Eudemn防火墙日志服务器配置指导
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Quidway Eudemon
防火墙日志服务器配置指导
华为技术有限公司
Huawei Technologies Co., Ltd.
修订记录
目录CATALOG
1.1 几点说明 (4)
1.2 验证组网 (5)
1.3 Eudemon 200参考配置 (5)
1.3.1 Syslog配置: (5)
1.3.2 Binary配置: (6)
1.4 Eudemon 1000参考配置 (7)
1.4.1 Syslog配置: (7)
1.4.2 Binary配置: (7)
防火墙日志服务器配置说明
通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息,方便日志查询、分析、告警;这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。
1.1 几点说明
1.Eudemon防火墙目前支持两种日志格式Syslog、Binary;
2.Syslog(UDP:514)日志为文本日志,如在防火墙上执行的各种命令操作记录;
3.Binary(UDP:9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log;其中Binary NAT Log指会话表项进行
地址转换的流日志;而Binary ASPF Log指会话表项没有进行地址转换的流
日志;
4.Binary日志在防火墙会话表项老化之后会生成:
E200:在session完全老化(display firewall session table verbose
查看不到)或清空会话表时会触发流日志;
E1000:在session老化(display firewall session table查看不到)
后会触发流日志;
5.对于哪些会话表项能够产生Binary日志,E200与E1000有所不同:
E200: 对TCP(处于ready状态,State:0x53的会话)、UDP会话会产生
Binary日志;
E1000: 对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary
日志;
6.两种日志Syslog/Binary的记录时间取防火墙系统的当前时间;
7.由于Syslog日志数量相对Binary要少,建立会话对系统影响较小,而且Syslog日志是由cpu发的,与cpu发的其他报文处理流程一样,所以Syslog
会在E200/E1000防火墙上都会建立session;
8.Binary日志流量大,数量多,建立session可能对系统有所影响;E1000其Binary日志由NP直接发送,E200则由CPU发送;目前E200对Binary会在防火
墙上建立session;E1000对Binary在防火墙上没有建立session;
9.目前E200与E1000对于Syslog日志的配置命令完全相同;而对于Binary日志的配置命令则有所区别;
E200:域间使能流日志功能时可以不指定ACL,如果指定ACL不需要指定
inbound、outbound方向;
E1000:域间使能流日志功能时必须指定ACL,并且要指定inbound、
outbound方向;
1.2 验证组网
1.3 Eudemon 200参考配置
1.3.1 Syslog配置:
1. 配置接口IP地址:
#
interface Ethernet0/0/1
ip address 192.168.1.2 255.255.255.0
#
2. 将接口加入域:
#
firewall zone trust
add interface Ethernet0/0/1
#
3. 配置日志服务器主机,默认语言为english:
#
info-center loghost 192.168.1.3
#
4. 配置ACL过滤规则:
#
acl number 3000
rule 5 permit udp destination-port eq syslog
#
5. 应用ACL规则到相应域间:
#
firewall interzone local trust
packet-filter 3000 outbound
#
1.3.2 Binary配置:
1. 配置接口IP地址:
#
interface Ethernet0/0/1
ip address 192.168.1.2 255.255.255.0
#
2. 将接口加入域:
#
firewall zone trust
add interface Ethernet0/0/1
#
3. 配置二进制日志服务器主机及端口号:
#
firewall session log-type binary host 192.168.1.3 9002
#
4. 配置ACL过滤规则:
#
acl number 3000
rule 5 permit udp destination-port eq 9002
#
acl number 3333
rule 5 permit ip
#
5. 应用ACL规则到相应域间:
#
firewall interzone local trust
packet-filter 3333 inbound
packet-filter 3000 outbound
#
6. 域间使能流日志功能:
#