华为防火墙日志配置.doc

华为防火墙日志配置
防火墙日志服务器配置说明
通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息,方便日志查询、分析、告警;这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。
几点说明
1. Eudemon防火墙目前支持两种日志格式Syslog、Binary;
2. Syslog(UDP:514)日志为文本日志,如在防火墙上执行的各种命令操作记录; 3.
Binary(UDP:9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log;其中Binary NAT Log指会话表项进行地址转换的流日志;而Binary ASPF Log指会话表项没有进行地址转换的流日志;
4.
Binary日志在防火墙会话表项老化之后会生成:
E200: 在session完全老化(display firewall session table verbose
查看不到)或清空会话表时会触发流日志;
E1000:在session老化(display firewall session table查看不到)
后会触发流日志;
5.
对于哪些会话表项能够产生Binary日志,E200与E1000有所不同:
E200: 对TCP(处于ready状态,State:0x53的会话)、UDP会话会产生
Binary日志;
E1000: 对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary
日志;
6. 两种日志Syslog/Binary的记录时间取防火墙系统的当前时间;
7.
由于Syslog日志数量相对Binary要少,建立会话对系统影响较小,而且Syslog日志是由cpu发的,与cpu发的其他报文处理流程一样,所以Syslog会在E200/E1000防火墙上都会建立session;
8.
Binary日志流量大,数量多,建立session可能对系统有所影响;E1000其Binary日志由NP直接发送,E200则由CPU发送;目前E200对Binary会在防火墙上建立session;E1000对Binary在防火墙上没有建立session;
9.
目前E200与E1000对于Syslog日志的配置命令完全相同;而对于Binary日志的配置命令则有所区别;
Quidway Eudemon防火墙日志配置指导文档密级内部公开
2006-02-25 华为机密,未经许可不得扩散
E200: 域间使能流日志功能时可以不指定ACL,如果指定ACL不需要指定
inbound、outbound方向;
E1000:域间使能流日志功能时必须指定ACL,并且要指定inbound、
outbound方向;
验证组网
Eudemon 200参考配置
Syslog配置:
1. 配置接口IP地址: #
interface 0/0/1
ip address #
2. 将接口加入域: #
firewall zone trust add