- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-Flow日志配置
本章节下载: 06-Flow日志配置 (270.90 KB)
目 录
Flow日志用来记录NAT会话信息,主要包括用户访问网络的流的5元组信息(源IP地址、目的IP地址、源端口、目的端口、协议号),以及发送和接收的报文统计信息。
Flow日志有两种输出方式:
· 将Flow日志封装成UDP报文直接发送给网络中的日志主机。日志主机可以对Flow日志进行解析和分类显示,以达到远程监控的目的。
· 将Flow日志输出到本设备的信息中心模块,再通过设置信息中心的输出参数,最终决定Flow日志的输出方向。关于信息中心的详细介绍,请参见“设备管理配置指导”中的“信息中心”。
通常情况下,用户访问网络会在短时间内产生大量NAT会话日志。系统日志传输格式为ASCII码,相比Flow日志的二进制格式传输效率低。所以,建议在日志量较小的情况下,使用输出到信心中心的方式。
Flow日志根据日志信息所包含字段多少分为Flow1.0、Flow3.0和Flow7.0三个版本。三种Flow日志的内容稍有不同,具体差别请参见表1和表2和表3。
下表中介绍的字段是设备向日志主机方向发送的原始信息所包含的字段,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
表1 Flow1.0日志信息包含的字段
|
字段 |
描述 |
|
SrcIP |
NAT转换前的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/1/1 0:0开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/1/1 0:0开始计算 当Operator字段取值为6时,该字段为0 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
Reserved |
保留 |
表2 Flow3.0日志信息包含的字段
|
字段 |
描述 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
IPVersion |
IP报文版本 |
|
TosIPv4 |
IPv4报文的Tos字段 |
|
SourceIP |
NAT转换前的源IP地址 |
|
SrcNatIP |
NAT转换后的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
DestNatIP |
NAT转换后的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
|
InTotalPkg |
接收的报文包数 |
|
InTotalByte |
接收的报文字节数 |
|
OutTotalPkg |
发出的报文包数 |
|
OutTotalByte |
发出的报文字节数 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留 |
|
AppID |
应用协议ID |
|
Reserved3 |
保留 |
表3 Flow7.0日志信息包含的字段
|
字段 |
描述 |
|
Protocol |
IP承载的协议类型 |
|
Operator |
操作字,记录生成Flow日志的原因: · 0:保留不用 · 1:正常流结束 · 2:定时器超时老化 · 3:清除配置/配置变动引起的流老化 · 4:资源不足带来的流老化 · 5:保留不用 · 6:活跃流定期记录其连接情况 · 7:新的流创建触发强制删除原有流 · 8:流创建 · FE:其他 · 10~FE-1:以后扩充用 |
|
IPVersion |
IP报文版本 |
|
TosIPv4 |
IPv4报文的Tos字段 |
|
SourceIP |
NAT转换前的源IP地址 |
|
SrcNatIP |
NAT转换后的源IP地址 |
|
DestIP |
NAT转换前的目的IP地址 |
|
DestNatIP |
NAT转换后的目的IP地址 |
|
SrcPort |
NAT转换前的TCP/UDP源端口号 |
|
SrcNatPort |
NAT转换后的TCP/UDP源端口号 |
|
DestPort |
NAT转换前的TCP/UDP目的端口号 |
|
DestNatPort |
NAT转换后的TCP/UDP目的端口号 |
|
StartTime |
流起始时间,以秒为单位,从1970/01/01 00:00开始计算 |
|
EndTime |
流结束时间,以秒为单位,从1970/01/01 00:00开始计算 当Operator字段取值为6时,该字段为0 |
|
InTotalPkg |
接收的报文包数 |
|
InTotalByte |
接收的报文字节数 |
|
OutTotalPkg |
发出的报文包数 |
|
OutTotalByte |
发出的报文字节数 |
|
InVPNID |
入VPN ID |
|
OutVPNID |
出VPN ID |
|
Reserved1 |
保留 |
|
AppID |
应用协议ID |
|
aucDeviceSN |
设备序列号 |
(1) 配置Flow日志输出方式
请选择以下一项任务进行配置:
(2) (可选)配置Flow日志的版本
(3) (可选)配置Flow日志报文的源地址
(4) (可选)配置Flow日志的时间戳
(5) (可选)配置Flow日志的负载分担
在配置Flow日志前需要通过nat log enable命令使能NAT日志功能,并根据用户需求选择开启NAT新建、删除会话日志和活跃流日志功能,关于命令的详细介绍,请参见“NAT命令参考”中的“NAT”。
· Flow日志的两种输出方式互斥,同一时刻只能选择一种输出方式。如果同时配置了两种输出方式,则系统会自动选择输出到信息中心,而不会发送到日志主机。
· Flow日志输出至信息中心时,严重性等级为informational,即作为设备的一般提示信息。
(1) 进入系统视图。
system-view
(2) 配置Flow日志输出到日志主机。
userlog flow export [ vpn-instance vpn-instance-name ] host { hostname | ipv4-address | ipv6 ipv6-address } port udp-port
缺省情况下,未配置Flow日志主机的IP地址和UDP端口号。
(1) 进入系统视图。
system-view
(2) 配置Flow日志输出到信息中心。
userlog flow syslog
缺省情况下,Flow日志不输出到信息中心。
设备支持Flow1.0、Flow3.0和Flow7.0三个版本,但同一时刻只能使用一个版本。请保证与日志主机版本一致。
(1) 进入系统视图。
system-view
(2) 配置Flow日志报文的版本号。
userlog flow export version version-number
缺省情况下,Flow日志报文的版本号为1.0。
Flow日志可以使用源地址来唯一标识报文的发送者,以便对Flow日志进行过滤。指定源地址后,当设备向日志主机发送Flow日志时,就使用这个唯一IP地址作为报文的源IP地址。
推荐将Flow日志报文的源地址配置为设备上Loopback接口的地址,以屏蔽物理接口状态改变对Flow日志报文的影响。
(1) 进入系统视图。
system-view
(2) 配置Flow日志报文的源地址。
userlog flow export source-ip { ipv4-address | ipv6 ipv6-address }
缺省情况下,Flow日志报文的源地址为发送该报文的出接口IP地址。
Flow日志支持UTC和本地两种时间戳,UTC是指标准的格林威治时间,本地是指格林威治时间加上时区偏移的时间。可以使用命令clock timezone来配置需要偏移的时间。关于命令clock timezone的详细介绍,请参见“设备管理命令参考”中的“设备基本配置”。
(1) 进入系统视图。
system-view
(2) 配置Flow日志的时间戳使用本地时间。
userlog flow export timestamp localtime
缺省情况下,Flow日志的时间戳使用UTC时间。
缺省情况下,每一条Flow日志会复制输出给所有已配置的Flow日志主机。
配置了Flow日志负载分担功能后,Flow日志按照会话源IP进行逐流负载分担,即源IP相同的会话对应的Flow日志始终发送到特定的一台日志主机。这样可以降低用户日志发送的压力,并减少冗余日志的处理。
如果配置的日志主机不可达,Flow日志仍会进行负载分担,但负载分担到不可达的日志主机的Flow日志将被丢弃。
(1) 进入系统视图。
system-view
(2) 配置Flow日志的负载分担。
userlog flow export load-balancing
缺省情况下,Flow日志输出到所有已配置的日志主机。
可在任意视图下执行以下命令,查看输出到日志主机的Flow日志的配置和统计信息。
display userlog export
可在用户视图下执行以下命令,清除Flow日志的统计信息。
reset userlog flow export
如图1所示,用户通过在设备Device上的配置,从而实现在日志主机上(Log Host)对用户User的上网活动进行监控。
图1 Flow日志输出到日志主机配置组网图
按组网图所示配置各接口的IP地址,并确保Device与User、Log Host之间路由可达。
# 开启NAT日志功能。
<Device> system-view
[Device] nat log enable
# 开启NAT新建、删除会话和活跃流的日志功能。
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 将Flow日志报文版本号设为3.0。
[Device] userlog flow export version 3
# 将Flow日志信息发送给Flow日志主机(地址为1.2.3.6:2000)。
[Device] userlog flow export host 1.2.3.6 port 2000
# 将2.2.2.2配置为承载Flow日志的UDP报文的源IP地址。
[Device] userlog flow export source-ip 2.2.2.2
[Device] quit
# 查看Flow日志的配置和统计信息。
<Device> display userlog export
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address: 2.2.2.2
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1
Log host 1:
Host/Port: 1.2.3.6/2000
Total logs/UDP packets exported: 112/87
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
