- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-快速日志输出命令
本章节下载: 13-快速日志输出命令 (260.20 KB)
非缺省vSystem不支持本特性的部分命令,具体情况请见本文相关描述。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
broker命令用来配置连接Kafka服务器中的Broker。
undo broker命令用来恢复缺省情况。
【命令】
broker { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number]
undo broker { hostname | ipv4-address | ipv6 ipv6-address }
【缺省情况】
未配置连接Kafka 服务器的Broker。
【视图】
Kafka服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
hostname:指定Kafka Broker的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
ipv4-address:指定Kafka Broker的IPv4地址。
ipv6 ipv6-address:指定Kafka Broker的IPv6地址。
port port-number:指定Kafka Broker的接收日志信息的端口号,取值范围为1~65535,缺省值为9092。该参数需要和Kafka服务器侧的Broker配置一致,否则Kafka服务器Broker接收不到日志信息。
【使用指导】
非缺省vSystem不支持本命令。
Broker即Kafka服务器集群的成员,接收日志的Broker需要在设备端配置其IP地址和端口,设备将向该地址发送Kafka格式日志。
【举例】
# 配置系统向Kafka服务器ABC中IP地址为1.1.1.1的Broker发送日志信息。
<Sysname> system-view
[Sysname] kafka-server ABC
[Sysname- kafka-server-ABC] broker 1.1.1.1 port 9092
【相关命令】
· kafka-server
customlog character-encoding utf-8命令用来配置快速日志输出使用UTF-8编码方式输出日志。
undo customlog character-encoding命令用来恢复缺省情况。
【命令】
customlog character-encoding utf-8
undo customlog character-encoding
【缺省情况】
快速日志输出使用GB18030编码方式输出日志。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
如果日志接收服务器和设备使用的中文字符集编码不同,日志服务器上可能会出现中文字符乱码的情况。使用本命令可以将快转日志输出模块发送日志信息时使用的字符集编码配置为UTF-8或者GB18030。
【举例】
# 配置快速日志输出使用UTF-8编码方式输出日志。
<Sysname> system-view
[Sysname] customlog character-encoding utf-8
customlog format命令用来开启快速日志输出功能。
undo customlog format命令用来关闭快速日志输出功能。
customlog format { aft | aft-cmcc | aft-telecom | aft-unicom | attack-defense | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips [ sgcc { policy-hit | signature-update } ] | netshare | reputation | sandbox | terminal | traffic-policy | url-filter [ unicom ] | waf ] | keepalive sgcc | lb [ dns-proxy | gslb | inbound | outbound | slb ] | nat { cmcc | telecom [ with-vni ] | unicom } | packet-filter [ sgcc ] | scd | security-policy sgcc | session | trusted-access { csap | iam [ authorization | notification ] }
undo customlog format { aft | aft-cmcc | aft-telecom | aft-unicom | attack-defense | cntm | dns | dpi [ audit | data-filter | file-filter | ips | netshare | reputation | sandbox | terminal | traffic-policy | url-filter [ unicom ] | waf ] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | nat | packet-filter | scd | security-policy | session | trusted-access { csap | iam [ authorization | notification ] } *
context-admin
vsys-admin
aft:将AFT(Address Family Translation,地址族转换)模块的日志快速输出到日志主机。
aft-cmcc:将AFT模块的日志按CMCC格式快速输出到日志主机。
aft-telecom:将AFT模块的日志按TELECOM格式快速输出到日志主机。
aft-unicom:将AFT模块的日志按UNICOM格式快速输出到日志主机。
attack-defense:将攻击检测与防范模块的日志快速输出到日志主机。
dns:将域名解析模块的日志快速输出到日志主机。
dpi:将DPI(Deep Packet Inspection,深度报文检测)相关模块的日志快速输出到日志主机。不指定任何参数时,则表示将所有DPI相关模块的日志快速输出到日志主机。
anti-virus:将防病毒模块的日志快速输出到日志主机。
audit:将应用审计与管理模块的日志快速输出到日志主机。
cntm:将有害信息鉴别模块的日志快速输出到日志主机。
data-filter:将数据过滤模块的日志快速输出到日志主机。
file-filter:将文件过滤模块的日志快速输出到日志主机。
ips:将IPS模块的日志快速输出到日志主机。
sgcc:配置IPS快速输出日志时使用国家电网格式。若不指定此参数,则使标准格式输出命中IPS策略的日志。
policy-hit:以国家电网格式输出命中IPS策略的日志。
signature-update:以国家电网格式输出IPS特征库更新日志。
cmcc-kafka:以中国移动格式向Kafka服务器输出命中IPS策略的日志。配置此参数后,还需要配置快速日志输出到Kafka服务器功能,有关该功能的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
netshare:将共享上网管理模块的日志快速输出到日志主机。
reputation:将IP信誉、域名信誉以及URL信誉模块的日志快速输出到日志主机。
sandbox:将沙箱模块的日志快速输出到日志主机。
terminal:将终端识别模块的日志快速输出到日志主机。
traffic-policy:将带宽管理模块的日志快速输出到日志主机。
url-filter:将URL过滤模块的日志快速输出到日志主机。
unicom:配置URL过滤模块快速输出日志时使用中国联通格式。若不配置此参数,则使用标准格式输出日志。
waf:将WAF模块的日志快速输出到日志主机。
keepalive:将心跳日志输出到日志主机。配置本参数后,日志服务器将会接收此心跳日志,如果定期接收不到就认为设备down掉了。非缺省vSystem不支持本参数。
lb:将负载均衡相关模块的日志快速输出到日志主机。不指定任何参数时,则表示将所有负载均衡相关模块的日志快速输出到日志主机。其中:
· dns-proxy:将DNS透明代理模块的日志快速输出到日志主机。
· gslb:将全局负载均衡模块的日志快速输出到日志主机。
· inbound:将入方向链路负载均衡模块的日志快速输出到日志主机。
· outbound:将出方向链路负载均衡模块的日志快速输出到日志主机。
· slb:将服务器负载均衡模块的日志快速输出到日志主机。
nat { cmcc | telecom | unicom }:将NAT(Network Address Translation,网络地址转换)模块的日志快速输出到日志主机。其中:
· cmcc:配置快速输出日志时使用CMCC格式。
· unicom:配置快速输出日志时使用UNICOM格式。
· telecom:配置快速输出日志时使用TELECOM格式。
with-vni:配置NAT模块输出日志时携带VNI(即VXLAN ID)。
packet-filter:将报文过滤、对象策略、安全策略模块的报文匹配日志快速输出到日志主机。
scd:将服务器外联防护模块的日志快速输出到日志主机。
security-policy:将安全策略模块的配置日志快速输出到日志主机。非缺省vSystem不支持本参数。
session:将会话管理模块的日志快速输出到日志主机。
sgcc:配置快速输出日志时使用国家电网格式。若不指定此参数,则使用标准格式输出。非缺省vSystem不支持本参数。
trusted-access:将可信访问控制模块的日志快速输出到日志主机。
· csap:将CSAP可信访问控制模块的日志快速输出到日志主机。
· iam:将IAM可信访问控制模块的日志快速输出到日志主机。指定本参数,但未指定authorization和notification时,则表示将所有IAM可信访问控制模块的日志快速输出到日志主机。
¡ authorization:将可信访问控制模块的授权日志快速输出到日志主机。
¡ notification:将可信访问控制模块的事件通知日志快速输出到日志主机。
快速日志输出功能用于快速地将用户关心的日志发往日志主机。配置该功能后,业务模块生成的日志通过快速输出通道直接发送给日志主机,不经过信息中心模块处理。相比通过信息中心输出,该方式可以节省系统资源,更快捷。
快速日志输出功能与Flow日志、信息中心功能互斥。配置该命令后,指定模块的日志将仅通过快速输出通道输出,不能通过Flow日志和信息中心输出。关于Flow日志的详细介绍请参见“网络管理和监控配置指导”中的“Flow日志”;关于信息中心的详细介绍请参见“网络管理和监控配置指导”中的“信息中心”。
对于IPS模块的日志,标准格式的日志与国家电网格式的日志互斥,不能同时配置两种格式的日志。同时配置这两种格式时,最后一次执行的命令生效。但标准格式和国家电网格式的日志都能与中国移动格式的日志共存。
对于NAT模块的日志,customlog format和customlog host命令中指定的日志输出格式必须相同,且为日志主机要求的格式。否则,设备不会生成指定格式的日志,日志主机将接收不到日志。对于其他模块的日志,则无此要求。
目前仅TELECOM格式支持携带VNI,且携带该字段后,设备将使用新的日志格式发送NAT模块日志。
[Sysname] customlog format session
undo customlog host命令用来取消快速日志输出参数配置。
customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] export { aft | attack-defense | cmcc-sessionlog | cmcc-userlog | cntm | dns | dpi [ anti-virus | audit | data-filter | file-filter | ips | netshare | reputation | sandbox | terminal | traffic-policy | url-filter | waf ] * | keepalive | lb [ dns-proxy | gslb | inbound | outbound | slb ] * | packet-filter | scd | security-policy | session | telecom-sessionlog | telecom-userlog | trusted-access { csap | iam [ authorization | notification ] } * | unicom-sessionlog | unicom-userlog } *
undo customlog host [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ]
context-admin
vsys-admin
vpn-instance vpn-instance-name:指定日志主机所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示日志主机位于公网中。
hostname:指定日志的主机名,为1~253个字符的字符串,不区分大小写,字符串中可以包含字母、数字、“-”、“_”和“.”。
ipv6 ipv6-address:指定日志主机的IPv6地址。
port port-number:指定日志主机接收日志信息的端口号,取值范围为1~65535,缺省值为514。该参数的值需要和日志主机侧的配置一致,否则日志主机接收不到日志信息。
export:指定可以发送日志的模块。
aft:允许设备向指定的日志主机发送AFT模块的日志。
attack-defense:允许设备向指定的日志主机发送攻击检测与防范模块的日志。
cmcc-sessionlog:允许设备向指定的日志主机发送CMCC格式的NAT会话日志。
cmcc-userlog:允许设备向指定的日志主机发送CMCC格式的NAT444用户日志。
dns:允许设备向指定的日志主机发送域名解析模块的日志。
dpi:允许设备向指定的日志主机发送DPI相关模块的日志。不指定任何参数时,则表示允许设备向指定的日志主机发送所有DPI相关模块的日志。
anti-virus:允许设备向指定的日志主机发送防病毒模块的日志。
audit:允许设备向指定的日志主机发送应用审计与管理模块的日志。
cntm:允许设备向指定的日志主机发送有害信息鉴别模块的日志。
data-filter:允许设备向指定的日志主机发送数据过滤模块的日志。
file-filter:允许设备向指定的日志主机发送文件过滤模块的日志。
ips:允许设备向指定的日志主机发送IPS模块的日志。
netshare:允许设备向指定的日志主机发送共享上网管理模块的日志。
reputation:允许设备向指定的日志主机发送IP信誉、域名信誉和URL信誉模块的日志。
sandbox:允许设备向指定的日志主机发送沙箱模块的日志。
terminal:允许设备向指定的日志主机发送终端识别模块的日志。
traffic-policy:允许设备向指定的日志主机发送带宽管理模块的日志。
url-filter:允许设备向指定的日志主机发送URL过滤模块的日志。
waf:允许设备向指定的日志主机发送WAF模块的日志。
keepalive:允许设备向指定的日志主机发送心跳日志。非缺省vSystem不支持本参数。
lb:允许设备向指定的日志主机发送负载均衡相关模块的日志。不指定任何参数时,则表示允许设备向指定的日志主机发送所有负载均衡相关模块的日志。
· dns-proxy:允许设备向指定的日志主机发送DNS透明代理模块的日志。
· gslb:允许设备向指定的日志主机发送全局负载均衡模块的日志。
· inbound:允许设备向指定的日志主机发送入方向链路负载均衡模块的日志。
· outbound:允许设备向指定的日志主机发送出方向链路负载均衡模块的日志。
· slb:允许设备向指定的日志主机发送服务器负载均衡模块的日志。
packet-filter:允许设备向指定的日志主机发送报文过滤、对象策略、安全策略模块的报文匹配日志。
scd:允许设备向指定的日志主机发送服务器外联防护模块的日志。
security-policy:允许设备向指定的日志主机发送安全策略模块的配置日志。非缺省vSystem不支持本参数。
session:允许设备向指定的日志主机发送会话模块的日志。
telecom-sessionlog:允许设备向指定的日志主机发送TELECOM格式的NAT会话日志。
telecom-userlog:允许设备向指定的日志主机发送TELECOM格式的NAT444用户日志。
unicom-sessionlog:允许设备向指定的日志主机发送UNICOM格式的NAT会话日志。
unicom-userlog:允许设备向指定的日志主机发送UNICOM格式的NAT444用户日志。
trusted-access:允许设备向指定日志主机发送可信访问控制模块的日志。
· iam:允许设备向指定的日志主机发送IAM类型可信访问控制模块的日志。指定本参数,但未指定authorization和notification时,则表示允许设备向指定的日志主机发送IAM可信访问控制模块的日志。
¡ authorization:允许设备向指定日志主机发送IAM可信访问控制模块的授权日志。
¡ notification:允许设备向指定日志主机发送IAM可信访问控制模块的策略通知日志。
· csap:允许设备向指定的日志主机发送CSAP类型可信访问控制模块的日志。
只有配置customlog format命令后,customlog host命令才会生效。
对于NAT模块的日志,customlog format和customlog host命令中指定的日志输出格式必须相同,且为日志主机要求的格式。否则,设备不会生成指定格式的日志,日志主机将接收不到日志。
设备最多支持同时指定10个日志主机,可向10个日志主机分别发送日志。
# 配置系统向IP地址为1.1.1.1的日志主机发送会话管理模块日志。
[Sysname] customlog host 1.1.1.1 port 1000 export session
customlog host source命令用来配置快速日志输出时使用的源IP地址。
undo customlog host source命令用来恢复缺省情况。
customlog host source interface-type interface-number
context-admin
vsys-admin
interface-type interface-number:指定快速输出日志的源IP地址对应的出接口的类型和编号。
配置本命令后,不管实际使用哪个物理接口发送日志信息,日志信息的源IP地址均为指定接口的主IP地址。当日志主机需要根据日志的源IP对日志进行过滤显示时,请配置该命令。
只有配置customlog format和customlog host命令后,customlog host source命令才会生效。
# 配置快速日志输出时使用的源IP地址为Loopback0的IP地址。
[Sysname] interface loopback 0
[Sysname-LoopBack0] ip address 2.2.2.2 32
[Sysname] customlog host source loopback 0
customlog kafka-server命令用来开启快速日志输出到Kafka服务器功能。
undo customlog kafka-server命令用来关闭快速日志输出到Kafka服务器功能。
【命令】
customlog kafka-server server-name topic topic-name export dpi ips
undo customlog kafka-server server-name topic topic-name export
【缺省情况】
快速日志输出到Kafka服务器功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:指定Kafka服务器的名称,为1~15个字符的字符串,以英文字母[a-z,A-Z]开始,区分大小写。
topic topic-name:指定Kafka服务器发送日志的主题,为1~249个字符的字符串,区分大小写,字符串中可以包含字母、数字、“-”和“_”。
export:指定可以发送日志的模块。
dpi:允许设备向Kafka服务器发送DPI相关模块的日志。
ips:允许设备向Kafka服务器发送IPS模块的日志。
【使用指导】
非缺省vSystem不支持本命令。
只有通过customlog format命令开启了对应模块的快速日志输出功能后,customlog kafka-server export命令才会生效。
【举例】
# 开启设备向Kafka服务器输出IPS模块快速日志。
<Sysname> system-view
[Sysname] customlog kafka-server ABC topic TP1 export dpi ips
【相关命令】
· kafka-server
customlog timestamp localtime命令用来配置快速输出日志的时间戳为系统时间。
undo customlog timestamp localtime命令用来恢复缺省情况。
undo customlog timestamp localtime
context-admin
vsys-admin
[Sysname] customlog timestamp localtime
customlog with-sn命令用来配置快速日志输出时携带设备序列号。
undo customlog with-sn命令用来恢复缺省情况。
【命令】
customlog with-sn
undo customlog with-sn
【缺省情况】
快速日志输出时不携带设备序列号。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
非缺省vSystem不支持本命令。
配置本功能后,设备发送的快速日志中将增加设备序列号(SN)字段,方便用户识别设备。
运营商格式(包括TELECOM、CMCC和UNICOM)的快速日志不支持本功能。
【举例】
# 配置快速日志输出时携带设备序列号。
<Sysname> system-view
[Sysname] customlog with-sn
kafka-server命令用来创建日志输出的Kafka服务器,并进入Kafka服务器视图。如果指定的Kafka服务器已经存在,则直接进入Kafka服务器视图。
undo kafka-server命令用来删除日志输出的Kafka服务器。
【命令】
kafka-server server-name
undo kafka-server server-name
【缺省情况】
不存在日志输出的Kafka服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:指定Kafka服务器的名称,为1~15个字符的字符串,只能包含字母、数字、下划线,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
Kafka服务器即用于接收Kafka格式快速日志的服务器,当网络中部署了Kafka日志服务器,则可以在设备端创建Kafka服务器用于向Kafka日志服务器发送Kafka格式快速日志。
【举例】
# 配置日志输出的Kafka服务器ABC。
<Sysname> system-view
[Sysname] kafka-server ABC
[Sysname- kafka-server-ABC]
【相关命令】
· customlog kafka-server
vpn-instance命令用来配置Kafka服务器所属的VPN实例。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
Kafka服务器所属的VPN实例为公网。
【视图】
Kafka服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:Kafka服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
非缺省vSystem不支持本命令。
每个Kafka服务器只能属于一个VPN实例。本命令指定的VPN实例可以不存在,但此时Kafka服务器处于不生效的状态。待VPN实例创建后,Kafka服务器进入生效状态。
【举例】
# 配置Kafka服务器ABC属于VPN实例vpn1。
<Sysname> system-view
[Sysname] kafka-server ABC
[Sysname- kafka-server-ABC] vpn-instance vpn1
【相关命令】
· kafka-server
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
