LogCenter日志不适配

发布时间:  2016-12-08 浏览次数:  433 下载次数:  0
问题描述

1.LogCenter对接USG9560防火墙,防火墙配置dataflow业务日志发送给日志采集器,日志采集器提示日志未适配告警:

LogCenter版本 V100R001C20SPC200

防火墙   版本 V500R001C30SPC100

2. USG9560配置如下:

#

 dataflow enable

 undo dataflow type traffic ipv6 enable  

#

 firewall log source 192.168.20.254 1617

 firewall log im enable

 firewall log session url-log enable

 firewall log host 1 192.168.20.134 9002

 firewall log host 2 192.168.20.135 9002

firewall log host 3 192.168.20.134 9903

 firewall log host 4 192.168.20.135 9903

#

#

info-center source FIB channel 2 log level notification

info-center source IP channel 2 log level notification

info-center loghost source Vlanif3012

info-center loghost 192.168.20.134

info-center loghost 192.168.20.135

#

告警信息


处理过程

改防火墙USG9560的业务日志发送格式;

根因

防火墙USG9560的dataflowg格式的部分业务日志,在LogCenter的V100R001C20SPC200版本配套中未开发适配,所以导致出现部分日志未适配的告警;

解决方案

配置防火墙的业务日志以syslog格式发送:

USG9560配置如下:

#
info-center source FIB channel 2 log level notification
info-center source IP channel 2 log level notification
info-center loghost source Vlanif3012
info-center loghost 192.168.20.134
info-center loghost 192.168.20.135
#                                       
 undo dataflow enable    //关闭dataflow,切换为二进制的syslog格式发送
 undo dataflow type traffic ipv6 enable
#

#

 firewall log source 192.168.20.254 1617

 firewall log im enable

 firewall log session url-log enable

 firewall log host 1 192.168.20.134 9002

 firewall log host 2 192.168.20.135 9002

undo firewall log host 3 192.168.20.134 9903  //关闭防火墙日志以9903的dataflow日志格式端口发送

 undo firewall log host 4 192.168.20.135 9903  //关闭防火墙日志以9903的dataflow日志格式端口发送

#

建议与总结

防火墙需要将业务日志上传到LogCenter服务器的场景下,建议配置防火墙发送的会话日志类型为:二进制,业务日志格式为:syslog;
如下图示例:

END