产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【RG-NPE】RG-NPE如何日志记录

发布时间:2013-09-18
点击量:3198

应用场景

随着互联网的持续发展,互联网信息安全已经越来越受到重视。由于NPE设备作为网络的出口设备,网络管理员需要明确记录内网用户的上网明细,如NAT记录信息、URL信息等,同时也需要监控到设备的运行状态。此时,可以通过开启日志记录功能,满足客户需求。由于NPE设备没有硬盘,日志的记录需要额外的软件支持,如RG-elog、RG ACE Report、RG APM等。

 

功能原理

NPE设备的日志记录,需要与其他软件配套才可进行,NPE上常开启的日志记录功能有两种:

NAT日志:

在NPE做NAT转换时,会产生相应的表项,开启NAT日志记录后,NPE在把相应表项记录到设备内存的同时,也会同时将相关的信息通过SYSLOG的方式,发送到日志记录服务器上;

URL日志:

URL是针对HTTP应用而言的,对于NPE来说,想要记录URL日志,就必须开启应用识别功能。在识别出HTTP应用后,NPE会把HTTP报文中的GET字段值读取出来(GET字段值的内容即为访问的URL),通过SYSLOG的方式,发送到日志记录服务器上。

 

一、组网需求

需要将NPE与APM或者Ace Report、elog进行联动记录NAT日志、URL日志

 

二、配置要点

1、NPE的时间、时区与对接设备或服务器的必须相同、正确,同时保证NPE与对接设备的网络可通;

2、NPE需要开启二三层识别和应用识别;

3、建立URL默认审计,只需记录NAT日志时,不需进行此步骤,直接进入步骤4

4、开启必要的日志功能

说明:

1、NPE与APM或Acereport对接时需要发到对端设备udp30000端口;与Elog对接时,如果Elog上设备类型选择为NPE50,则需要elog上设置端口为udp10000,此时只能记录NAT日志,不能记录URL日志;如果Elog上将设备类型选择为EG(Elog需要为1.2及更高的版本),则需要使用udp30000端口,此时既可以记录NAT日志,也可以记录URL日志

2、NPE上吞吐在3G以上时,开启二三层识别和应用识别可能会导致设备CPU高,此时如果内网有ACE设备,建议将日志发送功能改成在ACE设备上完成。

3、日志发送速率设置过小时,show rlog多次可以看到poll buf err 数值很大而且增长很快,此时需要使用rlog export-rate命令调整rlog日志发送的速率(默认为1000)

 

三、配置步骤

命令行配置方法:

1、正确设置设备的时区和时间

Ruijie(config)#clock timezone bj +8        //设置时区

         Ruijie#clock set 14:26:00 8 1 2012        //设置系统时间

Ruijie#show clock      //查看系统时间

14:26:02 bj Wed, Aug 1, 2012 

2、开启二三层识别、应用识别和流审计

Ruijie(config)#layer23 classify enable                              //启用二三层识别

Ruijie(config)#identify-application enable                       //启用应用识别

Ruijie(config)#flow-audit enable                                     //启用流审计

3、建立URL默认审计,只需记录NAT日志时,不需进行此步骤,直接进入步骤4

Ruijie(config)#content-policy web_global                       //建立内容审计策略名为web_global

Ruijie(cont-plcy-config)#url-rule audit-default-enable   //启用URL审计

Ruijie(config)#content-policy-map web_global             //全局应用建立的web_global审计

4、设置发送的日志类型,接收日志的服务器或设备IP为172.18.10.112:

rlog server 172.18.10.112 port 30000                       //接收日志的服务器或设备IP为172.18.10.112,如果接收设备为elog设备,且elog上设备类型选择为NPE50,此处port后需要设置接收的端口为10000

rlog type 16 server 172.18.10.112 priority 4            //type 16代表流日志,priority后为优先级,用默认的4即可

rlog type 20 server 172.18.10.112 priority 4           //type 20代表URL审计日志,如不需要记录URL日志,此命令不用配置

rlog export-rate 1000                                            //设置日志发送速率即为1000,1000为默认速率,因此配置为1000时show run 看不到此速率配置

 

WEB配置方法:

此功能建议在命令行下配置,如上命令行配置的1-3步骤均需要在命令行下完成,只有步骤4可以在web上进行:

步骤1-3见命令行配置方法;

4、进入菜单 高级选项>系统日志,填入接收日志的服务器IP和端口,如果服务器不是直接接在NPE设备的MGT口下,禁止选择“通过管理口发送”:

      

     单击“发送日志类型”,弹出如下对话框:

选择需要开启发送的日志,后面的数字代表优先级,用默认的4即可,选择完后单击“确定”,回到主界面点“保存配置”即可。

配置完后在配置页面下发的列表可以看到设置:

 

四、配置验证

1、在ELOG上整点过5分钟左右查询可以看到日志;

2、APM或者Acereport上过5分钟左右可以查看到日志,由于NPE没有对URL进行分类,查看到的类型为“unknown”

3、在NPE上使用show rlog命令查看是否发送日志:

Ruijie#show rlog

rlog server is enable 

 port 30000  server 172.18.10.112                            //接收日志的服务器为172.18.10.112,日志服务器端口为30000

rlog dev-ip 0.0.0.0                                                     //日志发送的IP地址,默认为0.0.0.0,此时设备将根据到服务器的路由选择的出接口选择该接口IP发送

rlog export-rate 1000 rlog queue remain 10000        // export-rate 1000 表示日志发送的速率为1000

send log count : 59108 error count : 0 errorno : 0    //如果多次查看send log count个数和push buf个数在不断增长,说明设备已经在往外持续发送日志

                  recv buf: 59108 poll buf err: 0 push buf: 59108 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式