測試設備:Huawei USG6507
軟件版本: V500R001C30SPC100

前言

單位外網邊界部署了一臺華為防火墻，一是作為安全邊界，二是充當NAT路由器功能。時近百年黨慶，上級部門對網絡安全的要求越來越嚴。其中上網nat日志記錄是重點要求之一。比如上級給一個時間點，IP地址及訪問的端口，讓我們查是那臺設備發(fā)出的請求。要滿足上述任務，必須開啟防火墻的日志功能并將其保存在遠程日志服務器上。（上級給的時間點可能是幾個月前，一般要求日志至少保留3個月）
要做這件事，需要分兩個步驟，一是配置防火墻日志相關功能，二是配置日志服務器接收防火墻發(fā)送過來的日志。

配置防火墻

#開啟消息中心服務
info-center enable
#指定傳送日志源端口
info-center loghost source GigabitEthernet1/0/0
#指定日志主機IP，不指定端口默認為514(TCP)
info-center loghost 192.168.200.14

#接下來是配置nat會話表日志
#指定日志類型為syslog
 firewall log session log-type syslog
#允許并發(fā)發(fā)送
 firewall log session multi-host-mode concurrent
#指定發(fā)送源IP地址和端口(端口任意找個未用的即可) 
firewall log source 192.168.128.199 30026
#指定日志服務器IP及端口（syslog默認端口為514）
 firewall log host 1 192.168.200.14 514

接下來需要配置安全策略，開啟會話日志記錄功能

#進入安全策略配置
security-policy
#設置名為trust_untrust的安全策略
 rule name trust_untrust
#這是最關鍵的一點，開啟會話日志功能
  session logging
  source-zone trust
  destination-zone untrust
  action permit

到這兒，防火墻的配置暫告一段落，接著配置日志服務器。
日志服務器環(huán)境
OS:centos 7.6
日志軟件:rsyslog

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
#加載tcp模塊
$ModLoad imtcp
#模塊端口514
$InputTCPServerRun 514
#自建模板，模板名稱RemoteLogs，日志存儲到/data/fwlog目錄下，HOSTNAME和PROGRAMNAME為內建變量，用于建立對應目錄和對應文件
$template RemoteLogs,"/data/fwlog/%HOSTNAME%/%PROGRAMNAME%.log" *
#記錄所有日志
*.*  ?RemoteLogs
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
#將以下信息寫入到自定義模板中
*.info,mail.none,authpriv.none,cron.none ?RemoteLogs
mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

配置完成后重啟rsyslog服務

systemctl restart rsyslog

進入/data/fwlog查看日志是否發(fā)送過來

image.png

相應日志已經自動生成，我最關心的nat會話日志以日期命名的方式來存儲。

image.png

屏幕截圖 2021-06-27 100636.png

可以看到，日志按天建立目錄，按小時寫入不同文件，nat會話記錄已經寫入到文件中，任務完成。