info-center loghost 日志外发等级设置

F5000-110-AI info-center IFNET 日志级别下发异常完整解决方案
一、先梳理当前现象与底层原理
日志类型区分
IFNET（接口上下线 /undo shutdown/shutdown）：设备内置固定日志严重度为 ERROR(local7.err)
SHELL（用户登录、命令操作）：INFO 级别 (***.***)
你的配置问题根源：
info-center source IFNET loghost level warning 这条命令仅过滤「大于等于 warning 的新增日志」，不会修改日志本身原生严重度字段。
IFNET 接口 DOWN 日志原生标签就是 ERROR，过滤放行后，syslog 报文里携带的 severity 还是 ERROR，日志服务器看到依旧是 err，无法改成 warning。
核心结论：不能直接修改原生日志的 severity 标签，有两套合规落地方案。
方案一：日志服务器侧过滤 / 重映射 Severity（推荐，不改动设备配置）
原理
设备原样发送 ERROR 日志，在远端 syslog 服务器做字段转换，把 IFNET 模块的 err 日志识别为 warning 展示，设备无需变更配置。
通用 syslog 服务器配置示例（3CDaemon/ELK/SyslogWatch）
匹配规则：
匹配消息包含 IFNET/3/PHY_UPDOWN / IFNET/5/LINK_UPDOWN 的日志；
动作：
展示级别改为 Warning；
告警阈值按 warning 处理，不触发 error 级高危告警；
优势：不改动防火墙，不影响其他 ERROR 日志，仅针对接口上下线日志单独降级。
方案二：防火墙端分层过滤，拆分输出流（V7 标准特性）
核心逻辑
全局默认 loghost 接收全部 >=warning 日志；
新增第二台日志主机，专门接收 IFNET 模块日志；
利用日志模板自定义 Severity，改写 IFNET 报文的严重度字段，再发给第二台日志服务器；
业务日志主机只收普通 warning，接口日志单独分流、重标记为 warning。
完整可落地配置
bash
运行
system-view
info-center enable

# 1. 创建自定义日志模板，修改severity为4(warning)
info-center format template IFNET-WARN
severity warning

# 2. 定义分流规则：IFNET模块绑定自定义模板，仅发第二台日志服务器
info-center source IFNET loghost 192.168.1.200 template IFNET-WARN level warning
# 普通业务日志主机：接收所有>=warning日志（不含分流IFNET）
info-center source default loghost 192.168.1.100 level warning

# 3. 配置两台日志主机
info-center loghost 192.168.1.100
info-center loghost 192.168.1.200

效果说明
192.168.1.100（主审计服务器）：仅登录、操作等原生 warning 日志，过滤 IFNET err 日志；
192.168.1.200（接口日志专用服务器）：接口上下线日志 severity 被模板改写为 warning 输出；
缺点：需要两台日志接收端，单台服务器不适用。
方案三：利用日志抑制 + 等级拦截折中（仅单台日志主机场景）
适用场景：只有一台 syslog 服务器，不想分两台
全局禁止 IFNET ERROR 日志输出到 loghost，仅保留 SHELL 操作日志；
开启本地缓存 IFNET 日志，定时导出人工审计；
bash
运行
info-center source IFNET loghost level error
undo info-center source IFNET loghost level warning
# 拦截IFNET的ERROR级别，不发送到日志主机
info-center source IFNET loghost level critical
# SHELL登录、操作日志正常输出warning及以上
info-center source SHELL loghost level warning

缺陷：接口上下线日志不会外发，不符合你 “需要发送 shutdown 接口日志” 的需求，仅兜底方案。
方案四：版本修复规避（长期根治）
根因说明
早期 V7 版本 info-center source 模板 severity 改写对 IFNET 模块存在适配缺陷，severity 字段无法覆盖原生 ERROR 标记。
查看当前设备版本：display version
升级至 F5000-AI 系列最新稳定固件（CMW710 R6760P05 及以上），修复日志模板 severity 改写逻辑；
升级后再执行方案二的模板配置，即可正常修改 IFNET 日志输出 severity 为 warning。
五、关键命令验证与排查
1. 查看当前日志输出规则
bash
运行
display info-center source loghost

确认 IFNET 绑定的 level、template 模板是否生效。
2. 本地缓存对比 severity（区分原生标签与过滤等级）
bash
运行
display info-center logbuffer | include IFNET

本地缓存内日志原生 severity 固定为 ERROR，info-center source level warning只是放行阈值，不会修改报文内 severity 字段。
3. 报文抓包验证
在防火墙上联口抓 UDP 514 报文，查看 syslog 头部<优先级>：
ERROR 对应 <31>（local7.err）；
WARNING 对应 <28>（local7.warn）；
抓包可见：即使配置 level warning，IFNET 报文头部依旧是<31>，日志服务器识别为 err。
六、最优落地推荐顺序
首选日志服务器侧规则转换（零设备改动、无业务风险，直接满足需求）；
若必须设备输出 severity=warning，且有两台日志服务器，使用【方案二日志模板分流】；
长期规划：升级防火墙固件修复模板 severity 改写缺陷，简化配置。
补充避坑知识点
info-center source X loghost level Y 是过滤阈值：只允许严重度≥Y 的日志发送，不修改日志本身的 severity 标签；
日志模板info-center format template是唯一能修改 syslog 报文中 severity 字段的设备侧功能；
IFNET、ARP、DEV 等硬件底层日志原生 severity 固定，无法通过简单 source level 命令降级输出标签。