Логирование по протоколу Syslog EcoNAT Documentation / Логирование абонентских сессий / Логирование по протоколу Syslog
Порты для трансляции адресов в режиме CGNAT выделяются блоками. Следующий блок выдаётся только при исчерпании портов в текущем блоке. Блочное выделение портов позволяет многократно уменьшить объём логов, так как при соответствующих настройках вместо множества сообщений о выделении отдельных портов будет лишь одно сообщение о выделении диапазона (блока) портов. Количество портов в блоке задаётся параметром port_block_size в ветке конфигурации system.nat_defaults. Значение по умолчанию – 128. Изменение параметра возможно, но не рекомендуется.
Основные режимы для логирования сессий и рекомендуемые настройки представлены в таблице ниже.
Соотношение размер/читаемость логов | log_on_release | log_individual_conn | use_hex_format | pack_msg s |
|---|---|---|---|---|
Минимальный размер логов (блоки портов) | No | No | Yes | Yes |
Малый размер логов, но более читаемые | No | No | No | No |
Минимальный размер логов (соединения) | No | Yes | Yes | Yes |
Более читаемые логи (соединения) | Yes | Yes | No | Yes |
Отладочный режим (самые читаемые логи, но большой размер) | Yes | Yes | No | No |
- Если система хранения логов у оператора хорошо налажена (то есть, всё логируется и хранится без потерь), то рекомендуется задать для четырех вышеописанных параметров значение No.
- Если возникают потери в системе логирования провайдера, то имеет смысл включить опцию log_on_release. Тогда в случае потери сообщения об открытии соединения будет дополнительно направлено сообщение о закрытии, что снизит вероятность потери сообщения.
MyEcoSGE:1:# root
MyEcoSGE:2:# system connection_log
MyEcoSGE:3:system.connection_log# log_servers ( 10.0.22.78:514 )
MyEcoSGE:4:system.connection_log# ip_address 10.0.22.33/255.255.255.0
MyEcoSGE:5:system.connection_log# log_on_release on
MyEcoSGE:6:system.connection_log# log_individual_conn on
MyEcoSGE:7:system.connection_log# pack_msgs off
MyEcoSGE:8:system.connection_log# enable
Формат syslog-сообщения о сессии из пула CGNAT:
<Дата и время syslog-сервера> <IP-адрес EcoSGE> <Дата и время EcoSGE> <Системное имя EcoSGE> | <IP-адрес назначения>:<Порт> <A | F> <IP-адрес, на который произведена трансляция>:<Порт> <E | I> <IP-адрес источника>:<Порт> <Идентификатор протокола>, где A – открытие сессии (Allocate), F – закрытие сессии (Free), E – исходящая сессия (Egress), I – входящая сессия (Ingress).
Примеры сообщений об открытии и закрытии сессии:
2020-09-04T15:57:53.411971+00:00 10.210.1.234 2020-09-04T18:57:52+03:00 ecosge | 192.168.008.008:01024 A 060.000.000.226:01024 E 010.000.003.254:01024 UDP
2020-09-04T16:00:13.883270+00:00 10.210.1.234 2020-09-04T19:00:12+03:00 ecosge | 192.168.008.008:01024 F 060.000.000.226:01024 E 010.000.003.254:01024 UDP
Предусмотрена возможность передачи в сообщении о закрытии сессии времени её открытия. Данная возможность добавляется по отдельному запросу. За дополнительной информацией следует обратиться в службу технической поддержки.
После добавления данной возможности в настройках логирования при log_on_release on появляется дополнительный параметр stamp_on_free (возможные значения – on | off). Данный параметр определяет, будет ли в сообщении о закрытии сессии передаваться время её открытия. При stamp_on_free on сообщение о закрытии сессии будет иметь следующий вид:
2020-09-04T16:00:13.883270+00:00 10.210.1.234 2020-09-04T19:00:12+03:00 ecosge | 192.168.008.008:01024 F 060.000.000.226:01024 E 010.000.003.254:01024 UDP 2020-09-04T18:57:52+03:00
Как видно из примера выше, в конец сообщения добавлено время открытия сессии.
IP-адреса записываются в трехзначном формате. Например, адрес 10.1.1.200 будет представлен как 010.001.001.200.
Формат сообщений о сессиях из пулов CGNAT64 и Fake6 отличается от формата для пула CGNAT. Сообщения содержат следующие поля:
<Дата и время syslog-сервера> <IP-адрес EcoSGE> <Дата и время EcoSGE> <Системное имя EcoSGE> | <IPv6-адрес источника>:<Порт> <A | F> <IPv4-адрес, на который произведена трансляция (post-NAT source)>:<Порт> <E | I> <IPv6-адрес назначения>:<Порт> <IPv4-адрес назначения (post-NAT destination)>:<Порт> <Идентификатор протокола>, где A – открытие сессии (Allocate), F – закрытие сессии (Free), E – исходящая сессия (Egress), I – входящая сессия (Ingress).
Примеры сообщений об открытии и закрытии сессии для пула CGNAT64:
2022-10-31T11:57:57.723636+00:00 192.168.5.2 2022-10-31T11:57:56+00:00 econat | fc00:0000:0000:0000:0000:0000:0000:0001:01024 A 003.003.003.003:01024 E 0064:ff9b:0000:0000:0000:0000:0202:0202:00053 002.002.002.002:00053 UDP
2022-10-31T11:58:03.914193+00:00 192.168.5.2 2022-10-31T11:58:02+00:00 econat | fc00:0000:0000:0000:0000:0000:0000:0001:01024 F 003.003.003.003:01024 E 0064:ff9b:0000:0000:0000:0000:0202:0202:00053 002.002.002.002:00053 UDP 2022-10-31T11:57:56+00:00
Примеры сообщений об открытии и закрытии сессии для пула Fake6:
2022-10-31T20:03:45.723636+03:00 192.168.5.2 2020-10-31T20:03:45+03:00 econat | fd00:0000:0000:0000:0000:0000:0000:0001:01024 A 000.000.000.000:00000 E aaaa:0000:0000:0000:0000:0000:0000:aaaa:00053 000.000.000.000:00000 UDP
2022-10-31T20:03:50.914193+03:00 192.168.5.2 2020-10-31T20:03:50+03:00 econat | fd00:0000:0000:0000:0000:0000:0000:0001:01024 F 000.000.000.000:00000 E aaaa:0000:0000:0000:0000:0000:0000:aaaa:00053 000.000.000.000:00000 UDP 2022-10-31T20:03:45+03:00
Следует обратить внимание на то, что в сообщениях о сессиях из пула Fake6 поля post-NAT source и post-NAT destination будут всегда содержать нули.
Ниже приведены примеры настроек формата логов. Для удобства восприятия, часть строк до вертикальной черты не показана.
Логирование блоков портов с упаковкой нескольких информационных сообщений о событиях в сети в одно сообщение syslog. В данном случае в лог включается адрес на NAT, на который идет трансляция с используемым блоком портов и IP-адрес источника.
Настройки:
log_on_release off
log individual off
use_hex_format off
pack_msgs on
| 060.000.000.020:01024-01278 EA 010.000.003.250 UDP 060.000.000.018:01024-01278 EA 010.000.001.251 UDP 060.000.000.017:01024-01278 EA 010.000.002.251 UDP 060.000.000.015:01024-01278 EA 010.000.000.252 UDP 060.000.000.012:01024-01278 EA 010.000.003.252 UDP 060.000.000.010:01024-01278 EA 010.000.001.253 UDP 060.000.000.009:01024-01278 EA 010.000.002.253 UDP 060.000.000.007:01024-01278 EA 010.000.000.254 UDP 060.000.000.004:01024-01278 EA 010.000.003.254 UDP 060.000.000.002:01024-01278 EA 010.000.001.255 UDP 060.000.000.001:01024-01278 EA 010.000.002.255 UDP
Логирование каждого соединения с упаковкой нескольких информационных сообщений о событиях в сети в одно сообщение syslog. В данном случае в лог включаются все три адреса (назначения, трансляции, источника) с указанием порта. События упаковываются по несколько в одно сообщение.
log_on_release off
log individual on
use_hex_format off
pack_msgs on
| 192.168.008.008:01024 A 060.000.000.006:01024 E 010.000.001.254:01024 UDP 192.168.008.008:01024 A 060.000.000.005:01024 E 010.000.002.254:01024 UDP 192.168.008.008:01024 A 060.000.000.003:01024 E 010.000.000.255:01024 UDP 192.168.008.008:01024 A 060.000.000.000:01024 E 010.000.003.255:01024 UDP
| 192.168.008.008:01024 A 060.000.000.010:01024 E 010.000.001.253:01024 UDP 192.168.008.008:01024 A 060.000.000.009:01024 E 010.000.002.253:01024 UDP 192.168.008.008:01024 A 060.000.000.007:01024 E 010.000.000.254:01024 UDP 192.168.008.008:01024 A 060.000.000.004:01024 E 010.000.003.254:01024 UDP 192.168.008.008:01024 A 060.000.000.002:01024 E 010.000.001.255:01024 UDP 192.168.008.008:01024 A 060.000.000.001:01024 E 010.000.002.255:01024 UDP
log_on_release off
log individual on
use_hex_format off
pack_msgs off
| 192.168.008.008:01024 A 060.000.000.226:01024 E 010.000.003.254:01024 UDP
| 192.168.008.008:01024 A 060.000.000.102:01024 E 010.000.001.255:01024 UDP
| 192.168.008.008:01024 A 060.000.001.098:01024 E 010.000.002.255:01024 UDP
| 192.168.008.008:01024 A 060.000.002.234:01024 E 010.000.001.254:01024 UDP
| 192.168.008.008:01024 A 060.000.003.238:01024 E 010.000.002.254:01024 UDP
| 192.168.008.008:01024 A 060.000.001.230:01024 E 010.000.000.255:01024 UDPЛогирование блоков портов без упаковки. В данном случае в лог включается адрес на NAT, на который идет трансляция с используемым блоком портов и IP-адрес источника. Для каждого события создается новое сообщение.Настройки:
log_on_release off
log individual off
use_hex_format off
pack_msgs off
| 060.000.000.179:01024-01278 EA 010.000.001.253 UDP
| 060.000.003.096:01024-01278 EA 010.000.002.253 UDP
| 060.000.000.034:01024-01278 EA 010.000.000.254 UDP
| 060.000.002.245:01024-01278 EA 010.000.003.254 UDP
| 060.000.001.249:01024-01278 EA 010.000.001.255 UDP
| 060.000.000.108:01024-01278 EA 010.000.002.255 UDP
| 060.000.001.104:01024-01278 EA 010.000.000.255 UDP
| 060.000.000.253:01024-01278 EA 010.000.003.255 UDP
log_on_release on
log_individual_conn on
use_hex_format off
pack_msgs off
| 207.046.113.078:05443 F 060.000.003.112:01043 E 010.000.002.015:02542 TCP
| 172.016.255.001:00001 F 060.000.003.176:00001 E 067.215.065.132:00001 ICM
| 077.001.001.254:00000 A 000.000.000.000:00000 E 077.001.001.002:00001 047
log_on_release on
log_individual_conn on
use_hex_format on
pack_msgs off
| c0a800c10015 06 3c0002e80400 EA c0a800720471
| c0a800c11c56 06 3c0002e80401 EA c0a800720474