版本是R9660P55,客户开启了安全策略日志,但出现了安全策略命中了,但安全策略日志中没有记录现象;整天的安全策略日志只有25条;
拿着源目IP进行ip报文追踪,可以看到命中了策略并且在流量日志中可以看到流量记录;
设备加装了硬盘,没配置日志主机或者快速日志,是不是需要添加安全日志同步保存功能,这样将安全日志文件写入硬盘呢?
info-center security-logfile enable
info-center security-logfile directory dir-name 修改一下保存目录,这样写入的安全日志在display logbuffer时会看到吗?
系统--日志 日志配置里面安全策略日志输出已勾选了的
暂无评论
根据你的描述,问题很可能出在 Web界面上显示的安全策略日志,与流量日志、系统日志的存储和读取机制不同。
简单来说,Web界面上的“安全策略日志”是从设备内存中的 logbuffer(日志缓冲区)读取的,而不是直接从硬盘读取。这个缓冲区容量很小(通常只能存几百上千条),当有大量日志产生时,旧日志会被新日志覆盖。
因此,你看到的安全策略日志数量很少,很可能是因为日志在 logbuffer 中滚动覆盖了,而不是没有被记录。
info-center security-logfile enable 命令:这条命令是用来开启“安全日志”(如攻击防范、IPS日志等)写入独立安全日志文件的功能。它不控制安全策略日志。安全策略日志由 logging enable 命令控制。
写入硬盘与 display logbuffer 的关系:即使日志写入了硬盘,display logbuffer 命令显示的依然是内存缓冲区的内容。将日志保存到硬盘,是为了实现长期存储,而不是为了在 Web 界面上查看。
要解决日志“看不见”的问题,可以按照以下步骤操作:
检查安全策略的日志开关(最关键)
你提到在“系统-日志配置”中勾选了输出,但这只是全局开关。最关键的一步是,需要进入具体的“安全策略”规则中,确保每一条需要记录日志的规则都单独开启了日志功能。
检查是否配置了快速日志输出
如果你在设备上配置了 customlog format packet-filter 命令,安全策略日志会被定向发送给日志主机,而不会再存入本地的 logbuffer。这会导致 Web 界面显示空白。如果配置了该命令,需要删除它才能让日志重新显示在 Web 界面上。
检查信息中心(info-center)配置
确保信息中心功能已开启:info-center enable。同时,检查是否有规则将安全策略日志(DFILTER 或 FFILTER 模块)输出到了文件(logfile)或其他方向,而没有输出到 logbuffer。如果希望日志同时存在本地并在 Web 显示,需确保日志能正常写入 logbuffer。
检查存储空间配置
在 Web 界面的“系统 > 日志配置 > 基本配置 > 存储空间配置”中,确保安全策略日志的存储选项已勾选。虽然这不直接影响 Web 显示,但正确配置有助于日志的长期保存。
检查是否配置了“安全日志同步保存功能”
你提到的“安全日志同步保存功能”可能指的是将安全日志文件(security-logfile)写入硬盘的功能。如前所述,这不影响 Web 界面上安全策略日志的显示。
暂无评论
一、先回答你两个核心疑问
1. info-center security-logfile enable 作用
这条就是安全日志同步落盘功能,开启后防火墙会把安全策略日志单独复制一份写入内置硬盘独立安全日志文件,解决无日志主机时日志只存在内存缓存、快速被覆盖、只能看到少量日志的问题。
你当前仅靠内存 logbuffer 缓存,容量极小,全天仅留存 25 条安全日志,就是因为大量新日志不断覆盖旧缓存。
2. info-center security-logfile directory 修改存储目录,display logbuffer 能看到吗?
不能,两者完全隔离两套存储:
logbuffer:内存临时环形缓存,仅存少量实时日志,Web【安全策略日志】页面读取的就是这个缓存;缓存写满直接覆盖旧日志,硬盘文件不影响它。
security-logfile:硬盘持久化文件,独立存储完整安全日志,仅能通过display security-logfile summary、导出安全日志文件查看,不会同步到 logbuffer 缓冲区。
开启落盘只能解决历史日志留存,无法直接让 Web 页面多显示实时日志,需要同步扩容 logbuffer。
二、你的故障核心根因
安全策略日志仅存在内存 logbuffer,无硬盘持久化
无日志主机、未开启 security-logfile 落盘,内存缓存容量有限,大量策略命中日志快速覆盖,全天仅剩余 25 条;报文追踪能看到流量日志是因为流量日志走独立 DAC 数据中心硬盘存储,和安全策略日志两套独立机制。
内存 logbuffer 默认容量偏小,日志溢出覆盖
可能存在日志级别过滤、单条策略未开启log enable、全局 info-center 通道过滤 SECLOG 模块日志。
三、分步完整整改配置(分 4 部分)
阶段 1:开启安全策略日志硬盘持久落盘(解决日志留存少)
bash
运行
system-view
# 开启安全日志同步写入硬盘
info-center security-logfile enable
# 可选自定义硬盘存储目录(默认hda0:/seclog,无需修改也可)
info-center security-logfile directory hda0:/seclog
# 配置定时刷盘频率(30秒缓冲区写入硬盘)
info-center security-logfile freq-sec 30
# 安全日志文件使用率80%告警提醒
info-center security-logfile alarm-threshold usage 80
验证硬盘存储:display security-logfile summary 能看到文件大小、日志条数。
阶段 2:扩容内存 logbuffer 缓冲区,Web 页面实时展示更多日志
默认 buffer 仅 512 条,极易溢出覆盖,调大:
bash
运行
system-view
# 扩大日志内存缓存至10000条
info-center logbuffer size 10000
# 允许安全策略日志输出到logbuffer
info-center source SECLOG logbuffer level informational
# 全局日志总开关必须开启
info-center enable
清空旧缓存刷新:reset logbuffer。
阶段 3:校验每条安全策略是否单独开启日志(高频漏配)
Web:策略→安全策略,每条放行 / 阻断策略勾选「记录日志」;
命令行核对:
bash
运行
display security-policy rule all | include Match count\|logging enable
单条策略开启日志命令:
bash
运行
security-policy ip
rule permit name xxx
logging enable
阶段 4:DAC 数据中心配套(Web 安全日志页面长期留存)
Web 界面:系统→日志设置→存储空间设置,开启安全策略日志本地存储,分配硬盘存储配额,设置保存周期;
命令行配套会话统计(流量日志正常就是已开启,确认即可):
bash
运行
session statistics enable
四、关键区分:流量日志 vs 安全策略日志(你现象的解释)
流量日志(报文追踪可见)
归属 DAC 数据中心,默认自动写入硬盘,记录会话五元组流量统计,不受 logbuffer 限制,所以能查到完整流量记录。
安全策略日志(Web 页面缺失)
归属 SECLOG 模块,默认仅写入内存 logbuffer;不开启security-logfile落盘则无硬盘备份,缓存写满直接覆盖旧日志,全天只剩少量残留。
两套日志存储、输出通道完全独立,互不互通。
五、补充避坑要点
仅配置security-logfile无法增加 Web 实时日志条数,必须同步扩容info-center logbuffer size;
硬盘必须正常识别挂载:display disk partition查看 hda0 状态正常,无硬盘会落盘命令失效;
安全日志文件只能用security-audit角色登录导出查看,普通 admin 无法读取 seclog 目录;
无日志主机场景,落盘 + 扩容 buffer 是唯一方案;长期等保审计建议额外部署 syslog 服务器持久归档。
六、极简总结
开启info-center security-logfile enable可把安全策略日志写入硬盘长期留存,但不会同步到 logbuffer,Web 实时页面条数不会变多;
display logbuffer读取内存缓存,硬盘安全日志文件需专用命令查看,两套存储隔离;
日志少的根源是内存缓存容量小、无硬盘持久化;整改需要同时:开启安全日志落盘、扩容 logbuffer、确认每条策略开启日志、DAC 本地存储全开;
流量日志与安全策略日志两套独立存储,所以报文追踪能查到流量,但安全策略页面日志缺失。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论