在 MX 系列路由器或 NFX250 上以流监控记录格式配置 NAT 事件的日志生成

同时启用 syslog 和 Jflow 功能可能会导致扩展影响，因为这两种机制都使用单独的基础架构将记录传出到收集器。

由于流监控框架也需要系统进程，因此大量 NAT 事件可引起可扩展性考虑。

流监控日志基础结构使用数据 CPU 将日志发送到外部流服务器，这可能会对性能造成轻微影响。

对为 NAT 错误事件生成的流监控消息数量实施了显式、单独的最大限制。您可以通过在[edit interfaces interface-name services-options jflow-log]层次结构级别包含message-rate-limit messages-per-second该选项来控制必须以流监控格式记录其日志的最大 NAT 错误事件数。当用于从 NAT 池进行分配的地址不可用时，当用于分配给订阅者的端口不可用时，或者当超过 NAT 事件分配的配额（请求的端口数超过配置的端口数）时，将生成这些 NAT 错误事件记录。此外，还可以配置message-rate-limit以前存在于[edit interfaces interface-name services-options syslog]层次结构级别的选项，以指定每秒可从 PIC 发送到路由引擎（本地）或外部服务器（远程）的最大系统日志消息数。

“Out of Ports”、“Out of Addresses”和“Quota Exceeded”等 NAT 错误事件受到速率限制。默认速率限制为每秒 10,000 个事件。此设置也可在 PIC 级别进行配置。

NAT 事件日志记录模板符合 IETF 作为 NAT 事件日志记录的 IPFIX 信息元素 — draft-ietf-behave-ipfix-nat-logging-02。

仅支持基于 UDP 的日志记录，这是一种不可靠的协议。

在设备上安装并配置了 Junos OS 扩展提供程序包的 MX 系列路由器，以及 MS-MPC、MS-PIC 和 MX-SPC3 上，支持此功能。配备 MX 系列路由器的 MS-DPC 不支持此功能。

日志以明文格式传输，类似于服务 PIC 不加密的其他日志消息。假定日志的传输和日志收集器的定位在安全域内。由于消息不包含用户名或密码等敏感详细信息，因此不会导致任何安全或可靠性风险。

模板 ID 0 到 255 是为模板集保留的，以流监控格式记录事件支持的最大模板数为 255。修改模板配置文件配置（更改收集器或版本，或者停用和激活与模板关联的服务集）时，特定模板将取消注册并重新注册。但是，默认情况监控基础结构需要 10 分钟作为释放模板 ID 的延迟期。因此，如果在 10 分钟内多次修改模板配置文件设置，则将超过模板 ID 的最大限制 255，并且不会注册其他模板。 在这种情况下，当模板未注册时，您必须等到删除已注销模板的延迟期 10 分钟后，才能再执行任何配置更改，以便将模板注册到流监控应用程序。要检查模板是否已注册，可以使用命令 show services service-sets statistics jflow-log 。如果“已发送”字段显示模板记录的非零值，则表示模板已成功注册。

如果在服务集级别启用了以流监控格式记录 NAT 事件的功能，并且如果 PIC 启动，则流监控日志模板将注册到流监控应用程序。在注册过程中，第一组 12 条模板记录将发送到收集器。但是，可能无法所有模板记录都从路由器上的 PIC 到达收集器，或者可能无法从路由器传输出去，因为从数据包转发引擎的角度来看接口可能未启动。模板的刷新时间到期后，下一组模板记录将发送到收集器。例如，如果模板刷新时间为 60 秒，则只有在启动 PIC 后的 60 秒之后，模板记录才会正确地发送到收集器。

如果从 PIC 向收集器传输流监控日志消息时未出现问题，则 Sent 字段将递增，以指示为每个事件记录的 NAT 事件。此外，收集器的目标 IP 地址上的 tcpdump 实用程序表示接收 UDP 数据包。如果发生 NAT 处理，并且命令输出show services service-sets statistics jflow-log service-set service-set-name部分中的Dropped值递增或不递增，则必须检查调试统计信息和计数器，以确定网络中是否存在流监控日志消息传输的任何问题。