• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11 网络管理和监控配置指导

目录

03-信息中心配置

本章节下载 03-信息中心配置  (392.13 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/CE3000/CE3000-EI/Configure/Operation_Manual/H3C_CE3000-32F-EI_CG-Release_18xx-6W100/11/201403/822459_30005_0.htm

03-信息中心配置


1 信息中心

1.1  信息中心简介

1.1.1  信息中心概述

信息中心是设备的信息枢纽,它能够对所有的系统信息进行分类、管理,为网络管理员监控网络运行情况和诊断网络故障提供了有力的支持。

信息中心的工作过程如下:

(1)     接收各模块生成的系统信息,包括日志信息(log)、告警信息(trap)和调试信息(debug)。

(2)     根据输出规则,将信息输出到信息通道。

(3)     根据信息通道和输出方向的关联,将信息输出到不同方向。

图1-1 信息中心功能示意图

 

说明

信息中心缺省情况下处于开启状态,当需要处理的信息较多时,会对系统性能有一定的影响。在系统资源不足时可以关闭信息中心来节约系统资源。

 

1.1.2  系统信息的分类

系统信息共分为三类:

·     log类:日志类信息,主要为设备的一些日常信息,如用户操作信息、接口状态变化信息等。

·     trap类:告警类信息,主要为设备的故障信息,如协议验证失败、网络出现故障等。

·     debug类:调试类信息,用来跟踪设备的运行情况,以便网络管理员诊断设备或网络故障。

系统由众多的协议模块、单板驱动程序、配置模块构成,系统信息可按来源模块进行划分,以便进行过滤输出。系统支持的来源模块可以通过输入info-center source ?获取。

1.1.3  系统信息的等级划分

系统信息按严重性可划分为如表1-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。在系统输出信息时,所有信息等级高于或等于设置等级的信息都会被输出。例如,输出规则中指定允许等级为6(informational)的信息输出,则等级0~6的信息均会被输出。

表1-1 系统信息等级列表

系统信息等级

级别数值

描述

emergencies

0

表示设备不可用的信息,如系统授权已到期

alerts

1

表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限

critical

2

表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等

errors

3

表示错误信息,如接口链路状态变化等

warnings

4

表示警告信息,如通过Web页面登录设备,内存耗尽告警等

notifications

5

表示正常出现但是重要的信息,如通过终端登录设备,设备重启等

informational

6

表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等

debugging

7

表示调试过程产生的信息

 

1.1.4  系统信息的通道和输出方向

系统信息通道和输出方向的缺省情况如表1-2所示。系统支持十个通道。缺省情况下,通道0~6和通道9已经定义了通道名和输出方向。用户可以通过命令改变通道名和输出方向,也可以配置通道7和通道8,将它们与输出方向关联,以便过滤出用户所需的系统信息。

表1-2 系统信息通道和输出方向的缺省情况

通道编号

通道的缺省名称

通道的缺省输出方向

通道缺省接收的系统信息

0

console

控制台

log、trap、debug信息

1

monitor

监视终端

log、trap、debug信息

2

loghost

日志主机

log、trap、debug信息

3

trapbuffer

告警缓冲区

trap信息

4

logbuffer

日志缓冲区

log信息

5

snmpagent

SNMP模块

trap信息

6

channel6

Web页面

log信息

7

channel7

未指定

log、trap、debug信息

8

channel8

未指定

log、trap、debug信息

9

channel9

日志文件

log、trap、debug信息

 

说明

·     可以使用info-center channel name命令更改系统信息的输出通道名称。

·     每个输出方向都有唯一的来源通道,但每个通道都可以输出到不同的方向。

 

1.1.5  系统信息缺省输出规则

输出规则规定了各个信息的输出方向、信息类型以及信息等级,缺省情况下的输出规则如表1-3所示,开关表示在该规则下开关对应的系统信息是否会被输出。

表1-3 系统信息缺省输出规则

输出方向

系统信息来源

log

trap

debug

开关

等级

开关

等级

开关

等级

控制台

所有支持的模块

informational

debugging

debugging

监视终端

所有支持的模块

informational

debugging

debugging

日志主机

所有支持的模块

informational

debugging

debugging

告警缓冲区

所有支持的模块

-

-

informational

-

-

日志缓冲区

所有支持的模块

informational

-

-

-

-

SNMP模块

所有支持的模块

-

-

informational

-

-

Web页面

所有支持的模块

debugging

-

-

-

-

日志文件

所有支持的模块

debugging

debugging

debugging

 

1.1.6  系统信息的格式

说明

下面介绍的格式是设备给各个输出方向发送的原始信息的格式,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。

 

1. 系统信息的格式

系统信息的输出方向不同时,系统信息的格式可能不同。

表1-4 系统信息格式表

输出方向

格式

举例

控制台、监视终端、日志缓冲区、告警缓冲区、SNMP模块或日志文件

timestamp sysname module/level/digest: content

%Jun 26 17:08:35:809 2008 Sysname SHELL/4/LOGIN: VTY login from 1.1.1.1

日志主机

H3C格式

<PRI>timestamp Sysname %%vvmodule/level/digest: source content

<189>Oct 9 14:59:04 2009 Sysname %%10SHELL/5/SHELL_LOGIN(l): VTY logged in from 192.168.1.21

UNICOM格式

<PRI>timestamp Sysname vvmodule/level/serial_number: content

<186>Oct 13 16:48:08 2000 Sysname 10IFNET/2/210231a64jx073000020: log_type=port;content=Vlan-interface1 link status is DOWN.

<186>Oct 13 16:48:08 2000 Sysname 10IFNET/2/210231a64jx073000020: log_type=port;content=Line protocol on the interface Vlan-interface1 is DOWN.

 

说明

系统信息的具体格式可能略有差异,请以实际情况为准。

 

2. 系统信息格式中各字段说明

(1)     PRI(优先级)

优先级的计算公式为:facility*8+severity。

·     facility表示工具名称,由info-center loghost命令设置,主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。

·     severity表示信息等级,具体含义请参见表1-1

本字段只有在信息发往日志主机时才会存在。

(2)     timestamp(时间戳)

时间戳记录了系统信息产生的时间,方便用户查看和定位系统事件。发往日志主机的系统信息的时间戳精确到秒,发送到其它方向的系统信息会精确到毫秒;发往日志主机的系统信息的时间戳格式由info-center timestamp loghost命令设置,发送到其它方向的时间戳格式由info-center timestamp命令统一设置。各时间戳格式的详细描述如表1-5所示。

对于输出方向为非日志主机的系统信息,时间戳前面会有一个百分号(%)、井号(#)或星号(*),它们分别表示该条信息是日志信息、告警信息或调试信息。

表1-5 时间戳格式描述表

时间戳格式

说明

举例

boot

系统启动后经历的时间(即设备本次运行的持续时间),格式为:xxx.yyy,其中xxx是系统自启动后经历时间的毫秒数高32位,yyy是低32位

除日志主机方向外发往其它方向的系统信息均支持该参数

%0.109391473 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully.

其中0.109391473即为boot格式的时间戳

date

系统当前的日期和时间,格式为“mm dd hh:mm:ss:xxx yyy”

发往所有方向的系统信息均支持该参数

%May 30 05:36:29:579 2003 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully.

其中May 30 05:36:29:579 2003即为date格式的时间戳

iso

ISO 8601中规定的时间戳格式

只有发往日志主机方向的系统信息支持该参数

<189>2003-05-30T06:42:44 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully.

其中2003-05-30T06:42:44即为iso格式的时间戳

none

不带时间信息

发往所有方向的系统信息均支持该参数

% Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully.

其中没有包含时间戳

no-year-date

系统当前日期和时间,但不包含年份信息,格式为“mm dd hh:mm:ss:xxx”

只有发往日志主机方向的系统信息支持该参数

<189>May 30 06:44:22 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully.

其中May 30 06:44:22即为no-year-date格式的时间戳

 

(3)     sysname(主机名或主机IP地址)

·     当使用UNICOM格式将系统信息发送到日志主机,并配置了info-center loghost source或者在info-center loghost命令中指定了vpn-instance vpn-instance-name参数时,本字段会显示为生成该日志的设备的IP地址。

·     当发往非日志主机方向或者使用H3C格式将系统信息发送到日志主机,本字段均会显示为生成该日志的设备的名称,即本机的系统名。用户可使用sysname命令修改本地系统名(具体配置请参见“基础配置命令参考”中的“设备管理”)。

(4)     %%(厂家标志)

本字段表示本信息由H3C设备生成。本字段只有在使用H3C格式将系统信息发往日志主机时才会存在。

(5)     vv(版本信息)

本字段表示syslog的版本标识,取值为10。本字段只有在信息发往日志主机时才会存在。

(6)     module(模块名)

本字段表示产生信息的功能模块的名称。模块列表可以通过在系统视图下输入info-center source ?进行查看。

(7)     level(信息等级)

系统信息共分为八个等级,从0~7,它们的定义和说明请参见表1-1。用户不能更改各模块生成的系统信息的等级,但可以使用info-center source命令指定信息输出的等级,低于该等级的信息不会被输出。

(8)     digest(信息摘要)

信息摘要是一个不超过32个字符的字符串,表示该信息的概述。

对于输出方向为日志主机的系统信息,如果该字符串以“(l)”结尾则表示该信息为log信息,如果该字符串以“(t)”结尾则表示该信息为trap信息,如果该字符串以“(d)”结尾则表示该信息为debug信息。

(9)     serial_number(序列号)

本字段表示生成该日志的设备的序列号。本字段只有在使用UNICOM格式将系统信息发往日志主机时才会存在。

(10)     source(定位信息)

本字段为可选字段,表示该信息的产生者,只有在使用H3C格式将系统信息发往日志主机时才会存在。本字段的具体内容可能为:

·     IRF(Intelligent Resilient Framework,智能弹性架构)的成员设备编号

·     日志产生者的源IP

(11)     content(信息文本)

本字段表示该条系统信息的具体内容。

1.2  配置信息中心

1.2.1  信息中心配置任务简介

表1-6 信息中心配置任务简介

配置任务

说明

详细配置

配置信息发送到控制台

请根据实际情况选择

1.2.2 

配置信息发送到监视终端

1.2.3 

配置信息发送到日志主机

1.2.4 

配置信息发送到告警缓冲区

1.2.5 

配置信息发送到日志缓冲区

1.2.6 

配置信息发送到SNMP模块

1.2.7 

配置信息发送到Web页面

1.2.8 

配置信息保存到日志文件

1.2.9 

配置安全日志同步保存和管理功能

可选

1.2.10 

配置同步信息输出功能

可选

1.2.11 

禁止接口生成Link up/Link down日志信息

可选

1.2.12 

 

说明

系统信息输出方向的设置相互独立。

 

1.2.2  配置信息发送到控制台

1. 配置信息发送到控制台

表1-7 配置信息发送到控制台

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向控制台输出信息的通道

info-center console channel { channel-number | channel-name }

可选

缺省情况下,系统使用0号(console)通道向控制台输出信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] *

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

2. 开启控制台对系统信息的显示功能

在配置将系统信息发送到控制台后,为了能在控制台上观察输出的信息,还要开启控制台对相应信息的显示功能。请在用户视图下进行以下操作。

表1-8 开启控制台对系统信息的显示功能

操作

命令

说明

开启控制台对系统信息的监视功能

terminal monitor

可选

缺省情况下,控制台的监视功能处于开启状态

开启控制台对调试信息的显示功能

terminal debugging

可选

缺省情况下,控制台对调试信息的显示功能处于关闭状态

开启控制台对日志信息的显示功能

terminal logging

可选

缺省情况下,控制台对日志信息的显示功能处于开启状态

开启控制台对告警信息的显示功能

terminal trapping

可选

缺省情况下,控制台对告警信息的显示功能处于开启状态

 

1.2.3  配置信息发送到监视终端

系统信息可以发往监视终端。监视终端是指以VTY类型用户界面登录的用户终端。

1. 配置信息发送到监视终端

表1-9 配置信息发送到监视终端

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向监视终端输出系统信息的通道

info-center monitor channel { channel-number | channel-name }

可选

缺省情况下,系统使用1号(monitor)通道向监视终端输出系统信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] *

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

2. 开启监视终端对系统信息的显示功能

在配置将系统信息发送到监视终端后,为了能在监视终端上观察输出的信息,还要开启监视终端对相应信息的显示功能。请在用户视图下进行以下操作。

表1-10 开启监视终端对系统信息的显示功能

操作

命令

说明

开启监视终端对系统信息的监视功能

terminal monitor

必选

缺省情况下,监视终端的监视功能处于关闭状态

只有首先配置terminal monitor命令,才能使用相应命令在当前终端显示日志信息、告警信息和调试信息

开启监视终端对调试信息的显示功能

terminal debugging

可选

缺省情况下,监视终端对调试信息的显示功能处于关闭状态

开启监视终端对日志信息的显示功能

terminal logging

可选

缺省情况下,监视终端对日志信息的显示功能处于开启状态

开启监视终端对告警信息的显示功能

terminal trapping

可选

缺省情况下,监视终端对告警信息的显示功能处于开启状态

 

1.2.4  配置信息发送到日志主机

表1-11 配置信息发送到日志主机

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] *

可选

缺省情况下,系统信息的输出规则请参见表1-3

配置发送的日志信息的源IP地址

info-center loghost source interface-type interface-number

可选

缺省情况下,系统根据路由来确定发送日志信息的出接口,使用该接口的主IP地址作为发送的日志信息的源IP地址

设置发往日志主机的系统信息的时间戳输出格式

info-center timestamp loghost { date | iso | no-year-date | none }

可选

缺省情况下,发往日志主机的系统信息的时间戳输出格式为date格式

设置发往日志主机的系统信息的输出格式

设置为UNICOM格式

info-center format unicom

二者可选其一

缺省情况下,发往日志主机的系统信息的格式为H3C格式

设置为H3C格式

undo info-center format

指定日志主机并设置相关输出参数

info-center loghost [ vpn-instance vpn-instance-name ] { host-ipv4-address | ipv6 host-ipv6-address } [ port port-number ] [ dscp dscp-value ] [ channel { channel-number | channel-name } | facility local-number ] *

必选

缺省情况下,系统不向日志主机输出信息

如果设置系统向日志主机输出信息时不指定通道,系统会使用2号(loghost)通道

port-number参数的值需要和日志主机侧的设置一致,否则,日志主机接收不到系统信息

 

1.2.5  配置信息发送到告警缓冲区

说明

告警缓冲区只接收trap信息,其它类型的信息将被丢弃。

 

表1-12 配置信息发送到告警缓冲区

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向告警缓冲区输出信息的通道以及告警缓冲区的容量

info-center trapbuffer [ channel { channel-number | channel-name } | size buffersize ] *

可选

缺省情况下,系统使用3号(trapbuffer)通道向告警缓冲区输出信息,告警缓冲区可存储256条信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ trap { level severity | state state } * ]

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

1.2.6  配置信息发送到日志缓冲区

说明

日志缓冲区只能接收log信息,其它信息将被丢弃。

 

表1-13 配置信息发送到日志缓冲区

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向日志缓冲区输出信息的通道以及日志缓冲区的容量

info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ] *

可选

缺省情况下,系统使用4号(logbuffer)通道向日志缓冲区输出信息,日志缓冲区可存储512条信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ log { level severity | state state } * ]

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

1.2.7  配置信息发送到SNMP模块

说明

SNMP模块只接收trap信息,其它类型的信息将被丢弃。

 

为了监控设备的运行状况,通常会将Trap信息发送到SNMP NMS(Network Management System,网络管理系统)。首先需要将信息发送给SNMP模块,再设置SNMP模块的Trap发送参数,对Trap信息进行进一步的处理(有关SNMP的详细介绍请参见“网络管理和监控配置指导”中的“SNMP”)。

表1-14 配置信息发送到SNMP模块

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向SNMP模块输出信息的通道

info-center snmp channel { channel-number | channel-name }

可选

缺省情况下,系统使用5号(snmpagent)通道向SNMP模块送系统信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ trap { level severity | state state }* ]

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

1.2.8  配置信息发送到Web页面

说明

Web页面时只能接收log信息,其它类型的信息将被丢弃。

 

本特性用于控制是否将系统信息发送到Web页面以及哪些系统信息可以发送到Web页面。Web页面提供了丰富的搜索和排序功能,配置该输出方向后,用户通过Web页面登录设备,点击相应的页签就可以方便快捷地查看设备的系统信息。

表1-15 配置信息发送到Web页面

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

为指定编号的信息通道命名

info-center channel channel-number name channel-name

可选

通道的缺省名称请参见表1-2

设置系统向Web页面输出信息的通道

info-center syslog channel { channel-number | channel-name }

可选

缺省情况下,系统使用6号通道向Web页面发送系统信息

配置系统信息的输出规则

info-center source { module-name | default } channel { channel-number | channel-name } [ log { level severity | state state }* ]

可选

缺省情况下,系统信息的输出规则请参见表1-3

设置时间戳输出格式

info-center timestamp { debugging | log | trap } { boot | date | none }

可选

缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式

 

1.2.9  配置信息保存到日志文件

通过使用本特性用户可以将系统产生的日志信息保存到设备上的日志文件中以便在本地随时查看。用户可以设置定期保存的频率,也可手工触发保存。

日志在保存到日志文件前,先保存在日志文件缓冲区(logfile buffer)。系统会按照指定的频率将日志文件缓冲区的内容写入日志文件,频率一般配置为24小时一次,用户也可以手工触发保存,建议在设备比较空闲的时候进行保存。成功保存后,保存前的日志文件缓冲区里的内容会被清空。

日志文件有容量限制,当日志文件的大小达到最大值时,设备会将日志文件中最旧的信息删除,再写入新的信息。

表1-16 配置信息保存到日志文件

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

开启日志文件特性

info-center logfile enable

可选

缺省情况下,日志文件特性处于开启状态

设置自动保存日志文件的频率

info-center logfile frequency freq-sec

可选

缺省情况下,设备自动保存日志文件的频率缺省值为86400

设置单个日志文件最大能占用的存储空间的大小

info-center logfile size-quota size

可选

缺省情况下,单个日志文件最大能占用的存储空间的大小为10MB。

为了保证设备的正常运行,info-center logfile size-quota设置的日志文件的大小最小不能低于1MB,最大不能超过10MB

设置存储日志文件的目录

info-center logfile switch-directory dir-name

可选

缺省情况下,存放日志文件的目录为Flash根目录

配置日志文件写保护功能

info-center logfile overwrite-protection [ all-port-powerdown ]

必选

缺省情况下,没有配置日志文件写保护功能

使能日志文件写保护功能后,当日志文件达到限额或存储空间不足时,不允许向日志文件中写入新的日志信息

该功能仅FIPS模式下支持

有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”

手动将日志文件缓冲区中的内容保存到日志文件

logfile save

可选

缺省情况下,系统将按照info-center logfile frequency命令所设置的频率自动保存日志文件

任意视图均可执行

 

说明

·     info-center logfile switch-directory命令通常用于日志文件的备份或者迁移前的准备工作,其配置会在设备重启或Master和Slave倒换后失效。

·     如果配置了all-port-powerdown参数,系统同时还会关闭所有物理端口(Console口、管理以太网口、配置了双机热备的端口及配置了IRF的端口除外)。此时,请尽快备份并删除原日志文件,释放存储空间,并重新开启端口,以恢复设备正常运行。

 

1.2.10  配置安全日志同步保存和管理功能

1. 安全日志同步保存功能简介

查看系统日志是了解设备状态、定位和排除网络问题的一个重要方法,而在系统日志中与设备安全相关的安全日志显得尤为重要。但通常情况下,安全日志与其它日志一同输出,经常被淹没在大量的系统日志中,很难识别、不便于查看。针对这个问题,系统提供了安全日志同步保存功能。安全日志同步保存功能的配置和安全日志文件的管理相互分离,安全日志文件实行专人专管。使能该功能后,系统将进行如下处理:

·     将安全日志进行集中输出:当生成的系统信息中有安全日志,在不影响系统信息现有输出规则的前提下,系统会将安全日志复制一份并同步保存到专用的安全日志文件。这样既实现了安全日志的集中管理,又有利于用户随时快捷地查看安全日志,了解设备状态。

·     设备管理员登录设备后可以配置安全日志同步保存功能,执行表1-17所示的命令;只有安全日志管理员通过AAA本地认证登录设备后才能对安全日志文件进行操作(具体操作请参见表1-18),其它用户(包括设备管理员)均不能对安全日志文件进行这些操作。

说明

·     安全日志管理员指的是被AAA授权为安全日志管理员角色的本地用户。

·     设备管理员不能对安全日志文件进行查看、拷贝、重命名等文件类操作,但可以对除安全日志文件之外的其它文件进行这些操作。

·     本地用户以及AAA本地认证的介绍和配置请参见“安全配置指导”中的“AAA”。

 

2. 配置安全日志同步保存功能

安全日志和其它日志一起被发送到控制台等输出方向时,会被复制一份并同步保存在安全日志文件缓冲区(security-logfile buffer)。系统会按照配置中指定的频率将安全日志文件缓冲区的内容写入安全日志文件(安全日志管理员也可以手工触发保存)。当安全日志文件缓冲区里的内容成功保存到安全日志文件后,安全日志文件缓冲区会被立即清空。

安全日志文件有大小限制,当安全日志文件的大小达到单个安全日志文件可使用的存储空间的最大值时,系统会将安全日志文件中最旧的信息删除,再写入新的信息。为了防止安全日志的丢失,用户可以设置安全日志文件使用率告警上限。当达到上限时,系统会输出日志信息提醒管理员,此时,管理员可以使用安全日志管理员身份登录设备,将安全日志文件进行备份,以防止重要历史数据丢失。

缺省情况下,安全日志同步保存功能处于关闭状态,系统自动保存安全日志文件的频率、单个安全日志文件可使用的存储空间的最大值和安全日志文件使用率的告警门限也有缺省值。如果用户要对这些参数进行修改,请以设备管理员身份登录,使用表1-17所示的命令进行配置。

表1-17 配置安全日志同步保存功能

操作

命令

说明

进入系统视图

system-view

-

开启信息中心

info-center enable

可选

缺省情况下,信息中心处于开启状态

使能安全日志同步保存功能

info-center security-logfile enable

必选

缺省情况下,安全日志同步保存功能没有使能

设置设备自动保存安全日志文件的频率

info-center security-logfile frequency freq-sec

可选

缺省情况下,设备自动保存日志文件的频率缺省值为600秒

设置单个安全日志文件最大能占用的存储空间的大小

info-center security-logfile size-quota size

可选

缺省情况下,单个安全日志文件最大能占用的存储空间为1MB

设置安全日志文件使用率的告警上限

info-center security-logfile alarm-threshold usage

可选

缺省情况下,安全日志文件使用率的告警门限是80(即当安全日志文件使用率达到80%时,系统会发出日志提醒用户)

 

3. 管理安全日志文件

安全日志管理员通过AAA本地认证登录设备后能进行如下操作:

表1-18 管理安全日志文件

操作

命令

说明

显示安全日志文件摘要信息

display security-logfile summary [ | { begin | exclude | include } regular-expression ]

可选

本命令在用户视图下执行

修改存储安全日志文件的路径

info-center security-logfile switch-directory dir-name

可选

缺省情况下,存储安全日志文件路径为Flash根目录下的seclog文件夹。

本命令在用户视图下执行

显示安全日志文件缓冲区的内容

display security-logfile buffer [ | { begin | exclude | include } regular-expression ]

可选

手动将安全日志文件缓冲区中的内容全部保存到安全日志文件

security-logfile save

可选

缺省情况下,系统将按照info-center security-logfile frequency命令所设置的频率自动保存安全日志文件

保存的路径可以通过info-center security-logfile switch-directory命令设置

本命令在用户视图下执行

对安全日志文件进行操作

显示指定文件的内容

more file-url

可选

这些命令均在用户视图下执行

关于命令的详细描述请参见“基础配置命令参考”中的“文件系统管理”

显示文件及文件夹的信息

dir [ /all ] [ file-url ]

在存储设备的指定目录下创建文件夹

mkdir directory

修改当前的工作路径

cd { directory | .. | / }

显示当前路径

pwd

删除设备中的指定文件

delete [ /unreserved ] file-url

删除指定文件夹

rmdir directory

格式化存储设备

format device

恢复未被彻底删除(即存放在回收站里)的文件

undelete file-url

将安全日志文件上传到SFTP服务器

在IPv4网络环境建立SFTP连接

sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

可选

sftp命令均在用户视图下执行,其它命令在SFTP客户端视图下执行

关于这些命令的详细介绍请参见“安全命令参考”中的“SSH2.0”

在IPv6网络环境建立SFTP连接

sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

上传本地文件到远程SFTP服务器

put localfile [ remotefile ]

下载SFTP服务器上的文件

get remotefile [ localfile ]

设备作为SFTP客户端支持的其它所有操作

请参见“安全配置指导/SSH2.0”中的“配置设备作为SFTP客户端”章节

 

1.2.11  配置同步信息输出功能

同步信息输出是指当用户在输入时如果有日志、告警、调试等系统信息输出,则在系统信息输出后会回显命令行提示符(在命令编辑状态回显提示符,交互状态回显“[Y/N]”字符串)和用户已有的输入。

此功能用于用户在进行操作(操作还没有完成)却被大量的系统信息打断时,回显用户的操作,以便用户继续执行该操作。

表1-19 配置同步信息输出功能

操作

命令

说明

进入系统视图

system-view

-

打开同步信息输出功能

info-center synchronous

必选

缺省情况下,同步信息输出功能处于关闭状态

 

说明

·     在当前命令行提示符下,如果用户没有任何输入,此时若有日志等系统信息输出,则输出后将不会回显命令行提示符。

·     当处在交互状态,需要用户输入一些交互信息时(非Y/N确认信息),因为在不同情况下用户需要输入的信息不同,所以在用户输出后系统不再回显提示信息,而只是将用户已有的输入换行打印出来。

 

1.2.12  禁止接口生成Link up/Link down日志信息

缺省情况下,设备的所有接口在接口状态改变时都会生成Link up/Link down的日志信息。为了方便管理,用户可以根据实际情况禁止某些接口生成接口Link up/Link down的日志信息:

·     用户只关心某个或某些接口的状态时,可以使用该功能禁止其它接口生成Link up/Link down日志信息。

·     某个接口的状态因不稳定而频繁地改变,生成大量的Link up/Link down日志信息时,可以使用该功能禁止该接口生成Link up/Link down日志信息。

表1-20 禁止接口生成Link up/Link down日志信息

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图或者三层以太网端口视图或者VLAN接口视图

interface interface-type interface-number

-

禁止接口生成Link up/Link down日志信息

undo enable log updown

必选

缺省情况下,允许所有接口在状态发生改变时生成接口Link up和Link down的日志信息

 

说明

使用本特性后,如果接口状态改变,将不再生成接口Link up/Link down的日志信息。这样可能会影响用户监控接口状态,所以在一般情况下建议采用缺省配置。

 

1.3  信息中心显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后信息中心的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset logbufferreset trapbuffer命令可以分别将日志缓冲区和告警缓冲区的统计信息清除。

表1-21 信息中心显示和维护

操作

命令

显示信息通道的信息

display channel [ channel-number | channel-name ] [ | { begin | exclude | include } regular-expression ]

显示各个输出方向的信息

display info-center [ | { begin | exclude | include } regular-expression ]

显示系统日志缓冲区的状态和日志缓冲区记录的日志信息

display logbuffer [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ | { begin | exclude | include } regular-expression ]

显示系统日志缓冲区的概要信息

display logbuffer summary [ level severity | slot slot-number ] * [ | { begin | exclude | include } regular-expression ]

显示日志文件缓冲区内容

display logfile buffer [ | { begin | exclude | include } regular-expression ]

显示日志文件配置

display logfile summary [ | { begin | exclude | include } regular-expression ]

显示系统告警缓冲区的状态和告警缓冲区记录的告警信息

display trapbuffer [ reverse ] [ size buffersize ] [ | { begin | exclude | include } regular-expression ]

清除日志缓冲区内的信息

reset logbuffer

清除告警缓冲区内的信息

reset trapbuffer

 

1.4  信息中心典型配置举例

1.4.1  日志信息发送到控制台配置举例

1. 组网需求

·     将信息等级高于等于informational的日志信息发送到控制台上;

·     允许输出日志信息的模块为ARP和IP。

2. 组网图

图1-2 日志信息发送到控制台配置组网图

 

3. 配置步骤

# 开启信息中心。

<Sysname> system-view

[Sysname] info-center enable

# 使用console通道向控制台输出日志信息(可选,缺省情况下系统向控制台输出信息的通道就为console通道)。

[Sysname] info-center console channel console

# 关闭控制台通道所有模块log、trap、debug信息的输出开关。

[Sysname] info-center source default channel console debug state off log state off trap state off

说明

由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为console)上log、trap、debug信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。

 

# 配置输出规则:允许ARP和IP模块的、等级高于等于informational的日志信息输出。

[Sysname] info-center source arp channel console log level informational state on debug state off trap state off

[Sysname] info-center source ip channel console log level informational state on debug state off trap state off

[Sysname] quit

# 打开终端显示功能(可选,缺省已经打开了该功能)。

<Sysname> terminal monitor

Info: Current terminal monitor is on.

<Sysname> terminal logging

Info: Current terminal logging is on.

以上命令配置成功后,如果指定的模块产生了日志信息,信息中心会自动把这些日志发送到控制台,并在控制台的屏幕上显示。

1.4.2  日志信息发送到Unix日志主机配置举例

1. 组网需求

·     将系统的日志信息发送到Unix日志主机;

·     将信息等级高于等于informational的日志信息发送到日志主机上;

·     仅允许输出日志信息的模块为ARP和IP。

2. 组网图

图1-3 日志信息发送到Unix日志主机配置组网图

 

3. 配置步骤

配置前请确保Device和PC之间路由可达,具体配置步骤略。

(1)     Device上的配置

# 开启信息中心。

<Device> system-view

[Device] info-center enable

# 配置发送日志信息到IP地址为1.2.0.1/16的日志主机,通道为loghost(可选,系统缺省为loghost通道),日志主机记录工具为local4。

[Device] info-center loghost 1.2.0.1 channel loghost facility local4

# 关闭loghost通道所有模块log、trap、debug信息的输出开关。

[Device] info-center source default channel loghost debug state off log state off trap state off

说明

由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块指定通道(本例为loghost)上log、trap、debug信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。

 

# 配置输出规则:允许ARP和IP模块的、等级高于等于informational的日志信息输出到日志主机。

[Device] info-center source arp channel loghost log level informational state on trap state off

[Device] info-center source ip channel loghost log level informational state on trap state off

(2)     日志主机上的配置

下面以Solaris操作系统上的配置为例介绍日志主机上的配置,在其它厂商的Unix操作系统上的配置操作基本类似。

第一步:以超级用户的身份登录日志主机。

第二步:在/var/log/路径下为Device创建同名日志文件夹Device,在该文件夹创建文件info.log,用来存储来自Device的日志。

# mkdir /var/log/Device

# touch /var/log/Device/info.log

第三步:编辑/etc/路径下的文件syslog.conf,添加以下内容。

# Device configuration messages

local4.info    /var/log/Device/info.log

以上配置中,local4表示日志主机接收日志的工具名称,info表示信息等级。Unix系统会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。

说明

在编辑/etc/syslog.conf时应注意以下问题:

·     注释必须独立成行,并以字符#开头。

·     在文件名之后不得有多余的空格。

·     /etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghostinfo-center source命令的相应参数的指定值要保持一致,否则日志信息可能无法正确输出到日志主机上。

 

第四步:当日志文件info.log建立且/etc/syslog.conf文件被修改之后,应通过执行以下命令查看系统守护进程syslogd的进程号,中止syslogd进程,并重新用-r选项在后台启动syslogd,使修改后配置生效。

# ps -ae | grep syslogd

147

# kill -HUP 147

# syslogd -r &

进行以上操作之后,系统就可以在相应的文件中记录日志信息了。

1.4.3  日志信息发送到Linux日志主机配置举例

1. 组网需求

·     系统的日志信息发送到Linux日志主机上;

·     将信息等级高于等于informational的日志信息发送到日志主机上;

·     所有模块均允许输出日志信息。

2. 组网图

图1-4 日志信息发送到Linux日志主机配置组网图

 

3. 配置步骤

配置前请确保Device和PC之间路由可达,具体配置步骤略。

(1)     Device上的配置

# 开启信息中心。

<Sysname> system-view

[Sysname] info-center enable

# 配置发送日志信息到IP地址为1.2.0.1/16的日志主机,通道为loghost(可选,系统缺省为loghost通道),日志主机记录工具为local5。

[Sysname] info-center loghost 1.2.0.1 channel loghost facility local5

# 配置输出规则:允许所有模块、等级高于等于informational的日志信息输出到日志主机。

[Sysname] info-center source default channel loghost log level informational state on debug state off trap state off

说明

由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置时必须将不需要显示的信息的输出开关关闭,以免输出太多不需要的信息。

 

(2)     日志主机上的配置

第一步:以超级用户的身份登录日志主机。

第二步:在/var/log/路径下为Device创建同名日志文件夹Device,在该文件夹创建文件info.log,用来存储来自Device的日志。

# mkdir /var/log/Device

# touch /var/log/Device/info.log

第三步:编辑/etc/路径下的文件syslog.conf,添加以下内容。

# Device configuration messages

local5.info    /var/log/Device/info.log

以上配置中,local5表示日志主机接收日志的工具名称,info表示信息等级。Linux系统会把等级高于等于informational的日志记录到/var/log/Device/info.log文件中。

说明

在编辑/etc/syslog.conf时应注意以下问题:

·     注释必须独立成行,并以字符#开头。

·     在文件名之后不得有多余的空格。

·     /etc/syslog.conf中指定的工具名称及信息等级与Device上info-center loghostinfo-center source命令的相应参数的指定值要保持一致,否则日志信息可能无法正确输出到日志主机上。

 

第四步:当日志文件info.log建立且/etc/syslog.conf文件被修改之后,应通过执行以下命令查看系统守护进程syslogd的进程号,中止syslogd进程,并重新用-r选项在后台启动syslogd,使修改后配置生效。

# ps -ae | grep syslogd

147

# kill -9 147

# syslogd -r &

说明

对Linux日志主机,必须保证syslogd进程是以-r选项启动。

 

进行以上操作之后,系统就可以在相应的文件中记录日志信息了。

1.4.4  安全日志同步保存功能配置举例

1. 组网需求

为了高效、便捷地查看Device上发生的与安全相关的事件,及时了解Device的安全状态,要求:

·     将安全日志保存到专门的安全日志文件Flash:/securitylog/seclog.log,保存频率为每小时一次;

·     只有安全日志管理员能够查看安全日志文件内容并将安全日志文件备份到SFTP服务器,其它用户登录Device后都不能对安全日志文件进行查看、拷贝、重命名等操作。

2. 组网图

图1-5 安全日志同步保存功能功能组网图

 

3. 配置思路

针对本举例,配置分两大部分:

(1)     以系统管理员身份登录Device

·     使能安全日志同步保存功能,并设置安全日志文件的自动保存频率为每小时一次。

·     创建一个本地用户seclog,密码为123123123123。授权用户可以管理安全日志文件,即使用authorization-attribute命令配置两个授权属性:level为3以及user-rolesecurity-audit;使用service-type命令配置用户可以使用的登录方式。

·     配置用户界面的认证方式为scheme,保证只有通过AAA本地认证的用户才能查看、操作安全日志文件。

(2)     以安全日志管理员身份登录Device

·     设置安全日志文件的保存路径为Flash:/securitylog/seclog.log。

·     查看安全日志文件内容,了解Device安全状态。

·     将安全日志文件备份到SFTP服务器。

4. 配置步骤

(1)     系统管理员需要执行的配置

# 使能安全日志同步保存功能,并设置安全日志文件的自动保存频率为每小时一次。

<Sysname> system-view

[Sysname] info-center security-logfile enable

[Sysname] info-center security-logfile frequency 3600

# 创建本地用户seclog,密码为123123123123。

[Sysname] local-user seclog

New local user added.

[Sysname-luser-seclog] password simple 123123123123

# 授权用户可以管理安全日志文件。

[Sysname-luser-seclog] authorization-attribute level 3 user-role security-audit

# 设置用户可以使用的登录方式为SSH、Telnet、Terminal。

[Sysname-luser-seclog] service-type ssh telnet terminal

[Sysname-luser-seclog] quit

# 用户将使用SSH或Telnet登录Device,所以配置VTY用户界面的认证方式为scheme。

[Sysname] user-interface vty 0 15

[Sysname-ui-vty0-15] authentication-mode scheme

[Sysname-ui-vty0-15] quit

(2)     安全日志管理员需要执行的配置

# 使用用户名seclog重新登录Device。

C:/> telnet 1.1.1.1

******************************************************************************

* Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

 

Login authentication

 

 

Username:seclog

Password:

<Sysname>

# 显示安全日志文件摘要信息。

<Sysname> display security-logfile summary

  Security-log is enabled.

  Security-log file size quota: 1MB

  Security-log file directory: flash:/seclog

  Alarm-threshold: 80%

  Current usage: 0%

  Writing frequency: 1 hour 0 min 0 sec

以上信息表明,安全日志文件当前的存储路径为flash:/seclog。

# 设置安全日志文件的保存路径为Flash:/securitylog。

<Sysname> mkdir securitylog

.

%Created dir flash:/securitylog.

<Sysname> info-center security-logfile switch-directory flash:/securitylog/

# 查看安全日志文件缓存区内容。

<Sysname> display security-logfile buffer

%@175 Nov  2 17:02:53:766 2009 Sysname SHELL/4/LOGOUT:

 Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.2<hh3cLogOut>: logout from Console

%@176 Nov  2 17:02:53:766 2009 Sysname SHELL/5/SHELL_LOGOUT:Console logged out from con0.

……其它日志略……

以上信息表明,安全日志文件缓存区中还有最新内容没有保存到安全日志文件。

# 手工触发将安全日志文件缓存区内容保存到安全日志文件。

<Sysname> security-logfile save

Info: Save all the contents in the security log buffer into file flash:/securitylog/seclog.log successfully.

# 查看安全日志文件的内容。

<Sysname> more securitylog/seclog.log

%@157 Nov  2 16:12:01:750 2009 Sysname SHELL/4/LOGIN:

 Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console

%@158 Nov  2 16:12:01:750 2009 Sysname SHELL/5/SHELL_LOGIN:Console logged in from aux0.

……其它日志略……

# 将安全日志文件备份到IP地址为192.168.1.2的SFTP服务器上。

<Sysname> sftp 192.168.1.2

Input Username: seclog

Trying 192.168.1.2 ...

Press CTRL+K to abort

Connected to 192.168.1.2 ...

Enter password:

sftp-client> put securitylog/seclog.log

Local file: securitylog/seclog.log --->  Remote file: /seclog.log

Uploading file successfully ended

sftp-client>

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们