华为USG 防火墙发送会话日志和URL业务日志

本文最后更新于 2025年2月14日下午

简介

日志是FW在运行过程中产生的信息，记录了FW上各个功能模块的工作情况以及网络中各种业务的运行状态。管理员通过查看这些日志信息，实时了解FW的运转情况，掌握网络中的业务状态、安全情况和流量趋势。管理员还可以通过日志信息来进行回溯取证，定位问题等。

本文主要收集用户的上网流量日志，用于日后分析。

syslog日志服务器搭建可参考：https://songxwn.com/tags/syslog/

华为USG防火墙支持输出多种类型的日志，每种类型的日志功能不同，具体如下：

会话日志

报文经过FW处理后将会在FW上建立会话。FW支持会话信息的输出，管理员可以根据实际需要，选择在会话老化后输出、新建会话时输出、或者定期输出会话信息。

丢包日志

报文被FW丢弃后，FW支持将报文的信息以及被丢弃的原因输出。报文被丢弃的原因包括未命中会话表而被丢弃、未通过安全策略检查而被丢弃等。

业务日志

当流量到达或通过FW时，FW会基于应用、服务等信息，对用户的各种业务流量进行业务识别和威胁管控，同时记录日志信息。FW支持输出威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤日志以及审计日志等业务日志。

系统日志

FW支持将功能模块在运行过程中产生的信息输出，管理员可以通过查阅《日志参考》来了解FW上各个功能模块产生的系统日志信息。

端口预分配日志

通过端口预分配（NAT Port Range）日志可以了解FW（CGN）上的端口预分配和增量分配的情况，也可以实现NAT溯源。

发送会话日志到Syslog 服务器

CLI 示例

安全策略开启会话日志记录

security-policy 
 rule name trust_untrust                                                        
  session logging                                                               
  source-zone trust                                                             
  destination-zone untrust                                                      
  source-address 192.168.0.0 24                                                 
  action permit

session logging 为开启此安全策略记录会话日志，只要匹配就会发送（协议源目标 IP 和端口号等）。

指向多个syslog服务器

firewall log session multi-host-mode concurrent                                                                                    
firewall log host 1 172.16.0.2 514                                                                                                
firewall log host 2 172.16.0.3 514                                                                                                
firewall log source 172.16.0.1 6000
firewall log session log-type syslog

firewall log session multi-host-mode concurrent：
- 这条指令配置防火墙日志系统为多主机并发模式。这意味着日志信息可以同时发送到多个日志服务器。
firewall log host 1 172.16.0.2 514：
- 这是定义了第一个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.2的服务器的514端口（通常是syslog服务的默认端口）。
firewall log host 2 172.16.0.3 514：
- 这是定义了第二个日志服务器的IP地址和端口。日志会被发送到位于IP地址172.16.0.3的服务器的514端口。
firewall log source 172.16.0.1 6000：
- 这配置了日志的源IP地址和端口。日志信息将从IP地址172.16.0.1的6000端口发出。这通常是防火墙设备的IP和端口，用于标识来自哪里的日志信息。
firewall log session log-type syslog：
- 这指定了日志类型为syslog。syslog是一种常用的日志协议，可以将日志信息统一传输到syslog服务器进行收集和分析。

GUI示例

选择“系统 > 日志配置 > 日志配置”

PS：与CLI 配置一样。

发送系统日志到Syslog 服务器

CLI配置发送系统日志

info-center enable
info-center loghost 10.0.0.1 514
info-center loghost source Vlanif927

info-center enable：
- 这个命令用于启用信息中心功能。这是一项全局配置，用于允许设备收集和处理系统日志和调试信息。
info-center loghost 10.0.0.1 514：
- 此命令用于指定远程日志服务器的IP地址和端口号。在这个例子中，日志服务器的IP地址是 10.0.0.1，使用的端口是514。这意味着设备会将收集的日志通过网络发送到该指定的远程服务器。端口 514 是syslog协议的默认端口。
info-center loghost source Vlanif927：
- 这个命令指定了日志消息的源接口。在这里，Vlanif927表示一组虚拟局域网接口（VLAN Interface 927）的设备IP地址作为发送日志的源IP。这对于在多个接口上有多个IP的设备很重要，因为它决定了从哪个接口发送日志消息。