Por Que Configurar Logs NAT no NE8000
O Huawei NE8000 é um dos BRAS (Broadband Remote Access Server) mais usados por provedores de médio e grande porte no Brasil. Ele faz PPPoE termination, CGNAT, QoS, policing e muito mais — tudo em uma caixa.
Se o seu NE8000 faz CGNAT, ele é a única fonte de verdade sobre qual assinante usou qual IP público e porta em cada momento. Sem esses logs, você não consegue responder ofícios judiciais nem cumprir o Marco Civil.
Este tutorial mostra como configurar o NE8000 para enviar logs de tradução NAT via Syslog para um servidor remoto (como o NATVault).
Pré-requisitos
- Acesso CLI ao NE8000 com nível de privilégio 15 (administrador)
- Servidor Syslog acessível via rede (IP do NATVault ou servidor intermediário)
- Porta UDP 514 (ou customizada) liberada entre o NE8000 e o servidor Syslog
- Conhecimento básico de VRP (Versatile Routing Platform) — o sistema operacional dos Huawei
Passo 1: Configurar o Info-Center (Syslog)
O info-center é o subsistema de logging do VRP. Primeiro, habilite-o e configure o host remoto:
<NE8000> system-view
[NE8000] info-center enable
[NE8000] info-center loghost 172.25.255.208 facility local7
[NE8000] info-center loghost 172.25.255.208 port 514
[NE8000] info-center loghost 172.25.255.208 source-ip 172.25.255.1
[NE8000] info-center loghost 172.25.255.208 channel 2Explicação dos parâmetros:
| Parâmetro | Valor | Descrição |
|---|---|---|
loghost | 172.25.255.208 | IP do servidor Syslog (NATVault) |
facility | local7 | Facility Syslog — use local4-local7 para não conflitar com outros logs |
port | 514 | Porta UDP padrão do Syslog |
source-ip | 172.25.255.1 | IP de origem dos pacotes Syslog (loopback ou management) |
channel | 2 | Canal de log (loghost usa channel 2 por padrão) |
Dica: Use o IP da interface Loopback como source-ip. Isso garante que os logs continuem sendo enviados mesmo se uma interface física cair.
Passo 2: Configurar o Canal de Log
Configure o canal 2 (loghost) para filtrar apenas os logs que interessam:
[NE8000] info-center channel 2 name loghost
[NE8000] info-center loghost 172.25.255.208 channel 2
[NE8000] info-center source NAT channel 2 log level informationalO último comando é crucial: ele diz ao info-center para enviar logs do módulo NAT com nível informational (nível 6) ou mais grave para o canal 2 (loghost). Logs de sessão NAT são gerados neste nível.
Passo 3: Habilitar Logs de Sessão NAT
Agora, dentro da configuração NAT, habilite o registro de sessões:
[NE8000] nat instance cgnat-1 id 1
[NE8000-nat-instance-cgnat-1] nat session-log enable
[NE8000-nat-instance-cgnat-1] nat session-log send-mode syslog
[NE8000-nat-instance-cgnat-1] nat log host-address 172.25.255.208 port 514
[NE8000-nat-instance-cgnat-1] quitDependendo da versão do VRP, a sintaxe pode variar. Em versões mais recentes (V800R021 e superiores):
[NE8000] nat instance cgnat-1
[NE8000-nat-instance-cgnat-1] log enable
[NE8000-nat-instance-cgnat-1] log host 172.25.255.208 514
[NE8000-nat-instance-cgnat-1] log format syslog
[NE8000-nat-instance-cgnat-1] quitFormato do Log NAT
O NE8000 gera logs de sessão NAT no seguinte formato típico:
NAT/6/SESSION: Protocol(17), SrcAddr(100.64.5.23), SrcPort(45000),
DestAddr(142.250.218.14), DestPort(443),
NATSrcAddr(203.0.113.45), NATSrcPort(34567),
VPN(public), StartTime(2026-01-15 14:32:15),
EndTime(2026-01-15 14:35:22), TotalBytes(125430)Campos importantes para compliance:
SrcAddr— IP privado do assinante (100.64.x.x)SrcPort— Porta de origem no lado do assinanteNATSrcAddr— IP público após tradução CGNATNATSrcPort— Porta pública após traduçãoStartTime / EndTime— Quando a sessão NAT existiuProtocol— 6 = TCP, 17 = UDP
Resolva isso automaticamente com NATVault
Configure o NE8000 para enviar logs via Syslog para o NATVault. Ele parseia automaticamente o formato Huawei, correlaciona com sessões PPPoE e mantém tudo pesquisável por 1+ ano.
Começar teste grátisPasso 4: Filtrar Logs NAT (Reduzir Volume)
O NE8000 gera logs para toda sessão NAT — incluindo DNS queries (milhares por minuto), NTP, etc. Para reduzir o volume sem perder compliance, filtre:
Filtrar por Protocolo e Porta
[NE8000-nat-instance-cgnat-1] nat session-log filter
protocol tcp
protocol udp
exclude destination-port 53
exclude destination-port 123Isso exclui logs de DNS (porta 53) e NTP (porta 123), que geralmente não são necessários para compliance. Atenção: Consulte seu jurídico antes de filtrar — em caso de dúvida, guarde tudo.
Ajustar Timer de Sessão
Por padrão, o NE8000 pode gerar um log no início e outro no fim de cada sessão. Para reduzir volume, configure log apenas no encerramento:
[NE8000-nat-instance-cgnat-1] nat session-log type end-onlyPasso 5: Verificar a Configuração
Depois de configurar, verifique se tudo está funcionando:
Verificar Info-Center
<NE8000> display info-center
Information Center: enabled
Log host: 172.25.255.208
Channel: 2(loghost)
Facility: local7
Port: 514
Source IP: 172.25.255.1
State: reachable
Sent: 1,234,567Verificar Logs NAT no Buffer Local
<NE8000> display logbuffer module NAT
<NE8000> display nat session allVerificar Estatísticas NAT
<NE8000> display nat instance cgnat-1 statistics
Active sessions: 45,231
Total sessions created: 12,345,678
Total sessions destroyed: 12,300,447
Log records sent: 24,600,894
Log records dropped: 0Se "Log records dropped" for maior que zero, significa que o NE8000 está gerando logs mais rápido do que consegue enviar. Veja a seção de troubleshooting abaixo.
Alternativa: NetStream (Flow-Based Logging)
Além de Syslog, o NE8000 suporta NetStream (implementação Huawei do NetFlow/IPFIX) para exportar dados de fluxo, incluindo traduções NAT.
[NE8000] netstream export version 9
[NE8000] netstream export host 172.25.255.208 5140
[NE8000] netstream export template timeout 600
[NE8000] interface GigabitEthernet 0/1/0
[NE8000-GigabitEthernet0/1/0] netstream inbound
[NE8000-GigabitEthernet0/1/0] netstream outboundNetStream vs. Syslog para logs NAT:
| Aspecto | Syslog (Session Log) | NetStream (IPFIX) |
|---|---|---|
| Detalhe | Cada sessão NAT individual | Fluxos agregados |
| Volume de dados | Alto | Médio |
| Precisão | Exata (por sessão) | Boa (por fluxo, com sampling) |
| CPU no NE8000 | Médio | Baixo |
| Compliance Marco Civil | Completo | Depende do nível de detalhe |
| Facilidade de parsing | Fácil (texto) | Requer collector IPFIX |
Recomendação: Use Syslog (session log) para compliance legal — é mais preciso e aceito juridicamente. Use NetStream em paralelo para análise de tráfego e detecção de anomalias.
Troubleshooting: Problemas Comuns
Logs Não Chegam no Servidor
- Firewall — Verifique se a porta 514/UDP está liberada entre o NE8000 e o servidor:
<NE8000> ping -a 172.25.255.1 172.25.255.208 - Rota — O NE8000 precisa ter rota para o IP do servidor Syslog
- Source-IP — Se o source-ip estiver errado (interface down), os pacotes não saem
- Servidor Syslog — Confirme que o servidor está escutando:
ss -ulnp | grep 514
Volume de Logs Muito Alto (Disco Cheio)
Um NE8000 com 5.000 sessões PPPoE e CGNAT dinâmico pode gerar 50-100 milhões de registros NAT por dia. Isso são 10-30 GB/dia em texto puro.
Soluções:
- Usar CGNAT determinístico (reduz logs em 90%+)
- Filtrar logs por protocolo (excluir DNS/NTP)
- Usar log tipo
end-onlyem vez destart-end - Comprimir logs no servidor (gzip reduz 85-90%)
- Usar ferramenta otimizada para volume — NATVault, VictoriaLogs ou similar
Log Records Dropped > 0
Se o NE8000 está dropping logs, o buffer de envio está lotado. Possíveis causas:
- Servidor Syslog lento ou inacessível momentaneamente
- Rede entre NE8000 e servidor congestionada
- Volume de sessões NAT acima da capacidade de logging
Solução: aumentar o buffer de log do NE8000:
[NE8000] info-center logbuffer size 10240
[NE8000] nat log buffer-size 8192E considere usar TCP em vez de UDP para Syslog (garante entrega):
[NE8000] info-center loghost 172.25.255.208 transport tcp port 1514Formato de Log Não Reconhecido pelo Collector
Se o NATVault ou outro collector não parseia os logs corretamente, verifique o formato:
[NE8000] info-center loghost 172.25.255.208 format rfc5424O formato RFC 5424 (structured syslog) é mais fácil de parsear que o formato legacy. Se seu collector espera RFC 3164 (BSD syslog), use:
[NE8000] info-center loghost 172.25.255.208 format rfc3164Configuração Completa (Copiar e Colar)
Para referência, aqui está a configuração completa consolidada:
# Habilitar info-center e configurar servidor Syslog
system-view
info-center enable
info-center loghost 172.25.255.208 facility local7
info-center loghost 172.25.255.208 port 514
info-center loghost 172.25.255.208 source-ip 172.25.255.1
info-center source NAT channel 2 log level informational
# Configurar NAT session logging
nat instance cgnat-1 id 1
nat session-log enable
nat session-log send-mode syslog
nat session-log type end-only
quit
# Verificar
display info-center
display nat instance cgnat-1 statistics
return
saveImportante: Sempre salve a configuração com save depois de fazer alterações. Configurações não salvas são perdidas no próximo reboot.
Resolva isso automaticamente com NATVault
Configure o Syslog no NE8000 apontando para o NATVault e pronto. Parseia formato Huawei automaticamente, sem ajustes manuais. Teste grátis por 14 dias.
Começar teste grátisPerguntas Frequentes
O NE8000 suporta Syslog via TCP?
Sim, a partir do VRP V800R013 o NE8000 suporta envio de Syslog via TCP, que é mais confiável que UDP (garante entrega). Configure com info-center loghost IP transport tcp port 1514. Recomendamos TCP para logs de compliance, onde perder registros pode ter consequências legais.
Quantos logs NAT por dia um NE8000 gera?
Depende do número de assinantes e tipo de CGNAT. Estimativa: com CGNAT dinâmico, um NE8000 com 5.000 sessões PPPoE gera entre 50 e 100 milhões de registros NAT por dia (10-30 GB em texto). Com CGNAT determinístico, o volume cai drasticamente porque o mapeamento é fixo e não precisa de log por sessão individual.
Posso usar NetStream em vez de Syslog para compliance?
NetStream (NetFlow/IPFIX) é uma alternativa válida, mas para compliance com o Marco Civil recomendamos Syslog com session log. O Syslog registra cada sessão NAT individual com precisão, enquanto NetStream trabalha com fluxos que podem ser agregados ou amostrados (sampling), perdendo granularidade. Na dúvida, use ambos: Syslog para compliance, NetStream para análise de tráfego.
O logging de NAT impacta a performance do NE8000?
Sim, mas em geral é suportável. O NAT session logging consome CPU e memória adicionais. Em NE8000 com service boards dedicadas para NAT (como a VSUF), o impacto é mínimo. Monitore com display cpu-usage antes e depois de habilitar. Se a CPU subir significativamente, considere filtrar logs (excluir DNS/NTP) ou usar log tipo end-only.
Como testar se os logs estão chegando no servidor?
No servidor Linux que recebe os logs, use: tcpdump -i any udp port 514 -c 10 para ver se pacotes Syslog estão chegando. No NATVault, verifique o dashboard de ingestão. No NE8000, confira com display info-center se o campo "Sent" está incrementando e "Dropped" está em zero.