华为防火墙日志配置.docx

防火墙日志服务器配置说明通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息，方便日志查询、分析、告警；这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。1.1几点说明1Eudemon防火墙目前支持两种日志格式Syslog、Binary；2Syslog(UDP：514)日志为文本日志，如在防火墙上执行的各种命令操作记录；3Binary(UDP：9002)流日志是在防火墙上建立会话表项的日志,其又分为BinaryNATLog和BinaryASPFLog；其中BinaryNATLog指会话表项进行地址转换的流日志；而BinaryASPFLog指会话表项没有进行地址转换的流日志；4Binary日志在防火墙会话表项老化之后会生成：E200：在session完全老化(displayfirewallsessiontableverbose查看不到)或清空会话表时会触发流日志；E1000：在session老化(displayfirewallsessiontable查看不到)后会触发流日志；5对于哪些会话表项能够产生Binary日志，E200与E1000有所不同：E200:对TCP(处于ready状态,State：0x53的会话)、UDP会话会产生Binary日志；E1000:对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary日志；6两种日志Syslog/Binary的记录时间取防火墙系统的当前时间；7由于Syslog日志数量相对Binary要少，建立会话对系统影响较小，而且Syslog日志是由cpu发的，与cpu发的其他报文处理流程一样，所以Syslog会在E200/E1000防火墙上都会建立session；8Binary日志流量大，数量多，建立session可能对系统有所影响；E1000其Binary日志由NP直接发送，E200则由CPU发送；目前E200对Binary会在防火墙上建立session；E1000对Binary在防火墙上没有建立session；9目前E200与E1000对于Syslog日志的配置命令完全相同；而对于Binary日志的配置命令则有所区别；QuidwayEudemon防火墙日志配置指导文档密级内部公开2006-02-25华为机密，未经许可不得扩散第5页,共8页E200：域间使能流日志功能时可以不指定ACL，如果指定ACL不需要指定inbound、outbound方向；E1000：域间使能流日志功能时必须指定ACL，并且要指定inbound、outbound方向；1.2验证组网1.3Eudemon200参考配置1.3.1Syslog配置：1.配置接口IP地址：#interfaceEthernet0/0/1ipaddress192.168.1.2255.255.255.0#2.将接口加入域：#firewallzonetrustaddinterfaceEthernet0/0/1#3.配置日志服务器主机，默认语言为english：#info-centerloghost192.168.1.3#QuidwayEudemon防火墙日志配置指导文档密级内部公开2006-02-25华为机密，未经许可不得扩散第6页,共8页4.配置ACL过滤规则：#aclnumber3000rule5permitudpdestination-porteqsyslog#5.应用ACL规则到相应域间：#firewallinterzonelocaltrustpacket-filter3000outbound#1.3.2Binary配置：1.配置接口IP地址：#interfaceEthernet0/0/1ipaddress192.168.1.2255.255.255.0#2.将接口加入域：#firewallzonetrustaddinterfaceEthernet0/0/1#3.配置二进制日志服务器主机及端口号：#firewallsessionlog-typebinaryhost192.168.1.39002#4.配置ACL过滤规则：#aclnumber3000rule5permitudpdestination-porteq9002#aclnumber3333rule5permitip#5.应用ACL规则到相应域间：#firewallinterzonelocaltrustpacket-filter3333inboundpacket-filter3000outbound#6.域间使能流日志功能：# QuidwayEudemon防火墙日志配置指导文档密级内部公开2006-02-25华为机密，未经许可不得扩散第7页,共8页firewallinterzonelocaltrustsessionlogenable-此处可以不指定ACL#1.4Eudemon1000参考配置1.4.1Syslog配置：1.配置接口IP地址：#interfaceEthernet4/0/7ipaddress192.168.1.1255.255.255.0#2.将接口加入域：#firewallzonetrustaddinterfaceEthernet4/0/7#3.配置日志服务器主机，默认语言为english：#info-centerloghost192.168.1.3#4.配置ACL过滤规则：#aclnumber3000rule5permitudpdestination-porteqsyslog#5.应用ACL规则到相应域间：#firewallinterzonelocaltrustpacket-filter3000outbound#1.4.2Binary配置：1.配置接口IP地址：#interfaceEthernet4/0/7ipaddress192.168.1.1255.255.255.0#2.将接口加入域：# QuidwayEudemon防火墙日志配置指导文档密级内部公开2006-02-25华为机密，未经许可不得扩散第8页,共8页firewallzonetrustaddinterfaceEthernet4/0/7#3.配置二进制日志服务器主机及端口号：#firewallsessionlog-typebinaryhost192.168.1.39002#4.配置ACL过滤规则：#aclnumber3000rule5permitudpdestination-porteq9002aclnumber3001rule0permitipsource192.168.1.30aclnumber3333rule5permiticmpsource192.168.1.30#5.应用ACL规则到相应域间：#firewallinterzonelo