(可选)配置NAT日志输出
背景信息
NAT日志是设备在做NAT时生成的信息记录。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及NAT的时间信息和用户执行的操作等。网络管理员可以通过查看NAT日志实时定位用户通过NAT访问网络的情况,增强了网络的安全性。
路由器支持将NAT日志输出至日志服务器,如图5-15所示:
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令firewall log session enable,使能防火墙日志功能。
- 执行命令firewall log session nat enable,使能NAT类型的流日志功能。
- (可选)执行命令nat log-format elog,将NAT日志设置为elog格式,输出日志为elog服务器规定的可以对接的格式。
- 执行以下命令配置日志输出到信息中心日志主机或流日志主机:
配置日志输出到信息中心日志主机
执行命令info-center enable,开启信息中心。
执行命令info-center loghost ip-address [ channel { channel-number | channel-name } | facility local-number | | { vpn-instance vpn-instance-name | public-net } ] *,配置日志信息输出到日志主机所使用的通道。
系统最多可配置8个日志主机,实现日志主机间相互备份的功能。
配置日志信息输出到日志主机,有详细的配置举例,请参见《Huawei AR系列 V200R009 配置指南-设备管理-信息中心配置》中的“配置向日志主机输出日志信息示例”。
配置日志输出到流日志主机
执行命令firewall log binary-log host host-ip-address host-port source source-ip-address source-port [ vpn-instance vpn-instance-name ],配置流日志主机。
缺省情况下,流日志主机未配置。