usg6650下挂日志主机收不到日志问题

发布时间:  2016-02-25 浏览次数:  315 下载次数:  0
问题描述

V100R001C30SPC300版本的usg6650,防火墙配置日志发送北塔日志服务器功能之后,北塔服务器收不到防火墙发过来的日志

告警信息

在防火墙上未有异常告警。

处理过程

1,在防火墙上,没有IP地址冲突告警等;

2,判断防火墙配置的日志发送源IP到日志服务器的可达性问题;发现防火墙带源地址ping服务器,可以正常ping通;

3,从客户反馈的配置来看,排除防火墙配置里将日志主机加入黑名单;

    排除防火墙动太将日志主机加入黑名单的可能;

3,排除防火墙local到服务器dmz区域的策略限制问题;

   处理方式,安排一条策略,放开local到服务器IP地址的访问,并将策略置顶;

4,在防火墙连接服务器的接口上,未发现acl限制具体应用的策略;

5,排除日志服务器本身故障问题:该日志服务器可以接收来自其它设备(包括且不限于华为交换机,cisco路由器)的日志;

6,防火墙发送日志,不是随时都发送,所以,很难从查看防火墙到服务器会话情况来看,是否防火墙有发送日志;

7,在配置中发现:

info-center loghost source GigabitEthernet1/0/0 
info-center loghost 10.224.64.83 514 facility local6

#
data-flow loghost 1 ip-address 10.224.64.83 port 9903
data-flow loghost source ip-address 10.9.191.70  source-port 1617
#

    去掉data-flow相关配置之后,日志主机可以正常接收来自防火墙的日志。

8,后来,在开启data-flow后,在北塔服务器上抓包发现,日志有送达日志服务器;

根因

经以上操作步骤发现:

     北塔日志服务器只能解析华为的syslog格式的日志,解析不了data-flow格式日志

解决方案
去掉data-flow配置之后,即北塔日志服务器可以正常接收日志
建议与总结

在与第三方日志服务器对接时,在确认防火墙上关于日志主机配置正确,没有相关策略阻止日志发送,且日志主机正确的情况下,考虑使用info-center配置以syslog格式发送日志;另外,当存在data-flow配置时,usg将以data-flow格式发送日志,所以在配置syslog格式发送日志时,必须去掉关于data-flow相关配置。

END