一、前提条件
准备AC/SG开始上网审计策略,上网行为可以正常审计,内置BA或外置BA能查到日志
内置BA(即AC/SG设备)或外置BA与第三方平台(有syslog服务器或FTP服务器接口)可以通信
二、配置方案
1、内置BA启用日志导出功能登录AC/SG设备控制台,进入内置BA,点击顶部导航栏,「日志导出」
![]()
![]()
或者进入「日志中心」,通过「系统管理」-「系统配置」-「日志导出」进入
![]()
进入到「日志导出」页面,功能默认不启用,勾选启用,提示性能影响
![]()
2、外置BA启用日志导出功能「系统配置」-「系统配置」-「日志导出」默认功能不启用,勾选启用
![]()
推荐使用外置行为感知系统实现日志导出功能,内置行为感知系统启用此功能比较耗费设备性能。
三、syslog服务器配置
![]()
1、单条日志长度过大,可能会被截断。尽量不要勾选不必要的字段
2、为确保日志能够被正确解析和显示,请将syslog服务器编码格式设置为UTF-8
3、BA日志是持续生成的,BA向syslog服务器传输日志是5分钟粒度向syslog服务器进行日志传输,即使与syslog服务器通讯异常,BA也是持续向syslog发送日志。已经发送过的日志在下个5分钟不会再发送,所以配置服务器前要保证与服务器通讯正常,以免日志发送完也没有在服务器端被接收的情况
4、支持最多配置20个syslog服务器
5、syslog传输日志当前只支持udp
四、导出内容配置
需要导出哪些表,在界面开启开关即可
![]()
