elog无法查询到P2P流量报表

发布时间:  2012-07-18 浏览次数:  89 下载次数:  1
问题描述
在Secoway eLog 日志管理系统中查询不到P2P协议流量报表。
防火墙正常运行,与日志采集器之间的网络连接正常,并且在防火墙侧已配置了将二进制日志发送到日志采集器,在Secoway eLog 日志管理系统中能够查询到防火墙的会话日志。但是在Secoway eLog 日志管理系统左侧导航树中选择“Eudemon/USG防火墙 > 深度报文检测 > 实时流量统计报表”,查询P2P协议流量报表,报表没有数据。
 
 
告警信息
处理过程
1、如果原因是防火墙侧未导入模式文件,请从华为技术有限公司的网站上下载并导入模式文件,详细请联系华为工程师。
2、如果原因是防火墙侧未配置P2P检测策略,请按照如下步骤在防火墙侧配置P2P检测策略,以USG5300为例。
a、执行命令system-view,进入系统视图。
b、执行命令firewall p2p-detect default-permit,启用全局P2P深度检测功能。
c、执行命令firewall p2p-detect behavior enable,启用全局P2P行为检测功能。
两种检测方式可配置一种或两种都配置:
只配置firewall p2p-detect default-permit,全局采用深度检测方式。
只配置firewall p2p-detect behavior enable,全局采用行为检测方式。
两种检测方式都配置,先进行深度检测,如果检测到P2P报文,则不进行行为检测,没有检测到P2P报文,继续进行行为检测。
d、执行命令firewall dpi packet-number number,配置防火墙对于每个会话,最多检测的报文个数。
可根据对P2P识别率的不同需求,配置不同的P2P报文检测个数。增加检测个数,可以提高P2P识别率,但是会降低防火墙的性能;降低检测个数,会降低P2P识别率,但是可以提高防火墙的性能。
缺省情况下,报文检测个数为16个。当配置了P2P行为检测时,建议配置报文检测个数大于5个。
根因

选择“Eudemon/USG防火墙 > 深度报文检测 > 流量统计日志查询”,查询P2P协议的日志。
1、如果不能查询到P2P协议的日志,则可能的原因是防火墙侧未导入模式文件。
2、如果能查询到P2P协议的日志,则可能的原因是防火墙侧未配置P2P检测策略。
 
建议与总结

END