评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置NAT日志输出
背景信息
NAT日志是设备在做NAT时生成的信息记录。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及NAT的时间信息和用户执行的操作等。网络管理员可以通过查看NAT日志实时定位用户通过NAT访问网络的情况,增强了网络的安全性。
路由器支持将NAT日志输出至日志服务器,如图5-15所示:
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令firewall log session enable,使能防火墙日志功能。
- 执行命令firewall log session nat enable,使能NAT类型的流日志功能。
- (可选)执行命令nat log-format elog,将NAT日志设置为elog格式,输出日志为elog服务器规定的可以对接的格式。
- 执行以下命令配置日志输出到信息中心日志主机或流日志主机:
配置日志输出到信息中心日志主机
执行命令info-center enable,开启信息中心。
执行命令info-center loghost ip-address [ channel { channel-number | channel-name } | facility local-number | | { vpn-instance vpn-instance-name | public-net } ] *,配置日志信息输出到日志主机所使用的通道。
系统最多可配置8个日志主机,实现日志主机间相互备份的功能。
配置日志信息输出到日志主机,有详细的配置举例,请参见《Huawei AR系列 V200R009 配置指南-设备管理-信息中心配置》中的“配置向日志主机输出日志信息示例”。
配置日志输出到流日志主机
执行命令firewall log binary-log host host-ip-address host-port source source-ip-address source-port [ vpn-instance vpn-instance-name ],配置流日志主机。
缺省情况下,流日志主机未配置。
