USG9560配置向日志服务器输出会话日志后,日志主机获取不到日志

发布时间:  2015-03-30 浏览次数:  250 下载次数:  0
问题描述

USG9560上将内部网络中的用户访问Internet时生成的会话信息以Syslog格式发送到日志服务器上,使管理员可以在日志服务器上查看和分析会话信息。配置完成后再日志主机上看不到日志信息。

组网拓扑:


处理过程

1.检查设备的配置,策略均放行,日志相关配置无问题:

 

#

firewall log session log-type syslog        //配置会话日志的输出格式为syslog 
firewall log host 1 192.168.1.1 514         //配置日志主机和端口
 firewall log source 192.168.0.1 6000        //配置发送日志信息的源地址和端口

#

policy interzone local dmz outbound

 policy 0

  action permit

  policy destination 192.168.1.1 mask 24

#

policy interzone trust untrust outbound

 policy 1

  action permit

  policy source 172.16.4.0 mask 24

#
audit-policy interzone trust untrust outbound
 policy 0
  action audit
  policy source 172.16.4.0 mask 24 
 
2. 防火墙能ping通日志服务器,且替换日志服务器后故障现象依旧,排除日志服务器问题。
 
3. 在防火墙上镜像抓包,没有发现GigabitEthernet 0/0/0口有发出目的端口为UDP 514的数据包。
 
4.     将连接日志服务器的端口跟换为别的接口后日志服务器上则能获取到日志信息了。查看相关文档,了解到USG9000系列防火墙主控板的GigabitEthernet 0/0/0口不能作为为会话日志的源接口。

根因

USG9000主控板上的管理口GigabitEthernet 0/0/0不能作为发送会话日志、丢包日志、IM日志的源接口,只可以作为发送系统日志的源接口。

解决方案

更换其他接口来作为发送会话日志的源接口

END