USG5500中Logbuffer条目不对的问题

发布时间:  2014-06-30 浏览次数:  247 下载次数:  0
问题描述
有客户反馈,查看USG5500的logbuffer时,发现日志的显示条目不对。如下图所示,允许最大日志条目“Allowed max buffer size”为1024条,但实际上当前日志“current message”只有515条,后续的日志就已经把前面的日志覆盖了,可以看到覆盖日志“Overwritten message”的条目一直在增加。 

告警信息
处理过程
(1) 从命令“display logbuffer”后面带的参数来看,确实是有好几种日志类型的:

查看USG5500的产品手册,发现有这些日志类型的介绍。其中:
sec-log、av-log、ips-log类型的日志属于攻击防范日志,存储于攻击防范日志缓存区,其他类型的日志存储于系统日志缓存区。
跟研发确认,“display logbuffer”中的最大允许条目,是攻击防范日志缓存区和系统日志缓存区总的最大允许条目。
(2)  挨个查看安全日志,发现共计防范日志的最大允许条目是512条日志,并且sec-log下面有3条攻击防范日志。

(3) 查看普通日志(存储于系统日志缓存区),发现果然已经达到了最大的512条,后续产品的普通日志持续覆盖之前的普通日志。

因此,从如上分析可以发现,虽然在命令“display logbuffer”中看到的日志条目信息有些让人迷惑,但实际上并无问题。
根因
1) 防火墙实现有bug。
2) 有多种日志类型,每种都有最大日志条目限制,只是logbuffer中限制总的限制条目。
建议与总结
在使用防火墙过程中,若发现对某条命令的输出结果有疑问或者不确定,应该先去查找产品文档,看文档中是否有对该命令的详细介绍。如果还有疑问,则应该求助研发,因为很多命令的实现原理和细节,可能不会在防火墙中呈现。

END