新华三H3C防火墙日志超过80%问题研究
H3C防火墙出现如下提示
The usage of log-file flash:/logfile/filter.log reaches 80%.
The usage of log-file flash:/logfile/audit.log reaches 80%.
The usage of log-file flash:/logfile/ffilter.log reaches 80%.
The usage of log-file flash:/logfile/ips.log reaches 80%.
即空间利用率已达80%,基本方式可以修改logfile到本地硬盘。
修改logfile文件存储地址方法
<H3C-F1000-DMZ>cd hda0:/
<H3C-F1000-DMZ>dir
Directory of hda0: (VFAT)
0 drw- - Dec 22 2022 18:52:07 context1
1 drw- - Dec 20 2022 22:53:38 ntop_database
488267296 KB total (112369792 KB free)
<H3C-F1000-DMZ>mkdir logfile
Creating directory hda0:/logfile... Done.
<H3C-F1000-DMZ>info-center logfile directory hda0:/logfile/
简单的描述为
1、进入扩展硬盘
2、建立logfile文件夹
3、改变存储地址为扩展硬盘logfile文件夹
如果还不行的话,可以直接删掉logfile下生成的log文件,进一步释放空间。
另外一个思路是调整告警门限,甚至取消告警。
官方命令介绍
命令用来配置模块日志文件使用率的告警门限。
info-center logfile module module-name alarm-threshold usage
命令用来恢复缺省情况。
undo info-center logfile module module-name alarm-threshold
usage:表示日志文件使用率的告警门限,取值范围为0~100。取值为0时,表示关闭该模块日志文件的使用率告警功能。
解决方法一
关闭buffer功能
undo info-center logbuffer
可选择性设置buffer大小
info-center logbuffer size 1024
info-center logbuffer module ANTI-VIR size 1024
info-center logbuffer module ATK size 1024
info-center logbuffer module AUDIT size 1024
info-center logbuffer module AVC size 1024
info-center logbuffer module BLS size 1024
info-center logbuffer module CFGLOG size 1024
info-center logbuffer module DFILTER size 1024
info-center logbuffer module FFILTER size 1024
info-center logbuffer module FILTER size 1024
info-center logbuffer module IPS size 1024
info-center logbuffer module OBJP size 1024
info-center logbuffer module SESSION size 1024
info-center logbuffer module SGCC size 1024
info-center logbuffer module SSLVPN size 1024
info-center logbuffer module UFLT size 1024
解决方法二
设置logfile为最大容量10MB(H3C不同机型可能有区别),并关闭告警。
以下是设置logfile文件大小和提示的命令
info-center logfile module SSLVPN size-quota 10
info-center logfile module SSLVPN alarm-threshold 0
info-center logfile module SESSION size-quota 10
info-center logfile module SESSION alarm-threshold 0
info-center logfile module IPS size-quota 10
info-center logfile module IPS alarm-threshold 0
info-center logfile module ANTI-VIR size-quota 10
info-center logfile module ANTI-VIR alarm-threshold 0
info-center logfile module AVC size-quota 10
info-center logfile module AVC alarm-threshold 0
info-center logfile module UFLT size-quota 10
info-center logfile module UFLT alarm-threshold 0
info-center logfile module DFILTER size-quota 10
info-center logfile module DFILTER alarm-threshold 0
info-center logfile module FFILTER size-quota 10
info-center logfile module FFILTER alarm-threshold 0
info-center logfile module OBJP size-quota 10
info-center logfile module OBJP alarm-threshold 0
info-center logfile module ATK size-quota 10
info-center logfile module ATK alarm-threshold 0
info-center logfile module BLS size-quota 10
info-center logfile module BLS alarm-threshold 0
info-center logfile module SGCC size-quota 10
info-center logfile module SGCC alarm-threshold 0
info-center logfile module CFGLOG size-quota 10
info-center logfile module CFGLOG alarm-threshold 0
info-center logfile module AUDIT size-quota 10
info-center logfile module AUDIT alarm-threshold 0
info-center logfile module FILTER size-quota 10
info-center logfile module FILTER alarm-threshold 0
下面这几个是可能有用的命令,仅供参考。
配置允许日志信息输出到日志文件。
info-center logfile enable
命令用来配置系统自动保存日志文件的频率。
info-center logfile frequency 60
命令用来开启抑制重复日志输出功能。
info-center logging suppress duplicates
以上方式均不能彻底解决本地日志存储问题,logfile虽然被改变存储位置,并释放空间,可以存储几个G大小,但系统只支持10MB大小存储。
没有测试发送到日志服务器,感觉发送后应该也能暂时解决,但还是无法解决本地存储。
PS:问官方400感觉都白问,还是得自己解决,吐槽一下。
参考
https://zhiliao.h3c.com/questions/dispcont/128234
https://zhiliao.h3c.com/questions/dispcont/161122
https://www.h3c.com/cn/d_202110/1479076_30005_0.htm#_Toc85994981
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。