故障描述
查看USG5500的logbuffer时,发现日志的显示条目不对.允许最大日志条目“Allowed max buffer size”为1024条,但实际上当前日志“current message”只有515条,后续的日志就已经把前面的日志覆盖了,可以看到覆盖日志“Overwritten message”的条目一直在增加。
故障分析
1) 防火墙实现有bug。
2) 有多种日志类型,每种都有最大日志条目限制,只是logbuffer中限制总的限制条目。
处理过程
(1) 从命令“display logbuffer”后面带的参数来看,确实是有好几种日志类型的.
sec-log、av-log、ips-log类型的日志属于攻击防范日志,存储于攻击防范日志缓存区,其他类型的日志存储于系统日志缓存区。
(2) 挨个查看安全日志,发现共计防范日志的最大允许条目是512条日志,并且sec-log下面有3条攻击防范日志。
(3) 查看普通日志(存储于系统日志缓存区),发现果然已经达到了最大的512条,后续产品的普通日志持续覆盖之前的普 通日志。
建议/总结
无