- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
34-流量日志配置
本章节下载: 34-流量日志配置 (204.48 KB)
目 录
流量日志用于记录网络通信过程中每个会话的详细信息,它包括流量开始日志、流量结束日志和流量拒绝日志。
· 流量开始日志:设备在会话表创建或匹配的安全策略变更时生成并发送流量日志。
· 流量结束日志:设备在会话结束时会自动删除会话表中的条目,并生成相应的流量日志。
· 流量拒绝日志:设备在安全策略丢包时生成并发送流量日志,便于管理员排查网络问题。
这些日志为网络通信提供了详尽的记录,涵盖了会话基础信息(例如源/目的IP地址)、NAT地址转换信息(例如NAT转换后的源IP地址)、流量统计数据(例如入/出方向的报文总数)、安全策略信息(例如安全策略规则ID)以及带宽策略信息等用户关注的关键信息。
对于流量结束日志,设备支持在两种视图下进行配置:
· 安全策略规则视图:在每条安全策略规则视图下开启流量结束日志输出功能。
· 系统视图:此视图下配置的流量结束日志输出功能称为“全局流量日志输出功能”,用于统一开启所有安全策略规则下的流量结束日志输出功能。
对于上述两种视图,安全策略规则视图下的配置优先级更高。
流量日志功能广泛应用于网络监控、安全审计、行为分析、事后调查等场景。
· 流量拒绝日志则专注于记录被安全策略或其他因素所丢弃的流量信息,适用于需要详细审计丢包原因的场景,便于排查网络问题、加强安全防护。
通过分析流量日志,可以了解网络流量的走向、模式和潜在的安全风险。流量日志为网络安全提供了一个重要的审计手段和数据支持。
当安全策略规则动作为放行时,支持记录流量开始日志和流量结束日志;当安全策略规则动作为丢弃时,支持记录流量拒绝日志。有关安全策略的详细介绍,请参见“安全配置指导”中的“安全策略”。
如需在Web界面查看流量日志,需要开启流量日志输出功能以及流量日志业务的日志采集功能。
· 流量日志输出功能:包括在系统视图下开启全局流量日志输出功能以及在安全策略规则视图下开启流量开始日志、流量结束日志和流量拒绝日志的输出功能。上述日志输出功能至少需要开启一种。
· 流量日志业务的日志采集功能:在系统视图下执行dac log-collect service traffic-monitor traffic-log enable命令。有关日志采集功能的详细介绍,请参见“DPI深度安全配置指导”中的“数据分析中心”。
流量日志支持快速日志方式输出(仅支持V2版本),必须配置快速日志输出的相关参数后才能输出流量日志信息,有关快速日志的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为放行。
action pass
缺省情况下,安全策略规则的动作为丢弃。
(5) 开启流量开始日志输出功能。
traffic-log session-start enable
缺省情况下,流量开始日志输出功能处于关闭状态。
全局流量日志输出功能仅在未配置安全策略规则下的流量结束日志输出功能时生效,如果已配置,则以安全策略规则下的配置为准。
(1) 进入系统视图。
system-view
(2) 开启全局流量日志输出功能。
traffic-log session-end global enable
缺省情况下,全局流量日志输出功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为放行。
action pass
缺省情况下,安全策略规则的动作为丢弃。
(5) 开启流量结束日志输出功能。
traffic-log session-end enable
缺省情况下,未配置流量结束日志输出功能,设备是否输出流量日志由全局流量日志输出功能控制。如果开启了全局流量日志输出功能,则设备会在删除会话表时生成并发送日志;如果未开启全局流量日志输出功能,则设备不发送流量日志。
(1) 进入系统视图。
system-view
(2) 进入安全策略视图。
security-policy { ip | ipv6 }
(3) 进入安全策略规则视图。
rule { rule-id | [ rule-id ] name rule-name }
(4) 配置安全策略规则的动作为丢弃。
action drop
缺省情况下,安全策略规则动作为丢弃。
(5) 开启流量拒绝日志输出功能。
traffic-log drop enable
缺省情况下,流量拒绝日志输出功能处于关闭状态,设备在安全策略丢包时不会生成并发送流量日志。
将Device上的流量日志以快速日志方式发送到日志主机Server上。同时,日志中需要包含所有流量的会话结束原因。
|
组网图示例接口 |
设备实际接口 |
|
Interface1 |
GigabitEthernet1/0/2 |
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 1.1.0.1 255.255.0.0
[Device-GigabitEthernet1/0/2] quit
(2) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到Server的下一跳IP地址为1.1.0.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 1.2.0.0 16 1.1.0.2
(3) 配置接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(4) 配置安全策略
# 配置名称为loglocalout的安全策略规则,使Device可以向日志主机Server发送快速日志信息,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name loglocalout
[Device-security-policy-ip-1-loglocalout] source-zone local
[Device-security-policy-ip-1-loglocalout] destination-zone untrust
[Device-security-policy-ip-1-loglocalout] source-ip-host 1.1.0.1
[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.2.0.1
[Device-security-policy-ip-1-loglocalout] action pass
[Device-security-policy-ip-1-loglocalout] quit
[Device-security-policy-ip] quit
(5) 开启全局流量日志输出功能
[Device] traffic-log session-end global enable
(6) 配置快速日志输出功能
# 配置快速日志主机,并进入日志主机视图。配置向日志主机发送流量日志模块的日志,具体配置步骤如下。
[Device] customlog host v2 1.2.0.1 port 1000
[Device-customlog-host-v2-1.2.0.1/1000] module traffic-log
成功在Server主机上接收到设备发送的日志。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
