM_NBR_UP· 255

73 PING· 255

73.1 PING_STATIS_INFO·· 256

73.2 PING_VPN_STATIS_INFO·· 256

74 PKI 257

74.1 REQUEST_CERT_FAIL· 257

74.2 REQUEST_CERT_SUCCESS· 257

75 PKT2CPU· 257

75.1 PKT2CPU_NO_RESOURCE· 257

76 PORTSEC· 258

76.1 PORTSEC_ACL_FAILURE· 258

76.2 PORTSEC_LEARNED_MACADDR· 258

76.3 PORTSEC_NTK_NOT_EFFECTIVE· 259

76.4 PORTSEC_PORTMODE_NOT_EFFECTIVE· 259

76.5 PORTSEC_PROFILE_FAILURE· 259

76.6 PORTSEC_VIOLATION· 260

77 PPP· 260

77.1 IPPOOL_ADDRESS_EXHAUSTED·· 260

78 Product DRV_DEVM·· 261

78.1 Product_DRV_DEVM_LOG_Info1· 261

78.2 Product_DRV_DEVM_LOG_Info2· 261

78.3 Product_DRV_DEVM_LOG_Info3· 262

78.4 Product_DRV_DEVM_LOG_Info4· 262

78.5 Product_DRV_DEVM_LOG_Info5· 263

78.6 Product_DRV_DEVM_LOG_Info6· 263

78.7 Product_DRV_DEVM_LOG_Info7· 264

78.8 Product_DRV_DEVM_LOG_Info8· 264

78.9 Product_DRV_DEVM_LOG_Info9· 265

79 Product DRV_SYSM·· 265

79.1 SYSM_POWERCHECK_LOGERROR· 265

79.2 SYSM_POWERCHECK_LOGWARNING1· 265

79.3 SYSM_POWERCHECK_LOGWARNING2· 266

79.4 SYSM_FANCHECK_LOGWARNING·· 266

79.5 SYSM_POWERSTATE_LOGWARNING1· 266

79.6 SYSM_POWERSTATE_LOGWARNING2· 267

79.7 SYSM_POWERSTATE_LOGWARNING3· 267

79.8 SYSM_FANSTATE_LOGNOTIFICATION· 267

79.9 SYSM_FANSPEED_LOGNOTIFICATION· 268

79.10 SYSM_FANSPEED_LOGINFORMATION· 268

79.11 SYSM_OVERTEMP_LOGNOTIFICATION1· 268

79.12 SYSM_OVERTEMP_LOGNOTIFICATION2· 269

79.13 SYSM_OVERTEMP_LOGNOTIFICATION3· 269

79.14 SYSM_OVERTEMP_LOGNOTIFICATION4· 270

79.15 SYSM_FANMONITOR_LOGNOTIFICATION· 270

79.16 SYSM_PROCESS_LOGNOTIFICATION1· 270

79.17 SYSM_PROCESS_LOGNOTIFICATION2· 271

79.18 SYSM_PROCESS_LOGNOTIFICATION3· 271

79.19 SYSM_POWERCHECK_TRAPWARNING1· 271

79.20 SYSM_POWERCHECK_TRAPWARNING2· 272

79.21 SYSM_POWERCHECK_TRAPWARNING3· 272

79.22 SYSM_FANCHECK_TRAPWARNING1· 272

79.23 SYSM_FANCHECK_TRAPWARNING2· 273

79.24 SYSM_FANCHECK_TRAPWARNING3· 273

79.25 SYSM_FANCHECK_TRAPWARNING4· 273

79.26 SYSM_FABRIC_TRAPWARNING·· 274

79.27 SYSM_FANTEMP_TRAPWARNING1· 274

79.28 SYSM_FANSPEED_TRAPWARNING·· 274

79.29 SYSM_BOARDTMP_TRAPWARNING1· 275

79.30 SYSM_BOARDTMP_TRAPWARNING2· 275

79.31 SYSM_BOARDTMP_TRAPWARNING3· 275

79.32 SYSM_BOARDTMP_TRAPWARNING4· 276

79.33 SYSM_BOARDUPDOWNBYTMP_TRAPWARNING1· 276

79.34 SYSM_BOARDUPDOWNBYTMP_TRAPWARNING2· 276

79.35 SYSM_POWERMONITOR_TRAPWARNING1· 277

79.36 SYSM_POWERMONITOR_TRAPWARNING2· 277

79.37 SYSM_POWERMONITOR_TRAPWARNING3· 277

79.38 SYSM_POWERMONITOR_TRAPWARNING4· 278

79.39 SYSM_SYSMINIT_TRAPWARNING1· 278

79.40 SYSM_SYSMINIT_TRAPWARNING2· 278

79.41 SYSM_SYSMINIT_TRAPWARNING3· 279

79.42 SYSM_SYSMINIT_TRAPWARNING4· 279

79.43 SYSM_PRODUCTCHECK_TRAPWARNING1· 279

79.44 SYSM_PROCESS_TRAPWARNING1· 280

79.45 SYSM_PROCESS_TRAPWARNING2· 280

79.46 SYSM_PROCESS_TRAPWARNING3· 280

79.47 SYSM_PROCESS_TRAPWARNING4· 281

80 Product_DRV_GOLD· 281

80.1 Product_DRV_GOLD_LOG_Info1· 281

80.2 Product_DRV_GOLD_LOG_Info2· 281

80.3 Product_DRV_GOLD_LOG_Info3· 282

80.4 Product_DRV_GOLD_LOG_Info4· 282

80.5 Product_DRV_GOLD_LOG_Info5· 282

80.6 Product_DRV_GOLD_LOG_Info6· 283

80.7 Product_DRV_GOLD_LOG_Info7· 283

80.8 Product_DRV_GOLD_LOG_Info8· 283

80.9 Product_DRV_GOLD_LOG_Info9· 284

80.10 Product_DRV_GOLD_LOG_Info10· 284

80.11 Product_DRV_GOLD_LOG_Info11· 284

81 Product_DRV_IRF3· 285

81.1 VCHK_VERSION_INCOMPATIBLE· 285

82 Product_DRV_L2· 285

82.1 Product_DRV_L2_LOG_Info1· 285

82.2 Product_DRV_L2_LOG_Info2· 285

82.3 Product_DRV_L2_LOG_Info3· 286

82.4 Product_DRV_L2_LOG_Info4· 286

83 Product_DRV_L3· 286

83.1 Product_DRV_L3_LOG_IF1· 286

83.2 Product_DRV_L3_LOG_IF2· 287

83.3 Product_DRV_L3_LOG_VLANIF· 287

83.4 Product_DRV_L3_LOG_SubVLAN· 287

83.5 Product_DRV_L3_LOG_SuperVLAN· 288

83.6 Product_DRV_L3_LOG_SubIF· 288

84 Product_DRV_PORT· 288

84.1 Product_DRV_PORT_LOG_Info1· 288

85 Product_DRV_QACL· 289

85.1 Product_DRV_QACL_LOG_Mirror 289

85.2 Product_DRV_QACL_LOG_sFlow· 289

86 Product_DRV_RXTX· 289

86.1 Product_DRV_RXTX_LOG_Info1· 289

87 Product_DRV_STACK· 290

87.1 Product_DRV_STACK_LOG_Info1· 290

87.2 Product_DRV_STACK_LOG_Info2· 290

87.3 Product_DRV_STACK_LOG_Info3· 290

87.4 Product_DRV_STACK_LOG_Info4· 291

87.5 Product_DRV_STACK_LOG_Info5· 291

87.6 Product_DRV_STACK_LOG_Info6· 291

87.7 Product_DRV_STACK_LOG_Info7· 292

87.8 Product_DRV_STACK_LOG_Info8· 292

87.9 Product_DRV_STACK_LOG_Info9· 292

87.10 Product_DRV_STACK_LOG_Info10· 293

88 Product_DRV_SWFA· 293

88.1 Product_DRV_SWFA_LOG_Info1· 293

88.2 Product_DRV_SWFA_LOG_Info2· 293

88.3 Product_DRV_SWFA_LOG_Info3· 294

88.4 Product_DRV_SWFA_LOG_Info4· 295

88.5 Product_DRV_SWFA_LOG_Info5· 295

88.6 Product_DRV_SWFA_LOG_Info6· 296

88.7 Product_DRV_SWFA_LOG_Info7· 296

88.8 Product_DRV_SWFA_LOG_Info8· 296

89 PWDCTL· 297

89.1 ADDBLACKLIST· 297

89.2 CHANGEPASSWORD·· 297

89.3 FAILEDTOWRITEPWD·· 297

90 QOS· 297

90.1 QOS_CBWFQ_REMOVED·· 298

90.2 QOS_POLICY_APPLYCOPP_CBFAIL· 298

90.3 QOS_POLICY_APPLYCOPP_FAIL· 298

90.4 QOS_POLICY_APPLYGLOBAL_CBFAIL· 299

90.5 QOS_POLICY_APPLYGLOBAL_FAIL· 299

90.6 QOS_POLICY_APPLYIF_CBFAIL· 299

90.7 QOS_POLICY_APPLYIF_FAIL· 300

90.8 QOS_POLICY_APPLYVLAN_CBFAIL· 300

90.9 QOS_POLICY_APPLYVLAN_FAIL· 301

90.10 QOS_NOT_ENOUGH_BANDWIDTH· 301

91 RADIUS· 301

91.1 RADIUS_AUTH_FAILURE· 302

91.2 RADIUS_AUTH_SUCCESS· 302

91.3 RADIUS_DELETE_HOST_FAIL· 302

92 RIP· 302

92.1 RIP_MEM_ALERT· 303

92.2 RIP_RT_LMT· 303

93 RIPNG· 303

93.1 RIPNG_MEM_ALERT· 303

93.2 RIPNG_RT_LMT· 304

94 RM·· 304

94.1 RM_ACRT_REACH_LIMIT· 304

94.2 RM_ACRT_REACH_THRESVALUE· 304

94.3 RM_THRESHLD_VALUE_REACH· 305

95 SCM·· 305

95.1 JOBINFO·· 305

95.2 RECV_DUPLICATEEVENT· 305

95.3 SERVICE_RESTART· 306

95.4 SERVICE_STATEERROR· 306

95.5 SERVICE_STATUSFAILED·· 306

95.6 SET_WRONGSTATUS· 307

96 SCRLSP· 307

96.1 SCRLSP_LABEL_DUPLICATE· 307

97 SFLOW·· 307

97.1 SFLOW_HARDWARE_ERROR· 308

98 SHELL· 308

98.1 SHELL_CMD·· 308

98.2 SHELL_CMD_CONFIRM·· 309

98.3 SHELL_CMD_EXECUTEFAIL· 309

98.4 SHELL_CMD_INPUT· 310

98.5 SHELL_CMD_INPUT_TIMEOUT· 310

98.6 SHELL_CMD_MATCHFAIL· 311

98.7 SHELL_CMDDENY· 311

98.8 SHELL_CMDFAIL· 311

98.9 SHELL_CRITICAL_CMDFAIL· 312

98.10 SHELL_LOGIN· 312

98.11 SHELL_LOGOUT· 312

99 SLSP· 312

99.1 SLSP_LABEL_DUPLICATE· 313

100 SMLK· 313

100.1 SMLK_LINK_SWITCH· 313

101 SNMP· 313

101.1 SNMP_ACL_RESTRICTION· 314

101.2 SNMP_GET· 314

101.3 SNMP_NOTIFY· 314

101.4 SNMP_SET· 315

101.5 SNMP_USM_NOTINTIMEWINDOW·· 315

101.6 SNMP_AUTHENTICATION_FAILURE· 315

102 SPBM·· 316

102.1 SPBM_LICENSE_EXPIRED·· 316

102.2 SPBM_LICENSE_EXPIRED_TIME· 316

102.3 SPBM_LICENSE_UNAVAILABLE· 316

103 SSHS· 317

103.1 SSHS_ALGORITHM_MISMATCH· 317

103.2 SSHS_AUTH_EXCEED_RETRY_TIMES· 317

103.3 SSHS_AUTH_FAIL· 318

103.4 SSHS_AUTH_TIMEOUT· 318

103.5 SSHS_CONNECT· 318

103.6 SSHS_DECRYPT_FAIL· 319

103.7 SSHS_DISCONNECT· 319

103.8 SSHS_ENCRYPT_FAIL· 319

103.9 SSHS_LOG·· 320

103.10 SSHS_MAC_ERROR· 320

103.11 SSHS_REACH_SESSION_LIMIT· 320

103.12 SSHS_REACH_USER_LIMIT· 321

103.13 SSHS_SCP_OPER· 321

103.14 SSHS_SFTP_OPER· 322

103.15 SSHS_SRV_UNAVAILABLE· 322

103.16 SSHS_VERSION_MISMATCH· 322

104 STAMGR· 323

104.1 STAMGR_ADDBAC_INFO·· 323

104.2 STAMGR_ADDSTA_INFO·· 323

104.3 STAMGR_DELBAC_INFO·· 323

104.4 STAMGR_DELSTA_INFO·· 324

104.5 STAMGR_STAIPCHANGE_INFO·· 324

105 STM·· 324

105.1 STM_AUTO_UPDATE· 324

105.2 STM_MEMBERID_CONFLICT· 325

105.3 STM_MERGE· 325

105.4 STM_MERGE_NEED_REBOOT· 325

105.5 STM_LINK_RECOVERY· 326

105.6 STM_LINK_STATUS_DOWN· 326

105.7 STM_LINK_STATUS_TIMEOUT· 326

105.8 STM_LINK_STATUS_UP· 327

105.9 STM_SOMER_CHECK· 327

106 STP· 327

106.1 STP_DISPUTE· 327

106.2 STP_LOOPBACK_PROTECTION· 328

107 SYSEVENT· 328

107.1 EVENT_TIMEOUT· 328

108 SYSLOG· 328

108.1 SYSLOG_LOGFILE_FULL· 329

108.2 SYSLOG_RESTART· 329

109 TACACS· 329

109.1 TACACS_AUTH_FAILURE· 329

109.2 TACACS_AUTH_SUCCESS· 330

109.3 TACACS_DELETE_HOST_FAIL· 330

110 TELNETD· 330

110.1 TELNETD_REACH_SESSION_LIMIT· 330

111 TRILL· 330

111.1 TRILL_DUP_SYSTEMID·· 331

111.2 TRILL_INTF_CAPABILITY· 331

111.3 TRILL_INTF ENTERED_SUSPENDED·· 331

111.4 TRILL_INTF EXITED_SUSPENDED·· 332

111.5 TRILL_INTF_UNSUPPORT_HYBRID·· 332

111.6 TRILL_LICENSE_UNAVAILABLE· 332

111.7 TRILL_LICENSE_EXPIRED·· 333

111.8 TRILL_LICENSE_EXPIRED_TIME· 333

111.9 TRILL_MEM_ALERT· 333

111.10 TRILL_NBR_CHG·· 334

112 VLAN· 334

112.1 VLAN_FAILED·· 334

112.2 VLAN_VLANMAPPING_FAILED·· 335

112.3 VLAN_VLANTRANSPARENT_FAILED·· 335

113 VRRP· 335

113.1 VRRP_AUTH_FAILED·· 335

113.2 VRRP_CONFIG_ERROR· 336

113.3 VRRP_PACKET_ERROR· 336

113.4 VRRP_STATUS_CHANGE· 337

113.5 VRRP_VF_STATUS_CHANGE· 337

113.6 VRRP_VMAC_INEFFECTIVE· 338

113.7 VRRP_STATUS_CHANGE· 338

113.8 VRRP_VF_STATUS_CHANGE· 339

113.9 VRRP_VMAC_INEFFECTIVE· 339

 


1 简介

日志信息包含日志的参数介绍、产生原因、处理建议等,为用户进行系统诊断和维护提供参考。

除了H3C S12500-X & S12500X-AF特有的日志信息外,本文还包含S12500-X & S12500X-AF 产品Release 1xxx版本基于的Comware V7平台版本的日志信息,其中的部分日志信息本产品可能并不支持,请以设备的实际情况为准。

本文假设您已具备数据通信技术知识,并熟悉H3C网络产品。

1.1  日志格式说明

缺省情况下,日志信息根据输出方向不同,采用如下格式:

·     日志主机方向:

<PRI>TIMESTAMP Sysname %%vendorMODULE/severity/MNEMONIC: location; CONTENT

·     非日志主机方向:

Prefix TIMESTAMP Sysname MODULE/severity/MNEMONIC: CONTENT

表1-1 日志字段说明

字段

描述

<PRI>

优先级标识符,仅存在于输出方向为日志主机的日志信息。优先级的计算公式为:facility×8severity

·     facility表示日志主机的记录工具,由info-center loghost命令设置,主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。

·     severity表示日志信息的严重等级,具体含义请参见1-2

Prefix

信息类型标识符,仅存在于输出方向为非日志主机方向的日志信息

·     百分号(%):表示该日志信息为Informational级别及以上级别的日志

·     星号(*):表示该日志信息为Debug级别的日志

TIMESTAMP

时间戳记录了日志信息产生的时间,方便用户查看和定位系统事件

·     日志主机方向:时间戳精确到秒,用户可以通过info-center timestamp loghost命令自定义时间显示格式

·     非日志主机方向:时间戳精确到毫秒,用户可以通过info-center timestamp命令自定义时间显示格式

Sysname

生成该日志信息的设备的名称或IP地址

%%vendor

厂家标志,%%10表示本日志信息由H3C设备生成

本字段只有在日志信息发往日志主机时才会存在

MODULE

生成该日志信息的功能模块的名称

severity

日志信息的等级,具体说明请参见1-2

MNEMONIC

助记符,本字段为该日志信息的概述,是一个不超过32个字符的字符串

location

定位信息,为该日志信息的产生者。本字段为可选字段,只有在日志信息发往日志主机时才会存在,具体内容可能为:

·     以下两种形式之一:

¡     IRFIntelligent Resilient Framework,智能弹性架构)的成员设备编号

¡     单板槽位号或IRF的成员设备编号和单板槽位号

·     日志发送者的源IP

格式如下:

-attribute1=x-attribute2=y…-attributeN=z

日志位置信息和日志描述之间用分号和空格“; ”分隔

CONTENT

该日志的具体内容,包含事件或错误发生的详细信息

对于本字段中的可变参数域,本文使用1-3定义的方式表示

 

日志信息按严重性可划分为如1-2所示的八个等级,各等级的严重性依照数值从07依次降低。

表1-2 日志严重等级说明

级别

严重等级

描述

0

Emergency

表示设备不可用的信息,如系统授权已到期

1

Alert

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

2

Critical

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

3

Error

表示错误信息,如接口链路状态变化,存储卡拔出等

4

Warning

表示警告信息,如接口连接断开,内存耗尽告警等

5

Notification

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

6

Informational

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

7

Debug

表示调试过程产生的信息

 

本文使用1-3定义的方式表示日志描述字段中的可变参数域。

表1-3 可变参数域

参数标识

参数类型

INT16

有符号的16位整数

UINT16

无符号的16位整数

INT32

有符号的32位整数

UINT32

无符号的32位整数

INT64

有符号的64位整数

UINT64

无符号的64位整数

DOUBLE

有符号的双32位整数,格式为:[INT32].[INT32]

HEX

十六进制数

CHAR

字节类型

STRING

字符串类型

IPADDR

IP地址

MAC

MAC地址

DATE

日期

TIME

时间

 

1.2  如何获取日志信息

缺省情况下,设备的信息中心功能处于开启状态,并允许向控制台(console)、监视终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)和日志文件(logfile)方向输出日志信息。您可以在设备控制台上实时看到系统输出的日志信息,也可以通过display logbuffer命令查看日志缓冲区中记录的日志信息。

通过info-center source命令可以设置日志信息的输出规则,通过输出规则可以指定日志的输出方向以及对哪些特性模块或信息等级的日志信息进行输出。所有信息等级高于或等于设置等级的日志信息都会被输出到指定的输出方向。例如,输出规则中如果指定允许等级为6informational)的信息输出,则等级06的信息均会被输出到指定的输出方向。

关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

1.2.1  通过控制台获取日志

用户通过Console接口登录设备后,可以在控制台上实时看到设备输出的日志。

1.2.2  通过监视终端获取日志

监视终端是指以AUXVTY类型用户线登录的用户终端。使用监视终端登录设备后,如需在当前终端上显示日志,还需要进行以下配置:

·     执行terminal monitor命令打开终端显示功能。

·     通过terminal logging level命令设置在当前终端上显示日志级别。实际能够在终端上显示的日志级别由info-center sourceterminal logging level命令共同决定。

terminal monitor命令和terminal logging level命令只对当前登录生效,用户重新登录设备后,需要重新配置。

1.2.3  通过日志缓冲区获取日志

通过display logbuffer命令可以查看日志缓冲区中记录的日志。

1.2.4  通过日志文件获取日志

系统将日志保存到日志文件缓冲区后,用户可以通过以下方式将日志文件缓冲区中的日志保存到日志文件:

·     执行logfile save命令手动将日志文件缓冲区中的内容全部保存到日志文件。

·     系统周期性将日志文件缓冲区中的内容保存到日志文件。缺省情况下,周期为24小时。用户可以通过info-center logfile frequency命令修改保存周期。

日志文件的缺省保存路径flash:/logfile/

通过more命令可以查看日志文件的内容。

1.2.5  通过日志主机获取日志

用户配置info-center loghost命令后,设备会向指定IP地址的日志主机发送日志,在日志主机上用户可以查看到设备的日志。如需指定多个日志主机,可多次执行info-center loghost命令。

请注意:设备上配置的日志主机接收日志信息的端口号必须和日志主机侧的设置一致,否则,日志主机将无法接收日志信息。这个端口号的缺省值为514

1.3  软件模块列表

1-4列出了所有可能生成系统日志信息的软件模块。

表1-4 软件模块列表

模块名

模块全称

AAA

Authentication, Authorization and Accounting

ACL

Access Control List

APMGR

Access Point Management

ARP

Address Resolution Protocol

ATK

Attack Detection and Prevention

BFD

Bidirectional Forwarding Detection

BGP

Border Gateway Protocol

CFD

Connectivity Fault Detection

CFGMAN

Configuration Management

DEV

Device Management

DHCP

Dynamic Host Configuration Protocol

DHCPR

IPv4 DHCP Relay

DHCPS

IPv4 DHCP server

DHCPS6

IPv6 DHCP server

DHCPSP4

IPv4 DHCP Snooping

DHCPSP6

IPv6 DHCP Snooping

DIAG

Diagnosis

DLDP

Device Link Detection Protocol

DOT1X

802.1X

ETHOAM

Ethernet Operation, Administration and Maintenance

EVB

Edge Virtual Bridging

EVIISIS

Ethernet Virtual Interconnect Intermediate System-to-Intermediate System

FILTER

Filter

FCOE

Fibre Channel Over Ethernet

FCLINK

Fibre Channel Link

FCZONE

Fibre Channel Zone

FIPS

FIP Snooping

FTPD

File Transfer Protocol

HA

High Availability

HTTPD

Hypertext Transfer Protocol Daemon

IFNET

Interface Net Management

IKE

Internet Key Exchange

IPSEC

IP Security

IPSG

IP Source Guard

IRDP

ICMP Router Discovery Protocol

ISIS

Intermediate System-to-Intermediate System

ISSU

In-Service Software Upgrade

L2PT

Layer 2 Protocol Tunneling

L2VPN

Layer 2 VPN

LAGG

Link Aggregation

LDP

Label Distribution Protocol

LICENSE

License

LLDP

Link Layer Discovery Protocol

LOAD

Load Management

LOGIN

Login

LPDT

Loopback Detection

LS

Local Server

LSPV

LSP Verification

MAC

Media Access Control

MACA

MAC Authentication

MACSEC

MACsec

MBFD

MPLS BFD

MDC

Multitenant Device Context

MFIB

Multicast Forwarding Information Base

MGROUP

Mirroring group

MPLS

Multiprotocol Label Switching

MSTP

Multiple Spanning Tree Protocol

MTLK

Monitor Link

ND

Neighbor Discovery

NQA

Network Quality Analyzer

NTP

Network Time Protocol

OFP

OpenFlow

OPTMOD

Optical Module

OSPF

Open INT16est Path First

OSPFV3

Open INT16est Path First Version 3

PBB

Provider Backbone Bridge

PBR

Policy-Based Routing

PEX

Port Extender

PFILTER

Packet Filter

PIM

Protocol Independent Multicast

PING

Packet Internet Groper

PKI

Public Key Infrastructure

PKT2CPU

Packet to CPU

PORTSEC

Port Security

PPP

Point to Point Protocol

Product DRV_DEVM

驱动设备管理模块

Product DRV_SYSM

驱动系统信息

Product_DRV_GOLD

驱动GOLD模块

Product_DRV_IRF3

驱动IRF3模块

Product_DRV_L2

驱动二层转发模块

Product_DRV_L3

驱动三层转发模块

Product_DRV_PORT

驱动端口模块

Product_DRV_QACL

驱动ACLQoS模块

Product_DRV_RXTX

驱动包收发模块

Product_DRV_STACK

驱动堆叠(IRF)模块

Product_DRV_SWFA

驱动网板管理模块

PWDCTL

Password Control

QOS

Quality of Service

RADIUS

Remote Authentication Dial In User Service

RIP

Routing Information Protocol

RIPNG

Routing Information Protocol Next Generation

RM

Routing Management

SCM

Service Control Manager

SCRLSP

Static CRLSP

sFlow

Sampled Flow

SHELL

Shell

SLSP

Static LSP

SMLK

Smart Link

SNMP

Simple Network Management Protocol

SPBM

Shortest Path Bridging MAC

SSHS

Secure Shell Server

STAMGR

Station Management

STM

Stack Topology Management (IRF)

STP

Spanning Tree Protocol

SYSEVENT

System Event

SYSLOG

System Log

TACACS

Terminal Access Controller Access Control System

TELNETD

Telecom Munication Network Protocol Daemon

TRILL

Transparent Interconnect of Lots of Links

VLAN

Virtual Local Area Network

VRRP

Virtual Router Redundancy Protocol

 

1.4  文档使用说明

本文将系统日志信息按照软件模块分类,每个模块以字母顺序排序,在每个模块中,系统日志信息按照助记符的名称,以字母顺序排序。

本文以表格的形式对日志信息进行介绍。有关表中各项的含义请参考表5

表1-5 日志信息表内容说明

表项

说明

举例

日志内容

显示日志信息的具体内容

ACL [UINT32] [STRING] [COUNTER64] packet(s).

参数解释

按照参数在日志中出现的顺序对参数进行解释

参数顺序用“$数字”表示,例如“$1”表示在该日志中出现的第一个参数

$1ACL编号

$2ACL规则的ID和内容

$3:与ACL规则匹配的数据包个数

日志等级

日志严重等级

6

举例

一个真实的日志信息举例。由于不同的系统设置,日志信息中的“<Int_16>TIMESTAMP HOSTNAME %%vendor”部分也会不同,本文表格中的日志信息举例不包含这部分内容

ACL/6/ACL_STATIS_INFO: ACL 2000 rule 0 permit source 1.1.1.1 0 logging 10000 packet(s).

日志说明

解释日志信息和日志生成的原因

匹配一条ACL规则的数据包个数。该日志会在数据包个数发生变化时输出

处理建议

建议用户应采取哪些处理措施。级别为6的“Informational”日志信息是正常运行的通知信息,用户无需处理

系统正常运行时产生的信息,无需处理

 

2 AAA

本节介绍AAA模块输出的日志信息。

2.1  AAA_FAILURE

日志内容

-AAAType=[STRING]-AAADomain=[STRING]-Service=[STRING]-UserName=[STRING]; AAA failed.

参数解释

$1AAA类型

$2AAA方案

$3:服务

$4:用户名称

日志等级

5

举例

AAA/5/AAA_FAILURE: -AAAType=AUTHOR-AAADomain=domain1-Service=login-UserName=cwf@system; AAA is failed.

日志说明

由于未收到服务器响应,用户名/密码错误,或其他原因(例如用户申请的服务类型不正确),用户的AAA请求被拒绝

处理建议

1.     检查设备与服务器的连接

2.     重新输入用户名和密码

3.     检查服务器上的设置(例如服务类型)是否正确

 

2.2  AAA_LAUNCH

日志内容

-AAAType=[STRING]-AAADomain=[STRING]-Service=[STRING]-UserName=[STRING]; AAA launched.

参数解释

$1AAA类型

$2AAA方案

$3:服务

$4:用户名称

日志等级

6

举例

AAA/6/AAA_LAUNCH: -AAAType=AUTHEN-AAADomain=domain1-Service=login-UserName=cwf@system; AAA launched.

日志说明

用户发送AAA请求

处理建议

 

2.3  AAA_SUCCESS

日志内容

-AAAType=[STRING]-AAADomain=[STRING]-Service=[STRING]-UserName=[STRING]; AAA is successful.

参数解释

$1AAA类型

$2AAA方案

$3:服务

$4:用户名称

日志等级

6

举例

AAA/6/AAA_SUCCESS: -AAAType=AUTHOR-AAADomain=domain1-Service=login-UserName=cwf@system; AAA is successful.

日志说明

接受用户的AAA请求

处理建议

 

3 ACL

本节介绍ACL模块输出的日志信息。

3.1  ACL_IPV6_STATIS_INFO

日志内容

IPv6 ACL [UINT32] [STRING] [UINT64] packet(s).

参数解释

$1ACL编号

$2IPv6 ACL规则的ID及内容

$3:匹配上规则的报文个数

日志等级

6

举例

ACL6/6/ACL_IPV6_STATIS_INFO: IPv6 ACL 2000 rule 0 permit source 1:1::/64 logging 1000 packet(s).

日志说明

匹配上IPv6 ACL规则的报文数量发生变化

处理建议

 

3.2  ACL_NO_MEM

日志内容

Failed to configure [STRING] ACL [UINT] due to lack of memory.

参数解释

$1ACL版本

$2ACL编号

日志等级

3

举例

ACL/3/ACL_NO_MEM: Failed to configure ACL 2001 due to lack of memory.

日志说明

内存不足导致配置ACL失败

处理建议

使用display memory-threshold命令检查内存使用情况

 

3.3  ACL_RESOURCE_INFO

日志内容

The [STRING]’s TCAM resource usage is [UINT32]% ([UINT32] entries used, totally [UINT32] entries), higher than threshold([UINT32]%) on chassis [UINT32] slot [UINT32].

参数解释

$1:资源名称,包括MACROUTEACL

$2TCAM资源使用百分比

$3:已使用的TCAM表项数目

$4:所有的TCAM表项数目

$5TCAM资源使用告警阈值

$6:成员编号

$7:槽位号

日志等级

6

举例

The ACL’s TCAM resource usage is 87%(87 entries used, totally 100 entries), higher than threshold(80%) on chassis 1 slot 2.

日志说明

TCAM资源使用情况超过了告警阈值

处理建议

 

3.4  ACL_STATIS_INFO

日志内容

ACL [UINT32] [STRING] [UINT64] packet(s).

参数解释

$1ACL编号

$2IPv4 ACL规则的ID及内容

$3:匹配上规则的报文个数

日志等级

6

举例

ACL/6/ACL_STATIS_INFO: ACL 2000 rule 0 permit source 1.1.1.1 0 logging 10000 packet(s).

日志说明

匹配上IPv4 ACL规则的报文数量发生变化

处理建议

 

4 APMGR

本节介绍AP管理模块输出的日志信息。

4.1  APMGR_ADDBAC_INFO

日志内容

Add BAS AC [STRING].

参数解释

$1BAS ACMAC地址

日志等级

6

举例

APMGR/6/APMGR_ADDBAC_INFO:

Add BAS AC 3ce5-a616-28cd.

日志说明

Master ACBAS AC建立连接

处理建议

 

4.2  APMGR_DELBAC_INFO

日志内容

Delete BAS AC [STRING].

参数解释

$1BAS ACMAC地址

日志等级

6

举例

APMGR/6/APMGR_DELBAC_INFO:

Delete BAS AC 3ce5-a616-28cd.

日志说明

Master AC断开与BAS AC的连接

处理建议

 

5 ARP

本节介绍ARP模块输出的日志信息。

5.1  DUPIFIP

日志内容

Duplicate address [STRING] on interface [STRING], sourced from [STRING]

参数解释

$1IP 地址

$2:接口名称

$3MAC 地址

日志等级

6

举例

ARP/6/DUPIFIP: Duplicate address 1.1.1.1 on interface GigabitEthernet1/0/1, sourced from 0015-E944-A947

日志说明

ARP检测到重复地址

接口收到ARP报文的发送端IP地址与该接口的IP地址重复

处理建议

修改IP地址配置

 

5.2  DUPIP

日志内容

IP address [STRING] conflicts with global or imported IP address, sourced from [STRING]

参数解释

$1IP 地址

$2MAC 地址

日志等级

6

举例

ARP/6/DUPIP: IP address 30.1.1.1 conflicts with global or import IP address, sourced from 0000-0000-0001

日志说明

收到ARP报文中的发送端IP地址与全局或导入的IP地址冲突

处理建议

修改IP地址配置

 

5.3  DUPVRRPIP

日志内容

IP address [STRING] collision with VRRP virtual IP address on interface [STRING], sourced from [STRING]

参数解释

$1IP 地址

$2:接口名称

$3MAC 地址

日志等级

6

举例

ARP/6/DUPVRRPIP: IP address 1.1.1.1 conflicts with VRRP virtual IP address on interface GigabitEthernet1/0/1, sourced from 0015-E944-A947

日志说明

收到ARP报文中的发送端IPVRRP虚拟IP地址冲突

处理建议

修改IP地址配置

 

5.4  ARP_ACTIVE_ACK_NO_REPLY

日志内容

No ARP reply from IP [STRING] was received on interface [STRING]

参数解释

$1IP 地址

$2:接口名称

日志等级

6

举例

ARP/6/ARP_ACTIVE_ACK_NO_REPLY: No ARP reply from IP 192.168.10.1 was received on interface GigabitEthernet1/0/1.

日志说明

ARP主动确认功能检测到攻击

接口向所收到ARP报文的发送端IP发送ARP请求,未收到ARP应答

处理建议

检查ARP报文发送主机的合法性

 

5.5  ARP_ACTIVE_ACK_NOREQUESTED_REPLY

日志内容

Interface [STRING] received from IP [STRING] an ARP reply that was not requested by the device.

参数解释

$1:接口名称

$2IP地址

日志等级

6

举例

ARP/6/ARP_ACTIVE_ACK_NOREQUESTED_REPLY: Interface GigabitEthernet1/0/1 received from IP 192.168.10.1 an ARP reply that was not requested by the device.

日志说明

ARP主动确认功能检测到攻击

接口在未向ARP报文发送端IP地址发送ARP请求的情况下,收到ARP应答

处理建议

此种情况下设备会自动丢弃攻击报文,用户无需处理

 

5.6  ARP_RATE_EXCEEDED

日志内容

The ARP packet rate ([UINT32] pps) exceeded the rate limit ([UINT32] pps) on interface [STRING] in the last [UINT32] seconds

参数解释

$1ARP报文速率

$2ARP报文限速速率

$3:接口名称

$4:间隔时间

日志等级

4

举例

ARP/4/ARP_RATE_EXCEEDED: The ARP packet rate (100 pps) exceeded the rate limit (80 pps) on interface GigabitEthernet1/0/1 in the last 10 seconds.

日志说明

接口接收ARP报文速率超过了接口的限速值

处理建议

检查ARP报文发送主机的合法性

 

5.7  ARP_SENDER_IP_INVALID

日志内容

Sender IP [STRING] was not on the same network as the receiving interface [STRING]

参数解释

$1IP地址

$2:接口名称

日志等级

6

举例

ARP/6/ARP_SENDER_IP_INVALID: Sender IP 192.168.10.2 was not on the same network as the receiving interface GigabitEthernet1/0/1.

日志说明

接口收到ARP报文中发送端IP与本接口不在同一网段

处理建议

检查发送端IP对应主机的合法性

 

5.8  ARP_SENDER_MAC_INVALID

日志内容

Sender MAC [STRING] was not identical to Ethernet source MAC [STRING] on interface [STRING]

参数解释

$1MAC 地址

$2MAC 地址

$3:接口名称

日志等级

6

举例

ARP/6/ARP_SENDER_MAC_INVALID: Sender MAC 0000-5E14-0E00 was not identical to Ethernet source MAC 0000-5C14-0E00 on interface GigabitEthernet1/0/1.

日志说明

接口收到ARP报文的以太网数据帧首部中的源MAC地址和ARP报文中的发送端MAC地址不同

处理建议

检查发送端MAC地址对应主机的合法性

 

5.9  ARP_SRC_MAC_FOUND_ATTACK

日志内容

An attack from MAC [STRING] was detected on interface [STRING]

参数解释

$1MAC 地址

$2:接口名称

日志等级

6

举例

ARP/6/ARP_SRC_MAC_FOUND_ATTACK: An attack from MAC 0000-5E14-0E00 was detected on interface GigabitEthernet1/0/1.

日志说明

MAC地址固定的ARP攻击检测功能检测到攻击

5秒内,收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值

处理建议

检查该源MAC地址对应主机的合法性

 

5.10  ARP_TARGET_IP_INVALID

日志内容

Target IP [STRING] was not the IP of the receiving interface [STRING]

参数解释

$1IP 地址

$2:接口名称

日志等级

6

举例

ARP/6/ARP_TARGET_IP_INVALID: Target IP 192.168.10.2 was not the IP of the receiving interface GigabitEthernet1/0/1.

日志说明

接口收到ARP报文中的目标IP与本接口IP不一致

处理建议

检查发送ARP报文的主机的合法性

 

5.11  ARP_SENDER_SMACCONFLICT_VSI

日志内容

Packet was discarded because its sender MAC address was the MAC address of the receiving interface.

Interface: [STRING], sender IP: [STRING], target IP: [STRING],VSI index: [UINT32], link ID: [UINT32].

参数解释

$1:接口名

$2:发送端IP地址

$3:目标IP地址

$4VSI索引

$5link ID

日志等级

6

举例

ARP/6/ARP_SENDER_SMACCONFLICT_VSI: Packet discarded for the sender MAC address is the same as the receiving interface.

Interface: VSI3 sender IP: 1.1.2.2 target IP: 1.1.2.1, VSI Index: 2, Link ID: 0

日志说明

设备从接口VSI3接收到的ARP报文中的源MAC和设备的MAC地址冲突

处理建议

无需处理

 

5.12  ARP_SENDER_SMACCONFLICT

日志内容

Packet was discarded because its sender MAC address was the MAC address of the receiving interface.

Interface: [STRING], sender IP: [STRING], target IP: [STRING].

参数解释

$1:接口名

$2:发送端IP地址

$3:目标IP地址

日志等级

6

举例

ARP/6/ARP_SENDER_SMACCONFLICT: Packet discarded for the sender MAC address is the same as the receiving interface.

Interface: GE1/0/1 sender IP: 1.1.2.2 target IP: 1.1.2.1,

日志说明

设备从接口GE1/0/1接收到的ARP报文中的源MAC和设备的MAC地址冲突

处理建议

无需处理

 

6 ATK

本节介绍攻击检测与防范模块输出的日志信息。

6.1  ATKDF_ICMP_ADDRMASK_REQ

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ADDRMASK_REQ: IcmpType(1058)=17; RcvIfName(1023)=GigabitEthernet1/0/1; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP地址掩码请求报文数超过1,聚合后触发日志

处理建议

 

6.2  ATKDF_ICMP_ADDRMASK_REQ_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ADDRMASK_REQ_RAW: IcmpType(1058)=17; RcvIfName(1023)=GigabitEthernet1/0/1; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP地址掩码请求报文首包触发日志;日志聚合开关关闭,每个ICMP地址掩码请求报文触发一个日志

处理建议

 

6.3  ATKDF_ICMP_ADDRMASK_RPL

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ADDRMASK_RPL: IcmpType(1058)=18; RcvIfName(1023)=GigabitEthernet1/0/1; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP地址掩码应答报文数超过1,聚合后触发日志

处理建议

 

6.4  ATKDF_ICMP_ADDRMASK_RPL_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ADDRMASK_RPL_RAW: IcmpType(1058)=18; RcvIfName(1023)=GigabitEthernet1/0/1; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP地址掩码应答报文首包触发日志;日志聚合开关关闭,每个ICMP地址掩码应答报文触发一个日志

处理建议

 

6.5  ATKDF_ICMP_ECHO_REQ

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ECHO_REQ: IcmpType(1058)=8; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2.

日志说明

日志聚合开关开启,ICMP请求回显报文数超过1,聚合后触发日志;

处理建议

 

6.6  ATKDF_ICMP_ECHO_REQ_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; DstPort(1004)=[UINT16]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6:目的端口

$7VPN名称

$8:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ECHO_REQ_RAW: IcmpType(1058)=8; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DstPort(1004)=22; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP请求回显报文首包触发日志;日志聚合开关关闭,每个ICMP请求回显报文触发一个日志

处理建议

 

6.7  ATKDF_ICMP_ECHO_RPL

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ECHO_RPL: IcmpType(1058)=0; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP回显应答报文数超过1,聚合后触发日志

处理建议

 

6.8  ATKDF_ICMP_ECHO_RPL_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_ECHO_RPL_RAW: IcmpType(1058)=0; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP回显应答报文首包触发日志;日志聚合开关关闭,每个ICMP回显应答报文触发一个日志

处理建议

 

6.9  ATKDF_ICMP_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的ICMP报文数超过阈值,触发日志

处理建议

 

6.10  ATKDF_ICMP_INFO_REQ

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_INFO_REQ: IcmpType(1058)=15; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP信息请求的报文数超过1,聚合后触发日志

处理建议

 

6.11  ATKDF_ICMP_INFO_REQ_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_INFO_REQ_RAW: IcmpType(1058)=15; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP信息请求的报文首包触发日志;日志聚合开关关闭,每个ICMP信息请求的报文触发一个日志

处理建议

 

6.12  ATKDF_ICMP_INFO_RPL

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_INFO_RPL: IcmpType(1058)=16; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP信息应答的报文数超过1,聚合后触发日志

处理建议

 

6.13  ATKDF_ICMP_INFO_RPL_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_INFO_RPL_RAW: IcmpType(1058)=16; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP信息应答的报文首包触发日志;日志聚合开关关闭,每个ICMP信息应答的报文触发一个日志

处理建议

 

6.14  ATKDF_ICMP_LARGE

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_LARGE: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP超大报文数超过1,聚合后触发日志

处理建议

 

6.15  ATKDF_ICMP_LARGE_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_LARGE_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP超大报文首包触发日志;日志聚合开关关闭,每个ICMP超大报文触发一个日志

处理建议

 

6.16  ATKDF_ICMP_PARAPROBLEM

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_PARAPROBLEM: IcmpType(1058)=12; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP参数错误的报文数超过1,聚合后触发日志

处理建议

 

6.17  ATKDF_ICMP_PARAPROBLEM_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_PARAPROBLEM_RAW: IcmpType(1058)=12; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP参数错误的报文首包触发日志;日志聚合开关关闭,每个ICMP参数错误的报文触发一个日志

处理建议

 

6.18  ATKDF_ICMP_PINGOFDEATH

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_PINGOFDEATH: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,标志位设置为最后一片并且(IP offset * 8) + (IP data lenth) > 65535 ICMP报文数超过1,聚合后触发日志

处理建议

 

6.19  ATKDF_ICMP_PINGOFDEATH_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_PINGOFDEATH_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,标志位设置为最后一片并且(IP offset * 8) + (IP data lenth) > 65535 ICMP报文首包触发日志;日志聚合开关关闭,每个标志位设置为最后一片并且(IP offset * 8) + (IP data lenth) > 65535 ICMP报文触发一个日志

处理建议

 

6.20  ATKDF_ICMP_REDIRECT

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_REDIRECT: IcmpType(1058)=5; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP重定向报文数超过1,聚合后触发日志

处理建议

 

6.21  ATKDF_ICMP_REDIRECT_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_REDIRECT_RAW: IcmpType(1058)=5; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP重定向报文首包触发日志;日志聚合开关关闭,每个ICMP重定向报文触发一个日志

处理建议

 

6.22  ATKDF_ICMP_SMURF

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_SMURF: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP请求回显报文,目的IP为:(1)ABC类广播地址或者网络地址;D类或者E类地址;(2)入接口IP地址对应的广播地址或者网络地址特征的报文数超过1,聚合后触发日志

处理建议

 

6.23  ATKDF_ICMP_SMURF_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_SMURF_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP请求回显报文,目的IP为:(1)ABC类广播地址或者网络地址;D类或者E类地址;(2)入接口IP地址对应的广播地址或者网络地址特征的报文首包触发日志

日志聚合开关关闭,符合上述条件的ICMP请求回显报文,每个报文触发一个日志

处理建议

 

6.24  ATKDF_ICMP_SOURCEQUENCH

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_SOURCEQUENCH: IcmpType(1058)=4; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP源端被关闭的报文数超过1,聚合后触发日志

处理建议

 

6.25  ATKDF_ICMP_SOURCEQUENCH_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_SOURCEQUENCH_RAW: IcmpType(1058)=4; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP源端被关闭的报文首包触发日志;日志聚合开关关闭,每个ICMP源端被关闭的报文触发一个日志

处理建议

 

6.26  ATKDF_ICMP_TIMEEXCEED

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TIMEEXCEED: IcmpType(1058)=11; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP超时的报文数超过1,聚合后触发日志

处理建议

 

6.27  ATKDF_ICMP_TIMEEXCEED_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TIMEEXCEED_RAW: IcmpType(1058)=11; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP超时的报文首包触发日志;日志聚合开关关闭,每个ICMP超时的报文触发一个日志

处理建议

 

6.28  ATKDF_ICMP_TRACEROUTE

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_TRACEROUTE: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP类型为11且代码为0的报文数超过1,聚合后触发日志

处理建议

 

6.29  ATKDF_ICMP_TRACEROUTE_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_ICMP_TRACEROUTE_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP类型为11且代码为0的报文首包触发日志;日志聚合开关关闭,每个ICMP类型为11且代码为0的报文触发一个日志

处理建议

 

6.30  ATKDF_ICMP_TSTAMP_REQ

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TSTAMP_REQ: IcmpType(1058)=13; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP时间戳请求的报文数超过1,聚合后触发日志

处理建议

 

6.31  ATKDF_ICMP_TSTAMP_REQ_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TSTAMP_REQ_RAW: IcmpType(1058)=13; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP时间戳请求的报文首包触发日志;日志聚合开关关闭,每个ICMP时间戳请求的报文触发一个日志

处理建议

 

6.32  ATKDF_ICMP_TSTAMP_RPL

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TSTAMP_RPL: IcmpType(1058)=14; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP时间戳应答的报文数超过1,聚合后触发日志

处理建议

 

6.33  ATKDF_ICMP_TSTAMP_RPL_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TSTAMP_RPL_RAW: IcmpType(1058)=14; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP时间戳应答的报文首包触发日志;日志聚合开关关闭,每个ICMP时间戳应答的报文触发一个日志

处理建议

 

6.34  ATKDF_ICMP_TYPE

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TYPE: IcmpType(1058)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP用户自定义类型的报文数超过1,聚合后触发日志

处理建议

 

6.35  ATKDF_ICMP_TYPE_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_TYPE_RAW: IcmpType(1058)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP用户自定义类型的报文首包触发日志;日志聚合开关关闭,每个ICMP用户自定义类型的报文触发一个日志

处理建议

 

6.36  ATKDF_ICMP_UNREACHABLE

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_UNREACHABLE: IcmpType(1058)=3; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011091319; EndTime_c(1012)=20131011091819; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP目的不可达的报文数超过1,聚合后触发日志

处理建议

 

6.37  ATKDF_ICMP_UNREACHABLE_RAW

日志内容

IcmpType(1058)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMP类型

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMP_UNREACHABLE_RAW: IcmpType(1058)=3; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMP目的不可达的报文首包触发日志;日志聚合开关关闭,每个ICMP目的不可达的报文触发一个日志

处理建议

 

6.38  ATKDF_ICMPV6_DEST_UNREACH

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_DEST_UNREACH: Icmpv6Type(1059)=133; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6目的不可达的报文数超过1,聚合后触发日志

处理建议

 

6.39  ATKDF_ICMPV6_DEST_UNREACH_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_DEST_UNREACH_RAW: Icmpv6Type(1059)=133; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6目的不可达的报文首包触发日志;日志聚合开关关闭,每个ICMPV6目的不可达的报文触发一个日志

处理建议

 

6.40  ATKDF_ICMPV6_ECHO_REQ

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_ECHO_REQ: Icmpv6Type(1059)=128; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6请求回显的报文数超过1,聚合后触发日志

处理建议

 

6.41  ATKDF_ICMPV6_ECHO_REQ_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_ECHO_REQ_RAW: Icmpv6Type(1059)=128; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6请求回显的报文首包触发日志;日志聚合开关关闭,每个ICMPV6请求回显的报文触发一个日志

处理建议

 

6.42  ATKDF_ICMPV6_ECHO_RPL

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_ECHO_RPL: Icmpv6Type(1059)=129; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6回显应答的报文数超过1,聚合后触发日志

处理建议

 

6.43  ATKDF_ICMPV6_ECHO_RPL_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_ECHO_RPL_RAW: Icmpv6Type(1059)=129; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6回显应答的报文首包触发日志;日志聚合开关关闭,每个ICMPV6回显应答的报文触发一个日志

处理建议

 

6.44  ATKDF_ICMPV6_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IPv6地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_ICMPV6_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPv6Addr(1007)=2002::2; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的ICMPV6报文数超过阈值,触发日志

处理建议

 

6.45  ATKDF_ICMPV6_GROUPQUERY

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPQUERY: Icmpv6Type(1059)=130; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6组播侦听者查询的报文数超过1,聚合后触发日志

处理建议

 

6.46  ATKDF_ICMPV6_GROUPQUERY_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPQUERY_RAW: Icmpv6Type(1059)=130; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6组播侦听者查询的报文首包触发日志;日志聚合开关关闭,每个每个ICMPV6组播侦听者查询的报文触发一个日志

处理建议

 

6.47  ATKDF_ICMPV6_GROUPREDUCTION

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPREDUCTION: Icmpv6Type(1059)=132; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6组播侦听者Done的报文数超过1,聚合后触发日志

处理建议

 

6.48  ATKDF_ICMPV6_GROUPREDUCTION_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPREDUCTION_RAW: Icmpv6Type(1059)=132; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6组播侦听者Done的报文首包触发日志;日志聚合开关关闭,每个每个ICMPV6组播侦听者Done的报文触发一个日志

处理建议

 

6.49  ATKDF_ICMPV6_GROUPREPORT

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPREPORT: Icmpv6Type(1059)=131; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6组播侦听者报告的报文数超过1,聚合后触发日志

处理建议

 

6.50  ATKDF_ICMPV6_GROUPREPORT_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_GROUPREPORT_RAW: Icmpv6Type(1059)=131; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6组播侦听者报告的报文首包触发日志;日志聚合开关关闭,每个每个ICMPV6组播侦听者报告的报文触发一个日志

处理建议

 

6.51  ATKDF_ICMPV6_LARGE

日志内容

RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IPv6地址

$3:目的IPv6地址

$4VPN名称

$5:动作类型

$6:攻击开始时间

$7:攻击结束时间

$8:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMPV6_LARGE: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6超长报文数超过1,聚合后触发日志

处理建议

 

6.52  ATKDF_ICMPV6_LARGE_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IPv6地址

$3:目的IPv6地址

$4VPN名称

$5:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_ICMPV6_LARGE_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6超长报文首包触发日志;日志聚合开关关闭,每个每个ICMPV6超长报文触发一个日志

处理建议

 

6.53  ATKDF_ICMPV6_PACKETTOOBIG

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_PACKETTOOBIG: Icmpv6Type(1059)=136; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6数据超长的报文数超过1,聚合后触发日志

处理建议

 

6.54  ATKDF_ICMPV6_PACKETTOOBIG_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_PACKETTOOBIG_RAW: Icmpv6Type(1059)=136; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6数据超长的报文首包触发日志;日志聚合开关关闭,每个ICMPV6数据超长的报文触发一个日志

处理建议

 

6.55  ATKDF_ICMPV6_PARAPROBLEM

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_PARAPROBLEM: Icmpv6Type(1059)=135; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6参数问题的报文数超过1,聚合后触发日志

处理建议

 

6.56  ATKDF_ICMPV6_PARAPROBLEM_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_PARAPROBLEM_RAW: Icmpv6Type(1059)=135; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6参数问题的报文首包触发日志;日志聚合开关关闭,每个ICMPV6参数问题的报文触发一个日志

处理建议

 

6.57  ATKDF_ICMPV6_TIMEEXCEED

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_TIMEEXCEED: Icmpv6Type(1059)=134; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6超时的报文数超过1,聚合后触发日志

处理建议

 

6.58  ATKDF_ICMPV6_TIMEEXCEED_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_TIMEEXCEED_RAW: Icmpv6Type(1059)=134; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6超时的报文首包触发日志;日志聚合开关关闭,每个ICMPV6超时的报文触发一个日志

处理建议

 

6.59  ATKDF_ICMPV6_TRACEROUTE

日志内容

RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IPv6地址

$3:目的IPv6地址

$4VPN名称

$5:动作类型

$6:攻击开始时间

$7:攻击结束时间

$8:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMPV6_TRACEROUTE: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMP类型为3的报文数超过1,聚合后触发日志

处理建议

 

6.60  ATKDF_ICMPV6_TRACEROUTE_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING];

参数解释

$1:入接口名称

$2:源IPv6地址

$3:目的IPv6地址

$4VPN名称

$5:动作类型

$6:攻击开始时间

$7:攻击结束时间

$8:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_ICMPV6_TRACEROUTE_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435;

日志说明

日志聚合开关开启,ICMP类型为3的报文首包触发日志;日志聚合开关关闭,每个ICMP类型为3的报文触发一个日志

处理建议

 

6.61  ATKDF_ICMPV6_TYPE

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_TYPE: Icmpv6Type(1059)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011100935; EndTime_c(1012)=20131011101435; AtkTimes(1050)=2;

日志说明

日志聚合开关开启,ICMPV6用户自定义类型的报文数超过1,聚合后触发日志

处理建议

 

6.62  ATKDF_ICMPV6_TYPE_RAW

日志内容

Icmpv6Type(1059)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPv6Addr(1036)=[IPADDR]; DstIPv6Addr(1037)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1ICMPv6类型

$2:入接口名称

$3:源IPv6地址

$4:目的IPv6地址

$5VPN名称

$6:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_ICMPV6_TYPE_RAW: Icmpv6Type(1059)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPv6Addr(1036)=5600::12; DstIPv6Addr(1037)=1200:0:3400:0:5600:0:7800:0; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,ICMPV6用户自定义类型的报文首包触发日志;日志聚合开关关闭,每个ICMPV6用户自定义类型的报文触发一个日志

处理建议

 

6.63  ATKDF_IP_OPTION

日志内容

IPOptValue(1057)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1IP选项值

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:协议类型

$8:动作类型

$9:攻击开始时间

$10:攻击结束时间

$11:攻击次数

日志等级

5

举例

ATTACK/5/ATKDF_IP_OPTION: IPOptValue(1057)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=RAWIP; Action(1049)=logging; BeginTime_c(1011)=20131011063123; EndTime_c(1012)=20131011063623; AtkTimes(1050)=3;

日志说明

日志聚合开关打开,用户自定义IP选项的报文数超过1,聚合后触发日志

处理建议

 

6.64  ATKDF_IP_OPTION_RAW

日志内容

IPOptValue(1057)=[UINT32]; RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING];

参数解释

$1IP选项值

$2:入接口名称

$3:源IP地址

$4DS-Lite Tunnel对端地址

$5:目的IP地址

$6VPN名称

$7:协议类型

$8:动作类型

日志等级

5

举例

ATTACK/5/ATKDF_IP_OPTION_RAW: IPOptValue(1057)=38; RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=RAWIP; Action(1049)=logging;

日志说明

日志聚合开关开启,用户自定义IP选项的报文首包触发日志;日志聚合开关关闭,每个用户自定义IP选项的报文触发一个日志

处理建议

 

6.65  ATKDF_IP4_ACK_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_ACK_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的TCP标志位为ACKIPV4报文数超过阈值,触发日志

处理建议

 

6.66  ATKDF_IP4_DIS_PORTSCAN

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING];

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:动作类型

$5:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_DIS_PORTSCAN: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=vpn1; Action(1049)=logging,block-source; BeginTime_c(1011)=20131009052955.

日志说明

报文满足分布式port scan时触发日志

处理建议

 

6.67  ATKDF_IP4_DNS_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_DNS_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内向指定目的IP发送DNS Query的报文数超过阈值,触发日志发送

处理建议

 

6.68  ATKDF_IP4_FIN_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_FIN_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内向指定目的IP发送的TCP标志位为FIN的报文数超过阈值,触发日志发送

处理建议

 

6.69  ATKDF_IP4_FRAGMENT

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:协议类型

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_IP4_FRAGMENT: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=TCP; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=3;

日志说明

日志聚合开关开启,偏移量OffSet值在(0,5)之间的IPV4报文数超过1,聚合后触发日志

处理建议

 

6.70  ATKDF_IP4_FRAGMENT_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:协议类型

$7:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_IP4_FRAGMENT_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=TCP; Action(1049)=logging;

日志说明

日志聚合开关开启,偏移量OffSet值在(0,5)之间的IPV4报文首包触发日志;日志聚合开关关闭,每个偏移量OffSet值在(0,5)之间的IPV4报文触发一个日志

处理建议

 

6.71  ATKDF_IP4_HTTP_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_HTTP_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内向指定目的IP发送的HTTPGet报文数超过阈值,触发日志发送

处理建议

 

6.72  ATKDF_IP4_IMPOSSIBLE

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:协议类型

$7:动作类型

$8:攻击开始时间

$9:攻击结束时间

$10:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_IP4_IMPOSSIBLE: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=TCP; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=3;

日志说明

日志聚合开关开启,源目的地址相同的IPV4报文数超过1,聚合后触发日志

处理建议

 

6.73  ATKDF_IP4_IMPOSSIBLE_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Protocol(1001)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:协议类型

$7:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_IP4_IMPOSSIBLE_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Protocol(1001)=TCP; Action(1049)=logging;

日志说明

日志聚合开关开启,源目的地址相同的IPV4报文首包触发日志;日志聚合开关关闭,每个源目的地址相同的IPV4报文触发一个日志

处理建议

 

6.74  ATKDF_IP4_IPSWEEP

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4VPN名称

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_IPSWEEP: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.5; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=vpn1; Action(1049)=logging,block-source; BeginTime_c(1011)=20131009060657.

日志说明

报文满足ip sweep时触发日志

处理建议

 

6.75  ATKDF_IP4_PORTSCAN

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; RcvVPNInstance(1041)=[STRING]; DstIPAddr(1007)=[IPADDR]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4VPN名称

$5:目的IP地址

$6:动作类型

$7:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_PORTSCAN: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.5; DSLiteTunnelPeer(1040)=--; RcvVPNInstance(1041)=vpn1; DstIPAddr(1007)=6.1.1.5; Action(1049)=logging,block-source; BeginTime_c(1011)=20131009052955.

日志说明

报文满足port scan时触发日志

处理建议

 

6.76  ATKDF_IP4_RST_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_RST_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的TCP标志位为RSTIPV4报文数超过阈值,触发日志

处理建议

 

6.77  ATKDF_IP4_SYN_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_SYN_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的TCP标志位为SYNIPV4报文数超过阈值,触发日志

处理建议

 

6.78  ATKDF_IP4_SYNACK_FLOOD

日志内容

RcvIfName(1023)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; UpperLimit(1048)=[UINT32]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING].

参数解释

$1:入接口名称

$2:目的IP地址

$3VPN名称

$4:速率上限

$5:动作类型

$6:攻击开始时间

日志等级

3

举例

ATTACK/3/ATKDF_IP4_SYNACK_FLOOD: RcvIfName(1023)=GigabitEthernet1/0/2; DstIPAddr(1007)=6.1.1.5; RcvVPNInstance(1041)=--; UpperLimit(1048)=10; Action(1049)=logging; BeginTime_c(1011)=20131009093351.

日志说明

单位时间内指定目的地址的TCP标志位为SYN+ACKIPV4报文数超过阈值,触发日志

处理建议

 

6.79  ATKDF_IP4_TCP_ALLFLAGS

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

$7:攻击开始时间

$8:攻击结束时间

$9:攻击次数

日志等级

3

举例

ATTACK/3/ATKDF_IP4_TCP_ALLFLAGS: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging; BeginTime_c(1011)=20131011074913; EndTime_c(1012)=20131011075413; AtkTimes(1050)=3;

日志说明

日志聚合开关开启,TCP标志位全置位的IPV4报文数超过1,聚合后触发日志

处理建议

 

6.80  ATKDF_IP4_TCP_ALLFLAGS_RAW

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING];

参数解释

$1:入接口名称

$2:源IP地址

$3DS-Lite Tunnel对端地址

$4:目的IP地址

$5VPN名称

$6:动作类型

日志等级

3

举例

ATTACK/3/ATKDF_IP4_TCP_ALLFLAGS_RAW: RcvIfName(1023)=GigabitEthernet1/0/2; SrcIPAddr(1003)=9.1.1.1; DSLiteTunnelPeer(1040)=--; DstIPAddr(1007)=6.1.1.1; RcvVPNInstance(1041)=--; Action(1049)=logging;

日志说明

日志聚合开关开启,TCP标志位全置位的IPV4报文首包触发日志;日志聚合开关关闭,每个TCP标志位全置位的IPV4报文触发一个日志

处理建议

 

6.81  ATKDF_IP4_TCP_FINONLY

日志内容

RcvIfName(1023)=[STRING]; SrcIPAddr(1003)=[IPADDR]; DSLiteTunnelPeer(1040)=[STRING]; DstIPAddr(1007)=[IPADDR]; RcvVPNInstance(1041)=[STRING]; Action(1049)=[STRING]; BeginTime_c(1011)=[STRING]; EndTime_c(1012)=[STRING]; AtkTimes(1050)=[UINT32];