Eudemn防火墙日志服务器配置指导.docVIP

. . . .. . 学习好帮手 华为技术有限公司 研究管理部文档中心 产品版本 密级 产品名称：Quidway Eudemon防火墙 内部公开 Firewall V200R005B02D023 共8页 Quidway Eudemon 防火墙日志服务器配置指导 拟制 李传礼 日期 2006年02月25日 审核 日期 审核 日期 批准 日期 华为技术有限公司 Huawei Technologies Co., Ltd. 修订记录 日期 修订版本 描述 作者 2006年02月25日 V1.0 进行防火墙日志服务器相关配置的描述 李传礼 目录CATALOG TOC \o 1-3 \h \z \u 1.1 几点说明 4 1.2 验证组网 5 1.3 Eudemon 200参考配置 5 1.3.1 Syslog配置： 5 1.3.2 Binary配置： 6 1.4 Eudemon 1000参考配置 7 1.4.1 Syslog配置： 7 1.4.2 Binary配置： 7 防火墙日志服务器配置说明 通过Eudemon日志服务器可以收集Eudeon防火墙的日志信息，方便日志查询、分析、告警；这里对Eudemon防火墙的相关配置做一简要说明。对Eudemon日志服务器安装操作说明请参考相关文档。 几点说明 Eudemon防火墙目前支持两种日志格式Syslog、Binary； Syslog(UDP：514)日志为文本日志，如在防火墙上执行的各种命令操作记录； Binary(UDP：9002)流日志是在防火墙上建立会话表项的日志,其又分为Binary NAT Log和Binary ASPF Log；其中Binary NAT Log指会话表项进行地址转换的流日志；而Binary ASPF Log指会话表项没有进行地址转换的流日志； Binary日志在防火墙会话表项老化之后会生成： E200： 在session完全老化(display firewall session table verbose查看不到)或清空会话表时会触发流日志； E1000：在session老化(display firewall session table查看不到)后会触发流日志； 对于哪些会话表项能够产生Binary日志，E200与E1000有所不同： E200: 对TCP(处于ready状态,State：0x53的会话)、UDP会话会产生Binary日志； E1000: 对TCP(处于ready状态的会话)、UDP、ICMP会话会产生Binary日志； 两种日志Syslog/Binary的记录时间取防火墙系统的当前时间； 由于Syslog日志数量相对Binary要少，建立会话对系统影响较小，而且Syslog日志是由cpu发的，与cpu发的其他报文处理流程一样，所以Syslog会在E200/E1000防火墙上都会建立session； Binary日志流量大，数量多，建立session可能对系统有所影响；E1000其Binary日志由NP直接发送，E200则由CPU发送；目前E200对Binary会在防火墙上建立session；E1000对Binary在防火墙上没有建立session； 目前E200与E1000对于Syslog日志的配置命令完全相同；而对于Binary日志的配置命令则有所区别； E200： 域间使能流日志功能时可以不指定ACL，如果指定ACL不需要指定inbound、outbound方向； E1000：域间使能流日志功能时必须指定ACL，并且要指定inbound、outbound方向； 验证组网 Eudemon 200参考配置 Syslog配置： 1. 配置接口IP地址： # interface Ethernet0/0/1 ip address 192.168.1.2 255.255.255.0 # 2. 将接口加入域： # firewall zone trust