elog开启了包过滤导致无法收到会话信息

发布时间:  2012-07-18 浏览次数:  45 下载次数:  0
问题描述

1.elog正确设置了与设备联动

2.联动设备防火墙上也配置了与elog联动相关的配置

3.elog上无法收到syslog和session信息,没有任何条目

告警信息
处理过程
1.仔细检查elog上的设置,发现在过滤条件这块被选上了,而且里面也添加了要过滤的网段,并且这个网段就是pc的网段

2.去掉该过滤条件,问题解决,能收到syslog,也能收到session信息
根因

1.根据防火墙上的session的acl看出,acl被多次匹配,说明防火墙已经把syslog和session发到elog服务器上去了

2.elog的license都在有效时间内

2.很大的可能是elog服务器拒绝接受syslog信息

建议与总结

1.对于某些型号,比如USG2100系列,需要配置如下命令:

firewall session log-type binary discard enable

firewall icsa enable

2.elog服务器的时间要和防火墙的时间一致

3.如果要查看session信息,需要在域间配置session acl

4.在elog上配置过滤条件时要注意

END