新华三H3C防火墙日志超过80%问题研究 2023-04-02 网络 暂无评论 1838 次阅读 H3C防火墙出现如下提示 ``` The usage of log-file flash:/logfile/filter.log reaches 80%. The usage of log-file flash:/logfile/audit.log reaches 80%. The usage of log-file flash:/logfile/ffilter.log reaches 80%. The usage of log-file flash:/logfile/ips.log reaches 80%. ``` 即空间利用率已达80%,基本方式可以修改logfile到本地硬盘。 #修改logfile文件存储地址方法 ``` <H3C-F1000-DMZ>cd hda0:/ <H3C-F1000-DMZ>dir Directory of hda0: (VFAT) 0 drw- - Dec 22 2022 18:52:07 context1 1 drw- - Dec 20 2022 22:53:38 ntop_database 488267296 KB total (112369792 KB free) <H3C-F1000-DMZ>mkdir logfile Creating directory hda0:/logfile... Done. <H3C-F1000-DMZ>info-center logfile directory hda0:/logfile/ ``` 简单的描述为 1、进入扩展硬盘 2、建立logfile文件夹 3、改变存储地址为扩展硬盘logfile文件夹 如果还不行的话,可以直接删掉logfile下生成的log文件,进一步释放空间。 另外一个思路是调整告警门限,甚至取消告警。 #官方命令介绍 命令用来配置模块日志文件使用率的告警门限。 ``` info-center logfile module module-name alarm-threshold usage ``` 命令用来恢复缺省情况。 ``` undo info-center logfile module module-name alarm-threshold ``` usage:表示日志文件使用率的告警门限,取值范围为0~100。取值为0时,表示关闭该模块日志文件的使用率告警功能。 #解决方法一 关闭buffer功能 ``` undo info-center logbuffer ``` 可选择性设置buffer大小 ``` info-center logbuffer size 1024 info-center logbuffer module ANTI-VIR size 1024 info-center logbuffer module ATK size 1024 info-center logbuffer module AUDIT size 1024 info-center logbuffer module AVC size 1024 info-center logbuffer module BLS size 1024 info-center logbuffer module CFGLOG size 1024 info-center logbuffer module DFILTER size 1024 info-center logbuffer module FFILTER size 1024 info-center logbuffer module FILTER size 1024 info-center logbuffer module IPS size 1024 info-center logbuffer module OBJP size 1024 info-center logbuffer module SESSION size 1024 info-center logbuffer module SGCC size 1024 info-center logbuffer module SSLVPN size 1024 info-center logbuffer module UFLT size 1024 ``` #解决方法二 设置logfile为最大容量10MB(H3C不同机型可能有区别),并关闭告警。 以下是设置logfile文件大小和提示的命令 ``` info-center logfile module SSLVPN size-quota 10 info-center logfile module SSLVPN alarm-threshold 0 info-center logfile module SESSION size-quota 10 info-center logfile module SESSION alarm-threshold 0 info-center logfile module IPS size-quota 10 info-center logfile module IPS alarm-threshold 0 info-center logfile module ANTI-VIR size-quota 10 info-center logfile module ANTI-VIR alarm-threshold 0 info-center logfile module AVC size-quota 10 info-center logfile module AVC alarm-threshold 0 info-center logfile module UFLT size-quota 10 info-center logfile module UFLT alarm-threshold 0 info-center logfile module DFILTER size-quota 10 info-center logfile module DFILTER alarm-threshold 0 info-center logfile module FFILTER size-quota 10 info-center logfile module FFILTER alarm-threshold 0 info-center logfile module OBJP size-quota 10 info-center logfile module OBJP alarm-threshold 0 info-center logfile module ATK size-quota 10 info-center logfile module ATK alarm-threshold 0 info-center logfile module BLS size-quota 10 info-center logfile module BLS alarm-threshold 0 info-center logfile module SGCC size-quota 10 info-center logfile module SGCC alarm-threshold 0 info-center logfile module CFGLOG size-quota 10 info-center logfile module CFGLOG alarm-threshold 0 info-center logfile module AUDIT size-quota 10 info-center logfile module AUDIT alarm-threshold 0 info-center logfile module FILTER size-quota 10 info-center logfile module FILTER alarm-threshold 0 ``` 下面这几个是可能有用的命令,仅供参考。 配置允许日志信息输出到日志文件。 ``` info-center logfile enable ``` 命令用来配置系统自动保存日志文件的频率。 ``` info-center logfile frequency 60 ``` 命令用来开启抑制重复日志输出功能。 ``` info-center logging suppress duplicates ``` 以上方式均不能彻底解决本地日志存储问题,logfile虽然被改变存储位置,并释放空间,可以存储几个G大小,但系统只支持10MB大小存储。 没有测试发送到日志服务器,感觉发送后应该也能暂时解决,但还是无法解决本地存储。 PS:问官方400感觉都白问,还是得自己解决,吐槽一下。 参考 ``` https://zhiliao.h3c.com/questions/dispcont/128234 https://zhiliao.h3c.com/questions/dispcont/161122 https://www.h3c.com/cn/d_202110/1479076_30005_0.htm#_Toc85994981 ``` 标签: 防火墙, 日志, h3c 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。