• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1000-AI-35 安全策略日志缺失

3天前提问
  • 0关注
  • 0收藏,131浏览
粉丝:0人 关注:0人

问题描述:

版本是R9660P55,客户开启了安全策略日志,但出现了安全策略命中了,但安全策略日志中没有记录现象;整天的安全策略日志只有25条;

拿着源目IP进行ip报文追踪,可以看到命中了策略并且在流量日志中可以看到流量记录;

设备加装了硬盘,没配置日志主机或者快速日志,是不是需要添加安全日志同步保存功能,这样将安全日志文件写入硬盘呢?

 

info-center security-logfile enable

info-center security-logfile directory dir-name  修改一下保存目录,这样写入的安全日志在display logbuffer时会看到吗?

 

系统--日志 日志配置里面安全策略日志输出已勾选了的

5 个回答
粉丝:133人 关注:11人

配置安全策略日志了吗?


需要配置的

暂无评论

粉丝:12人 关注:9人

排查步骤及命令:
1. 检查安全策略日志开关:
display security-policy rule all 查看策略是否开启日志(log enable),若未开启需配置:
security-policy rule name xxx
log enable
2. 检查安全日志文件配置:
display info-center security-logfile 确认是否开启(info-center security-logfile enable)及存储路径,若未开启需执行:
info-center security-logfile enable
info-center security-logfile directory flash:/security_log(可自定义路径)
3. 检查日志输出方向:
display info-center configuration 确认安全日志是否输出到logbuffer(默认可能仅输出到文件),若需logbuffer显示需配置:
info-center source security channel logbuffer log level informational
4. 检查日志过滤:
display info-center filter 确认是否有过滤规则屏蔽安全日志,若有需调整:
info-center filter delete [过滤编号]
5. 验证日志生成:
触发策略流量后,执行display security-logfile 查看文件内容,或display logbuffer | include security-policy 查看logbuffer是否有记录。
说明:安全日志文件与logbuffer是独立存储,需分别配置输出方向;加装硬盘后建议将安全日志文件存储到硬盘(需先挂载硬盘:storage disk mount),避免flash空间不足。

暂无评论

粉丝:11人 关注:2人

确保设备系统时间与北京时间同步

暂无评论

粉丝:25人 关注:1人

根据你的描述,问题很可能出在 Web界面上显示的安全策略日志,与流量日志、系统日志的存储和读取机制不同

简单来说,Web界面上的“安全策略日志”是从设备内存中的 logbuffer(日志缓冲区)读取的,而不是直接从硬盘读取。这个缓冲区容量很小(通常只能存几百上千条),当有大量日志产生时,旧日志会被新日志覆盖。

因此,你看到的安全策略日志数量很少,很可能是因为日志在 logbuffer 中滚动覆盖了,而不是没有被记录。

🧐 配置疑问解析

  • info-center security-logfile enable 命令:这条命令是用来开启“安全日志”(如攻击防范、IPS日志等)写入独立安全日志文件的功能。它不控制安全策略日志。安全策略日志由 logging enable 命令控制

  • 写入硬盘与 display logbuffer 的关系:即使日志写入了硬盘,display logbuffer 命令显示的依然是内存缓冲区的内容。将日志保存到硬盘,是为了实现长期存储,而不是为了在 Web 界面上查看

🔍 排查步骤

要解决日志“看不见”的问题,可以按照以下步骤操作:

  1. 检查安全策略的日志开关(最关键)
    你提到在“系统-日志配置”中勾选了输出,但这只是全局开关。最关键的一步是,需要进入具体的“安全策略”规则中,确保每一条需要记录日志的规则都单独开启了日志功能

    • 命令行:在 security-policy ip 视图下,进入具体规则,执行 logging enable 命令

    • Web界面:编辑安全策略,找到并勾选“记录日志”或类似的选项。

  2. 检查是否配置了快速日志输出
    如果你在设备上配置了 customlog format packet-filter 命令,安全策略日志会被定向发送给日志主机,而不会再存入本地的 logbuffer。这会导致 Web 界面显示空白。如果配置了该命令,需要删除它才能让日志重新显示在 Web 界面上。

  3. 检查信息中心(info-center)配置
    确保信息中心功能已开启:info-center enable。同时,检查是否有规则将安全策略日志(DFILTER 或 FFILTER 模块)输出到了文件(logfile)或其他方向,而没有输出到 logbuffer。如果希望日志同时存在本地并在 Web 显示,需确保日志能正常写入 logbuffer

  4. 检查存储空间配置
    在 Web 界面的“系统 > 日志配置 > 基本配置 > 存储空间配置”中,确保安全策略日志的存储选项已勾选。虽然这不直接影响 Web 显示,但正确配置有助于日志的长期保存。

  5. 检查是否配置了“安全日志同步保存功能”
    你提到的“安全日志同步保存功能”可能指的是将安全日志文件(security-logfile)写入硬盘的功能。如前所述,这不影响 Web 界面上安全策略日志的显示。

暂无评论

粉丝:23人 关注:2人

一、先回答你两个核心疑问
1. info-center security-logfile enable 作用
这条就是安全日志同步落盘功能,开启后防火墙会把安全策略日志单独复制一份写入内置硬盘独立安全日志文件,解决无日志主机时日志只存在内存缓存、快速被覆盖、只能看到少量日志的问题。
你当前仅靠内存 logbuffer 缓存,容量极小,全天仅留存 25 条安全日志,就是因为大量新日志不断覆盖旧缓存。
2. info-center security-logfile directory 修改存储目录,display logbuffer 能看到吗?
不能,两者完全隔离两套存储:
logbuffer:内存临时环形缓存,仅存少量实时日志,Web【安全策略日志】页面读取的就是这个缓存;缓存写满直接覆盖旧日志,硬盘文件不影响它。
security-logfile:硬盘持久化文件,独立存储完整安全日志,仅能通过display security-logfile summary、导出安全日志文件查看,不会同步到 logbuffer 缓冲区。
开启落盘只能解决历史日志留存,无法直接让 Web 页面多显示实时日志,需要同步扩容 logbuffer。
二、你的故障核心根因
安全策略日志仅存在内存 logbuffer,无硬盘持久化
无日志主机、未开启 security-logfile 落盘,内存缓存容量有限,大量策略命中日志快速覆盖,全天仅剩余 25 条;报文追踪能看到流量日志是因为流量日志走独立 DAC 数据中心硬盘存储,和安全策略日志两套独立机制。
内存 logbuffer 默认容量偏小,日志溢出覆盖
可能存在日志级别过滤、单条策略未开启log enable、全局 info-center 通道过滤 SECLOG 模块日志。
三、分步完整整改配置(分 4 部分)
阶段 1:开启安全策略日志硬盘持久落盘(解决日志留存少)
bash
运行
system-view
# 开启安全日志同步写入硬盘
info-center security-logfile enable
# 可选自定义硬盘存储目录(默认hda0:/seclog,无需修改也可)
info-center security-logfile directory hda0:/seclog
# 配置定时刷盘频率(30秒缓冲区写入硬盘)
info-center security-logfile freq-sec 30
# 安全日志文件使用率80%告警提醒
info-center security-logfile alarm-threshold usage 80
验证硬盘存储:display security-logfile summary 能看到文件大小、日志条数。
阶段 2:扩容内存 logbuffer 缓冲区,Web 页面实时展示更多日志
默认 buffer 仅 512 条,极易溢出覆盖,调大:
bash
运行
system-view
# 扩大日志内存缓存至10000条
info-center logbuffer size 10000
# 允许安全策略日志输出到logbuffer
info-center source SECLOG logbuffer level informational
# 全局日志总开关必须开启
info-center enable
清空旧缓存刷新:reset logbuffer。
阶段 3:校验每条安全策略是否单独开启日志(高频漏配)
Web:策略→安全策略,每条放行 / 阻断策略勾选「记录日志」;
命令行核对:
bash
运行
display security-policy rule all | include Match count\|logging enable
单条策略开启日志命令:
bash
运行
security-policy ip
rule permit name xxx
logging enable
阶段 4:DAC 数据中心配套(Web 安全日志页面长期留存)
Web 界面:系统→日志设置→存储空间设置,开启安全策略日志本地存储,分配硬盘存储配额,设置保存周期;
命令行配套会话统计(流量日志正常就是已开启,确认即可):
bash
运行
session statistics enable
四、关键区分:流量日志 vs 安全策略日志(你现象的解释)
流量日志(报文追踪可见)
归属 DAC 数据中心,默认自动写入硬盘,记录会话五元组流量统计,不受 logbuffer 限制,所以能查到完整流量记录。
安全策略日志(Web 页面缺失)
归属 SECLOG 模块,默认仅写入内存 logbuffer;不开启security-logfile落盘则无硬盘备份,缓存写满直接覆盖旧日志,全天只剩少量残留。
两套日志存储、输出通道完全独立,互不互通。
五、补充避坑要点
仅配置security-logfile无法增加 Web 实时日志条数,必须同步扩容info-center logbuffer size;
硬盘必须正常识别挂载:display disk partition查看 hda0 状态正常,无硬盘会落盘命令失效;
安全日志文件只能用security-audit角色登录导出查看,普通 admin 无法读取 seclog 目录;
无日志主机场景,落盘 + 扩容 buffer 是唯一方案;长期等保审计建议额外部署 syslog 服务器持久归档。
六、极简总结
开启info-center security-logfile enable可把安全策略日志写入硬盘长期留存,但不会同步到 logbuffer,Web 实时页面条数不会变多;
display logbuffer读取内存缓存,硬盘安全日志文件需专用命令查看,两套存储隔离;
日志少的根源是内存缓存容量小、无硬盘持久化;整改需要同时:开启安全日志落盘、扩容 logbuffer、确认每条策略开启日志、DAC 本地存储全开;
流量日志与安全策略日志两套独立存储,所以报文追踪能查到流量,但安全策略页面日志缺失。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明