青岛 李士山

日志是网络管理员的帮手。作为网络管理员，如果你想在单位的大型网络中掌握网络性能，离不开对网络日志的分析，帮助你在网络性能出现问题时，及早发现。下面就是一个利用日志解决网络故障的真实案例。

这几天，笔者单位的网络出现了故障：浏览网页时好时坏，好的时候网页能瞬间打开，坏的时候根本就打不开网页。

起初怀疑是DNS 的问题，于是使用ping 命令进行测试，发现域名解析正常。接着又想到了防火墙，难道是遭到了大量的攻击吗？但事实并非如此，防火墙很安全，没有任何攻击存在。

又查看了策略和源NAT，根本发现不了什么问题。

图1 查看日志

图2 源NAT 资源枯竭

到底问题出在了哪里？一时陷入了困惑。就这样故障持续了两三天还是没有找到解决的办法。

再次进入防火墙，突然看到了窗口左下角的“日志”。日志是网络管理员的利器，怎么把它忘了呢？进入事件日志，发现了大量的警告信息：“FLOW：SNAT rule id 1 resource exhausted(proto=6).Reason:out of SNAT resource”。如图1 所示。

源NAT 资源枯竭！是什么原因导致的源NAT 资源枯竭呢？继而想到了NAT日志。原先的设置没有开启NAT日志，因此决定启用它。

几分钟后，查看NAT日志，终于发现了端倪：源IP为192.16.4.4 的主机以不同的端口号源源不断地连接不同IP 主机的445 端口。源NAT 资源枯竭的原因找到了！如图2。

图3 增添了一条防火墙策略，以阻止内外网445 端口连接

445 端口是一把双刃剑。利用445 端口，我们可以在局域网中轻松访问各种共享文件夹或共享打印机；但黑客通过445 端口可以偷偷共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉！为了阻止内外网445端口连接，增添了一条防火墙策略。如图3。

最后进行测试，网站打开正常。通过这次故障认识到，在网络管理中千万不可忽略日志的重要性。利用好日志，将会对故障分析起来就能达到事半功倍的效果。