- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
13-快速日志输出配置
本章节下载: 13-快速日志输出配置 (247.51 KB)
目 录
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
日志信息按严重性可划分为如表1-1所示的八个等级,各等级的严重性依照数值从0~7依次降低。
|
数值 |
信息等级 |
描述 |
|
0 |
emergency |
表示设备不可用的信息,如系统授权已到期 |
|
1 |
alert |
表示设备出现重大故障,需要立刻做出反应的信息,如流量超出接口上限 |
|
2 |
critical |
表示严重信息,如设备温度已经超过预警值,设备电源、风扇出现故障等 |
|
3 |
error |
表示错误信息,如接口链路状态变化等 |
|
4 |
warning |
表示警告信息,如接口连接断开,内存耗尽告警等 |
|
5 |
notification |
表示正常出现但是重要的信息,如通过终端登录设备,设备重启等 |
|
6 |
informational |
表示需要记录的通知信息,如通过命令行输入命令的记录信息,执行ping命令的日志信息等 |
|
7 |
debugging |
表示调试过程产生的信息 |
快速日志的日志头格式如下:
表1-2 日志头格式表
|
格式类型 |
格式 |
举例 |
|
|
标准格式日志头 |
|||
|
定制格式日志头 |
URL过滤unicom格式 |
||
|
NAT cmcc格式 |
|||
|
NAT unicom格式 |
|||
|
NAT telecom格式 |
|||
· PRI:日志类型码。标准格式和NAT telecom格式固定为134;URL过滤unicom格式、NAT cmcc格式和NAT unicom格式固定为142。
· Timestamp:日志信息产生的时间,方便用户查看和定位系统事件。格式为:YYYY Mon DD hh:mm:ss。
· AppName:生成该日志信息的设备名称。
· %%10:设备的厂家标志。
· SN:设备的序列号。只有执行customlog with-sn开启携带SN功能后才会携带该字段。设备的序列号可通过display device manuinfo命令中的DEVICE_SERIAL_NUMBER字段查看。
· VsysId:产生快速日志的虚拟系统ID。
· HostName:快速日志输出时使用的源IPv4地址。
· MsgID:日志消息类型。
· Len:日志头总长度,单位为字节。
· ProcID:固定为-。
非缺省vSystem不支持本特性的配置快速日志输出到Kafka服务器功能。
非缺省vSystem对具体命令的支持情况,请见本特性的命令参考。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
设备支持通过以下功能将某些业务模块的日志发送给日志主机,这些功能按优先级从高到低的顺序依次为:
(1) 快速日志输出
(2) Flow日志(哪些业务模块的日志支持通过Flow日志输出,以及Flow日志的详细介绍请参见“网络管理和监控配置指导”中的“Flow日志”。)
(3) 信息中心
对于同一业务模块,如果用户配置了高优先级的输出方式,则不再采用其他方式输出。
对于IPS模块的日志,标准格式的日志与国家电网格式的日志互斥,不能同时配置两种格式的日志。同时配置这两种格式时,最后一次执行的命令生效。但标准格式和国家电网格式的日志都能与中国移动格式的日志共存。
对于NAT模块的日志,customlog format和customlog host命令中指定的日志输出格式必须相同,且为日志主机要求的格式。否则,设备不会生成指定格式的日志,日志主机将接收不到日志。
目前仅TELECOM格式支持携带VNI(即VXLAN ID),且携带该字段后,设备将使用新的日志格式发送NAT模块日志。
(1) 进入系统视图。
system-view
(2) 开启快速日志输出功能。
customlog format { aft | aft-cmcc | aft-telecom | aft-unicom | attack-defense | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips [ sgcc { policy-hit | signature-update } ] | netshare | reputation | sandbox | terminal | traffic-policy | url-filter [ unicom ] | waf ] | keepalive sgcc | lb [ dns-proxy | gslb | inbound | outbound | slb ] | nat { cmcc | telecom [ with-vni ] | unicom } | packet-filter [ sgcc ] | scd | security-policy sgcc | session | trusted-access { csap | iam [ authorization | notification ] }
缺省情况下,快速日志输出功能处于关闭状态。
(3) 配置快速日志输出参数。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { aft | attack-defense | cmcc-sessionlog | cmcc-userlog | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips | netshare | reputation | sandbox | terminal | traffic-policy | url-filter | waf ] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | packet-filter | scd | security-policy | session | telecom-sessionlog | telecom-userlog | trusted-access { csap | iam [ authorization | notification ] } * | unicom-sessionlog | unicom-userlog } *
缺省情况下,未配置快速日志输出参数。
port-number参数的值需要和日志主机侧的配置一致,否则,日志主机接收不到日志信息。
(4) (可选)配置快速日志输出时使用的源IP地址。
customlog host source interface-type interface-number
缺省情况下,快速日志输出时使用的源IP地址为出接口的主IP地址。
配置本命令后,不管实际使用哪个物理接口发送日志信息,日志信息的源IP地址均为指定接口的主IP地址。当日志主机需要根据日志的源IP对日志进行过滤显示时,请配置该命令。
(5) (可选)配置快速输出日志的时间戳为系统时间。
customlog timestamp localtime
缺省情况下,快速输出日志的时间戳为格林威治时间。
(6) (可选)配置快速日志输出时携带设备序列号。
customlog with-sn
缺省情况下,快速日志输出时不携带设备序列号。
如果日志接收服务器和设备使用的中文字符集编码不同,日志服务器上可能会出现中文字符乱码的情况。使用本命令可以将快转日志输出模块发送日志信息时使用的字符集编码配置为UTF-8或者GB18030。
(1) 进入系统视图。
system-view
(2) 配置快速日志输出使用UTF-8编码方式输出日志。
customlog character-encoding utf-8
缺省情况下,快速日志输出使用GB18030编码方式输出日志。
设备支持向Kafka日志服务器发送Kafka格式快速日志,当网络中部署了Kafka日志服务器,则可以在设备端配置Kafka服务器,并开启快速日志输出到Kafka服务器功能,设备即可向Kafka日志服务器发送Kafka格式快速日志。
其中Kafka服务器的Broker即Kafka服务器集群的成员,在设备端需要配置接收日志Broker的IP地址和端口,设备会向指定的地址发送Kafka格式快速日志。
只有通过customlog format命令开启了对应模块的快速日志输出功能后,customlog kafka-server export命令才会生效。
(1) 进入系统视图。
system-view
(2) 创建日志输出的Kafka服务器,并进入Kafka服务器视图。
kafka-server server-name
缺省情况下,不存在日志输出的Kafka服务器。
(3) 配置连接Kafka服务器中的Broker。
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
缺省情况下,未配置连接Kafka 服务器的Broker。
(4) 配置Kafka服务器所属的VPN实例。
vpn-instance vpn-instance-name
缺省情况下,Kafka服务器所属的VPN实例为公网。
(5) 退回系统视图。
quit
(6) 开启快速日志输出到Kafka服务器功能。
customlog kafka-server server-name topic topic-name export dpi ips
缺省情况下,快速日志输出到Kafka服务器功能处于关闭状态。
(7) 开启IPS模块输出快速日志功能。
customlog format dpi ips cmcc-kafka
缺省情况下,IPS模块输出快速日志功能处于关闭状态。
将Device上会话日志以快速日志方式发送到日志主机Server上。
图1-1 将日志快速输出到日志主机配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 1.1.0.1 255.255.0.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Server的下一跳IP地址为1.1.0.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 1.2.0.0 16 1.1.0.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为loglocalout的安全策略规则,使Device可以向Host发送快速日志信息,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone untrust
[Device-security-policy-ip-1-loglocalout] source-ip-host 1.1.0.1
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.2.0.1
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
[Device-security-policy-ip] quit
(5) 配置快速日志输出功能
# 开启快速日志输出功能,配置日志快速输出到日志主机,开启新建和删除会话时输出日志会话日志信息功能。在连接内网的接口下开启会话日志功能,指定输出此接口入方向上的所有IPv4会话日志,具体配置步骤如下。
[Device] customlog format session
[Device] customlog host 1.2.0.1 port 1000 export session
[Device] session log flow-begin
[Device] session log flow-end
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] session log enable ipv4 inbound
成功在Server主机上接收到设备发送的日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
