- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-日志命令
本章节下载: 04-日志命令 (264.51 KB)
目 录
1.1.14 display log nta-mode status
1.2.1 log { audit | event | operate | attack } store-time
log facility命令用来设置日志的facility值。
【命令】
log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt | traffic_detail | app_filter | user_ loginLogout | term_mgt | device_healthv | device_traffic | ipsec_traffic ipsec | nat | policy_detail } facility facility-value
【缺省情况】
缺省情况下,日志的facility值为0。
【视图】
系统视图
【参数】
system_state:事件日志。
operate:操作日志。
im: IM聊天软件日志。
social_log:社区日志。
search_engine:搜索引擎日志。
mail:邮件日志。
file_transfer:文件传输日志。
relax_stock:娱乐、股票日志。
command_log:命令日志。
other_app:其它应用日志。
web_access:网站访问日志。
malware_app:恶意网站日志。
security_ipmac:IP-MAC日志。
security_scan:扫描攻击防御日志。
security_flood:Flood攻击防御日志。
security_abnormal_pkt:异常报文攻击日志。
traffic_detail:流量日志。
app_filter:应用控制日志。
user_loginLogout:用户上下线日志。
term_mgt:移动终端日志。
device_healthv:系统健康日志。
device_traffic:整机转发日志。
ipsec:VPN告警日志。
ipsec_traffic:VPN流量日志。
policy_detail:流阻断日志。
nat:NAT日志。
facility-value:日志的facility值,取舍范围为0~31。
【举例】
# 设置NAT日志的facility值为30。
host# system-view
host(config)# log nat facility 30
【相关命令】
· display log config
log local命令用来配置系统的日志是否记录在本地。
【命令】
log { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt | app_filter | user_ loginLogout | term_mgt } local { enable | disable }
【缺省情况】
缺省情况下,本地不记录会话日志和NAT,其余类型的日志本地会记录。
【视图】
系统视图
【参数】
system_state:事件日志。
operate:操作日志。
im:IM聊天软件日志。
social_log:社区日志。
search_engine:搜索引擎日志。
mail:邮件日志。
file_transfer:文件传输日志。
relax_stock:娱乐、股票日志。
command_log:命令日志。
other_app:其它应用日志。
web_access:网站访问日志。
malware_app:恶意网站日志。
security_ipmac:IP-MAC日志。
security_scan:扫描攻击防御日志。
security_flood:Flood攻击防御日志。
security_abnormal_pkt:异常报文攻击日志。
app_filter:应用控制日志。
user_loginLogout:用户上下线日志。
term_mgt:移动终端日志。
enable:记录日志在本地。
disable:不记录日志在本地。
【举例】
# 配置其它应用日志不记录在本地。
host# system-view
host(config)# log other_app local disable
【相关命令】
· display log config
log server addr命令用来配置日志服务器的IP地址。
【命令】
log server addr ip-address
【视图】
系统视图
【参数】
ip-address:日志服务器的IP地址。
【举例】
# 配置日志服务器的地址为192.168.1.100。
host# system-view
host(config)# log server addr 192.168.1.100
【相关命令】
· local server enable
· local server port
· log server crypt
· display log config
log server crypt命令用来启用日志内容的加密。
no log server crypt命令用来取消日志内容的加密。
【命令】
log server crypt
no log server crypt
【缺省情况】
缺省情况下,日志内容不加密。
【视图】
系统视图
【使用指导】
当启用日志内容加密之后,发送给日志服务器的日志内容会加密。只有外置数据中心可以解密日志的内容,保证日志在传输过程中的安全。
对于标准的日志服务器,不要使用日志加密选项,否则标准的日志服务器无法正确的解密日志。
【举例】
# 启用日志内容的加密。
host# system-view
host(config)# log server crypt
【相关命令】
· local server enable
· local server addr
· local server port
· display log config
log server enable命令用来启用远端日志服务器。
no log server enable命令用来禁用远端日志服务器。
【命令】
log server enable
no log server enable
【视图】
系统视图
【使用指导】
在使用log server enable命令启用日志服务器之前,确保之前已经使用log server addr命令配置了日志服务器地址。
【举例】
# 启用日志服务器。
host# system-view
host(config)# log server enable
【相关命令】
· local server addr
· local server port
· log server crypt
· display log config
log server port命令用来配置日志服务器的端口。
【命令】
log server port port-num
【缺省情况】
缺省情况下,日志服务器的端口为514。
【视图】
系统视图
【参数】
port-num:日志服务器的UDP端口号。
【举例】
# 设置日志服务器的端口号为514。
host# system-view
host(config)# log server port 514
【相关命令】
· local server enable
· local server addr
· display log config
log server second命令用来设置第二个日志服务器。
no log server second命令用来取消第二个日志服务器的配置。
【命令】
log server second { addr ip-address | port port-num | crypt }
no log server second { addr | port | crypt }
【缺省情况】
缺省情况下,第二日志服务器的端口是UDP 514,日志内容不加密。
【视图】
系统视图
【参数】
ip-address:第二个日志服务器的IP地址。
port-num:第二个日志服务器的端口号。
crypt:日志内容加密。
【使用指导】
如果一个日志服务器不够的用的话,可以使用log server second命令指定第二个日志服务器。
当启用日志内容加密之后,发送给日志服务器的日志内容会加密。只有外置数据中心可以解密日志的内容,保证日志在传输过程中的安全。
对于标准的日志服务器,不要使用日志加密选项,否则标准的日志服务器无法正确的解密日志。
【举例】
# 配置第二个日志服务器的地址为192.168.1.20,端口为514,日志内容不加密。
host# system-view
host(config)# log server second addr 192.168.1.20
host(config)# log server second port 514
host(config)# no log server second crypt
【相关命令】
· display log config
log server third命令用来设置第三个日志服务器。
no log server third命令用来取消第三个日志服务器的配置。
【命令】
log server third { addr ip-address | port port-num | crypt }
no log server third { addr | port | crypt }
【缺省情况】
缺省情况下,第三日志服务器的端口是UDP 514,日志不加密。
【视图】
系统视图
【参数】
ip-address:第三个日志服务器的IP地址。
port-num:第三个日志服务器的端口号。
crypt:日志内容加密。
【使用指导】
如果二个日志服务器不够的用的话,可以使用log server third命令指定第三个日志服务器。
当启用日志内容的加密之后,发送给日志服务器的日志内容会进行加密。只有外置数据中心可以解密日志的内容,保证日志在传输过程中的安全。
对于标准的日志服务器,不要使用日志加密选项,否则标准的日志服务器无法正确的解密日志。
【举例】
# 配置第三个日志服务器的地址为192.168.1.20,端口为514,日志内容不加密。
host# system-view
host(config)# log server third addr 192.168.1.20
host(config)# log server third port 514
host(config)# no log server third crypt
【相关命令】
· display log config
log server upto命令用来过滤发送到日志服务器的日志的级别。
【命令】
log server { system_state | operate | mail | im | social_log | search_engine | file_transfer | relax_stock | command_log | web_access | other_app | security_ipmac | security_scan | security_flood | security_abnormal_pkt | traffic_detail | app_filter | user_ loginLogout | term_mgt | device_healthv | device_traffic | ipsec_traffic ipsec | nat | policy_detail } { disable | enable | upto { alerts | critical | emergencies | errors | informational | notifications | warnings } }
【缺省情况】
缺省情况下,对发送到远端的日志不做过滤,所有日志发送到远端日志服务器。
【视图】
系统视图
【参数】
system_state:事件日志。
operate:操作日志。
im: IM聊天软件日志。
social_log:社区日志。
search_engine:搜索引擎日志。
mail:邮件日志。
file_transfer:文件传输日志。
relax_stock:娱乐、股票日志。
command_log:命令日志。
other_app:其它应用日志。
web_access:网站访问日志。
malware_app:恶意网站日志。
security_ipmac:IP-MAC日志。
security_scan:扫描攻击防御日志。
security_flood:Flood攻击防御日志。
security_abnormal_pkt:异常报文攻击日志。
traffic_detail:流量日志。
app_filter:应用控制日志。
user_loginLogout:用户上下线日志。
term_mgt:移动终端日志。
device_healthv:系统健康日志。
device_traffic:整机转发日志。
ipsec:VPN告警日志。
ipsec_traffic:VPN流量日志。
policy_detail:流阻断日志。
nat:NAT日志。
enable:所有日志发送给远端服务器。
disable:所有日志不发送给远端服务器。
alerts:告警及以上级别的日志发送到日志服务器。
critical:严重及以上级别的日志发送到日志服务器。
emergencies:紧急及以上的级别的日志发送到日志服务器。
errors:错误及以上级别的日志发送到日志服务器。
informational:信息及以上级别的日志发送到日志服务器。
notifications:通知以及以上级别的日志发送到日志服务器。
warnings:警告及以及以上级别的日志发送到日志服务器。
【举例】
# 将警告以上级别的邮件日志发送到日志服务器。
host# system-view
host(config)# log mail server upto warnings
#将所有邮件日志发送到日志服务器。
host# system-view
host(config)# log mail server enable
# 将所有邮件日志不发送到日志服务器。
host# system-view
host(config)# log mail server disable
【相关命令】
· display log config
log source addr命令用来设置设备发送的日志的源地址。
no log source addr命令用来删除设备发送日志的源地址,系统会根据系统路由的配置情况,使用接口的IP地址作为syslog的源IP地址。
【命令】
log source addr ip-address
no log source addr
【视图】
系统视图
【参数】
ip-address:日志的源IP地址。
【使用指导】
如果没有特殊需求,建议不要配置日志的源IP,让系统自动选择。
【举例】
# 配置日志的源IP为192.168.1.10。
host# system-view
host(config)# log source addr 192.168.1.10
【相关命令】
· display log config
set syslog version 命令用来设置设备外发syslog日志的版本号。
【命令】
set syslog version { v1.0 | v1.1 }
【缺省情况】
缺省情况下,外发syslog版本为V1.0(旧版本日志格式)。
【视图】
系统视图
【参数】
v1.0:设置syslog日志的版本号为V1.0版本。
v1.1:设置syslog日志的版本号为V1.0版本。
【使用指导】
通过设置syslog日志的版本号,可以对外发syslog日志的内容进行控制。
设置V1.1版本时,外发的IPS日志中,除了包括默认字段的日志内容,还包括CVE、CWE、CNNVD、OS字段的日志内容。
设置V1.0版本时,外发的IPS日志为默认的IPS日志格式,不包括CVE、CWE、CNNVD、OS字段的内容。
【举例】
# 配置外发syslog日志的版本号为v1.1。
host# system-view
host(config)# set syslog version v1.1
display log config命令用来显示日志的配置。
【命令】
display log config
【视图】
任意视图
【举例】
# 显示日志的配置。
host# display log config
log command_log server disable
log server addr 1.1.1.1
log server enable
!
set dplog time disable
set dplog send time 23
display log config命令显示日志模块的配置,具体的含义参见各个命令的介绍。
log nta-mode命令用来配置探针日志模式的开启和关闭。
【命令】
log nta-mode enable
log nta-mode disable
【视图】
config视图
【参数】
enable:开启探针日志模式。
disable:关闭探针日志模式。
【举例】
#开启探针日志模式
Host(config)# log nta-mode enable
display log nta-mode stauts命令用来查询探针日志模式的开关状态。
【命令】
display log nta-mode status
【视图】
任意视图
【参数】
无
【举例】
#查询探针日志模式的开关状态
Host(config)# show log nta-mode status
log nta-mode enable
log { audit | event | operate | attack } store-time 命令用来设置审计日志、系统日志、操作日志、安全日志的保存期限。
【缺省情况】
缺省情况下,审计日志、系统日志、安全日志的保存期限默认为180天,操作日志的保存期限默认为365天。
【命令】
log { audit | event | operate | attack } store-time <90-365>
【视图】
系统视图
【参数】
audit:设置审计日志的保存期限。
event:设置系统日志的保存期限。
operate:设置操作日志的保存期限。
attack:设置安全日志的保存期限。
<90-365>:日志的保存期限,单位为天,范围为90~365天。
【使用指导】
对于有硬盘的设备,当设备硬盘使用率达到85%时,系统将优先于日志保存期限清除历史日志,清除硬盘使用率至80%以下。
【举例】
# 配置审计日志的保存期限为90天。
host# system-view
host(config)# log audit store-time 90
log conntrack store-time 命令用来设置系统会话日志的保存期限。
【缺省情况】
缺省情况下,系统会话日志的保存期限默认为7天。
【命令】
log conntrack store-time <7-365>
【视图】
系统视图
【参数】
<7-365>:日志的保存期限,单位为天,范围为7~365天。
【使用指导】
对于有硬盘的设备,当设备硬盘使用率达到85%时,系统将优先于日志保存期限清除历史日志,清除硬盘使用率至80%以下。
【举例】
# 配置系统会话日志的保存期限为90天。
host# system-view
host(config)# log conntrack store-time 90
set dplog nodisk-quota 命令用来设置每类日志每日记录的最大条目数。
【缺省情况】
缺省情况下,对于无硬盘设备,每类每日默认最多记录500000条日志。
【命令】
set dplog nodisk-quota <50000-500000>
【视图】
系统视图
【参数】
<50000-500000>:每类日志每日记录的最大数量,单位为条,范围为50000-500000。
【使用指导】
每类日志每日记录的最大日志条目数只对无硬盘的设备生效,set dplog nodisk-quota <50000-500000> 命令仅支持无硬盘的设备。
【举例】
# 设置每类日志每日最多记录5w条。
host# system-view
host(config)# set dplog nodisk-quota 50000
Log conntrack命令用来进入会话日志视图。
【缺省情况】
无
【命令】
log conntracklog conntrack
【视图】
配置视图
【参数】
无
【使用指导】
该命令可以进入会话设定视图。
【举例】
# 配置会话日志视图。
host# system-view
host(config)# log conntrack
host(config-conntrack-log)#
【相关命令】
· display log config
record命令用来配置会话日志开关。
【缺省情况】
缺省情况下,关闭。
【命令】
record { new | del | long | dns } { enable | disable )
【视图】
log conntrack视图
【参数】
dns: DNS会话日志模式。
new:会话新建日志。
del: 会话结束日志。
long:长连接会话日志。
enable:开启日志开关。
disable:关闭日志开关。
【使用指导】
该命令可以设置指定会话日志记录类型。
【举例】
# 配置记录会话新建日志。
host# system-view
host(config)# log conntrack
host(config-conntrack-log)# record new enable
host(config-conntrack-log)#
【相关命令】
· display log config
record interval命令用来配置长连接会话日志记录间隔时间。
【命令】
record interval <1-60>
【缺省情况】
缺省情况下,设置5分钟。
【视图】
log conntrack视图
【使用指导】
仅当开启长连接会话记录时此功能生效。
【举例】
# 设置长链接记录间隔。
host(config-conntrack-log)# record interval 10
host(config-conntrack-log)#
【相关命令】
· display log config
dst-addr命令用来配置匹配条件目的地址对象。
no dst-addr 命令用来删除目的地址对象。
【命令】
dst-addr name
no dst-addr name
【缺省情况】
缺省情况下,地址对象any。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定地址对象。
【举例】
# 指定会话日志匹配条件目的地址对象。
host(config-conntrack-log)# dst-addr 551
host(config-conntrack-log)#
【相关命令】
· display log config
src-addr命令用来配置匹配条件源地址对象。
no src-addr 命令用来删除源地址对象。
【命令】
src-addr name
no src-addr name
【缺省情况】
缺省情况下,地址对象any。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定地址对象。
【举例】
# 指定会话日志匹配条件源地址对象。
host(config-conntrack-log)# src-addr 551
host(config-conntrack-log)#
【相关命令】
· display log config
dst-port命令用来配置匹配条件目的端口。
no dst-port 命令用来删除目的端口。
【命令】
dst-port <1-65535>
no dst-port <1-65535>
【缺省情况】
缺省情况下,无参数 表示全部端口。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定目的端口。
【举例】
# 指定会话日志匹配条件目的端口。
host(config-conntrack-log)# dst-port 551
host(config-conntrack-log)#
【相关命令】
· display log config
src-port命令用来配置匹配条件源端口。
no src-port 命令用来删除源端口。
【命令】
src-port <1-65535>
no src-port <1-65535>
【缺省情况】
缺省情况下,无参数 表示全部端口。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定地址对象。
【举例】
# 指定会话日志匹配条件源端口。
host(config-conntrack-log)# src-port 551
host(config-conntrack-log)#
【相关命令】
· display log config
dst-port range命令用来配置匹配条件目的端口范围。
no dst-port range 命令用来删除目的端口范围。
【命令】
dst-port range<1-65535> <1-65535>
no dst-port range<1-65535> <1-65535>
【缺省情况】
缺省情况下,无配置。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定目的端口范围。
【举例】
# 指定会话日志匹配条件目的端口。
host(config-conntrack-log)# dst-port range 10000 20000
host(config-conntrack-log)#
【相关命令】
· display log config
src-port range命令用来配置匹配条件源端口范围。
no src-port range 命令用来删除源端口范围。
【命令】
src-port range <1-65535> <1-65535>
no src-port range <1-65535> <1-65535>
【缺省情况】
缺省情况下,无参数 表示全部端口。
【视图】
log conntrack视图
【使用指导】
配置匹配条件指定源端口范围。
【举例】
# 指定会话日志匹配条件源端口范围。
host(config-conntrack-log)# src-port 20000 30000
host(config-conntrack-log)#
【相关命令】
· display log config
display log config命令用来查询会话日志配置。
【命令】
display log config
【视图】
用户视图
【参数】
无
【使用指导】
查询会话日志配置。
【举例】
# 查询会话日志配置。
host# display log config
log command_log server disable
log av server disable
log ips server disable
log security_ipmac server disable
log security_scan server disable
log security_abnormal_pkt server disable
log servconn_policy server enable
log operate server disable
log system_state server disable
log device_health server disable
log device_traffic server disable
log conntrack server disable
!
set dplog time disable
set dplog send time 23
log conntrack
record new enable
record interval 10
src-addr 办公电脑
src-addr 551
dst-addr any
protocol udp enable
【相关命令】
· display log config
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
