配置cisco交換機(jī)日志服務(wù)器

《配置cisco交換機(jī)日志服務(wù)器》由會(huì)員分享，可在線閱讀，更多相關(guān)《配置cisco交換機(jī)日志服務(wù)器（4頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、配置交換機(jī)日志服務(wù)器 配置的服務(wù)來記錄路由器的日志基本配置） 路由器的配置： interfaceEthernet0/0 ipaddress192.168.1.2255.255.255.0! logging192.168.1.1 loggingfacilitylocalO〃配置日志存儲(chǔ)的facility，默認(rèn)是Iocal7，可 以修改為其他，但推薦保存為Iocal開頭的facility里 loggingtrapdebugging//配置要發(fā)送到日志服務(wù)器的日志優(yōu)先級(jí)，默認(rèn) 發(fā)送到日志服務(wù)器的優(yōu)先級(jí)為Info Linux服務(wù)器配置： 1、在/var/log目錄下新建Cisco

2、.log文件 2、在/etc/syslog.conf 增加： #Ciscosyslogmessages local。.*/var/log/Cisco.log〃配置local0優(yōu)先級(jí)記錄的位置 3、在/etc/sysconfig/syslog文件 修改： SYSLOGD_OPTIONS="-r-x-m0"〃配置服務(wù)器接收來自外部的log日志 消息 4、重啟Syslog服務(wù)，使新的配置生效： [root@localhost/]#servicesyslogrestart Ubantu7.1的syslog文件為/etc/default/syslogd Syslog服務(wù)名為sys

3、klogd,重啟Syslog服務(wù)的命令為：servicesysklogdrestart附（轉(zhuǎn)）：配置linuxsyslog日志服務(wù)器 目前，linux依舊使用syslogd作為日志監(jiān)控進(jìn)程，而在主流的linux發(fā)行版中依舊使用sysklog這個(gè)比較老的日志服務(wù)器套件。 一、配置文件 默認(rèn)的日志服務(wù)器就是sysklogd套件：主要的配置文件有兩個(gè)： /etc/sysconfig/syslog定義syslog服務(wù)啟動(dòng)時(shí)可加入的參數(shù) /etc/syslog.conf這個(gè)是syslog服務(wù)的主要配置文件，根據(jù)定義的規(guī)則導(dǎo)向日志信息。 二、設(shè)置主配置文件 /etc/syslog.conf根

4、據(jù)如下的格式定義規(guī)則： facility.levelaction 設(shè)備.優(yōu)先級(jí)動(dòng)作 facility.level字段也被稱為seletor（選擇條件），選擇條件和動(dòng)作之間用空格或tab分割開。 #號(hào)開頭的是注釋，空白行會(huì)自動(dòng)跳過。 1、facility facility定義日志消息的范圍，其可使用的key有：auth－由pam_wdb報(bào)告的認(rèn)證活動(dòng)。 authriv－包括特權(quán)信息如用戶名在內(nèi)的認(rèn)證活動(dòng)cron－與cron和at有關(guān)的計(jì)劃任務(wù)信息。daemon－與inetd守護(hù)進(jìn)程有關(guān)的后臺(tái)進(jìn)程信息。kern－內(nèi)核信息，首先通過klogd傳遞。lr－與打印服務(wù)有關(guān)的信息。mail－

5、與電子郵件有關(guān)的信息mark－syslog內(nèi)部功能用于生成時(shí)間戳news－來自新聞服務(wù)器的信息syslog－由syslog生成的信息user－由用戶程序生成的信息uuc－由uuc生成的信息local0-local7－與自定義程序使用 *通配符代表除了mark以外的所有功能 除mark為內(nèi)部使用外，還有security為一個(gè)舊的key定義，等同于auth，已經(jīng)不再建議使用。 2、level級(jí)別 level定義消息的緊急程度。按嚴(yán)重程度由高到低順序排列為： emerg－該系統(tǒng)不可用，等同anic(severity=0) alert－需要立即被修改的條件(severity=1) cri

6、t－阻止某些工具或子系統(tǒng)功能實(shí)現(xiàn)的錯(cuò)誤條件(severity=2) err－阻止工具或某些子系統(tǒng)部分功能實(shí)現(xiàn)的錯(cuò)誤條件，等同error(severity=3) warning－預(yù)警信息，等同warn(severity=4) notice－具有重要性的普通條件(severity=5) info－提供信息的消息(severity=6) debug－不包含函數(shù)條件或問題的其他信息(severity=7) none－沒有重要級(jí)，通常用于排錯(cuò) * 所有級(jí)別，除了none 其中，anic、error、warn均為舊的標(biāo)識(shí)符，不再建議使用。 在定義level級(jí)別的時(shí)候，需要注意兩點(diǎn)：優(yōu)先級(jí)

7、是由應(yīng)用程序在編程的時(shí)候已經(jīng)決定的，除非修改源碼再編譯，否則不能改變消息的優(yōu)先級(jí) 低的優(yōu)先級(jí)包含高優(yōu)先級(jí)，例如，為某個(gè)應(yīng)用程序定義info的日志導(dǎo)向，則涵蓋notice、warning、err、crit、alert、emerg等消息。(除非使用=號(hào)定義) 3、selector選擇條件 通過小數(shù)點(diǎn)符號(hào)把facility和level連接在一起則成為selector(選擇條件)。可以使用分號(hào)“;同”時(shí)定義多個(gè)選擇條件。 也支持三個(gè)修飾符： * －所有日志信息 =－等于，即僅包含本優(yōu)先級(jí)的日志信息 !－不等于，本優(yōu)先級(jí)日志信息除外 4、action動(dòng)作由前面選擇條件定義的日志信息，可執(zhí)

8、行下面的動(dòng)作： file—指定日志文件的絕對(duì)路徑 terminal或rint—發(fā)送到串行或并行設(shè)備標(biāo)志符，例如/dev/ttyS2 @host—遠(yuǎn)程的日志服務(wù)器 username—發(fā)送信息本機(jī)的指定用戶信息窗口中，但該用戶必須已經(jīng)登陸到系統(tǒng)中 namedie—發(fā)送到預(yù)先使用mkfifo命令來創(chuàng)建的FIFO文件的絕對(duì)路徑 不能通過/var/方式導(dǎo)向日志到其他腳本中處理 5、舉例 *.info;mail.none;news.none;authriv.none;cron.none/var/log/messages #把除郵件、新聞組、授權(quán)信息、計(jì)劃任務(wù)等外的所有通知性消息都寫入me

9、ssages文件中。 mail,news.=info/var/adm/info #把郵件、新聞組中僅通知性消息寫入info文件，其他信息不寫入。 mail.*;mail.!=info/var/adm/mail #把郵件的除通知性消息外都寫入mail文件中。 mail.=info/dev/tty12 #僅把郵件的通知性消息發(fā)送到tty12終端設(shè)備 *.alertroot,joey #如果root和joey用戶已經(jīng)登陸到系統(tǒng)，則把所有緊急信息通知他們 *.*@finlandia #把所有信息都導(dǎo)向到finlandia主機(jī)（通過/etc/hosts或dns解析其IP地址）注意：每

10、條消息均會(huì)經(jīng)過所有規(guī)則的，并不是唯一匹配的。 也就是說，假設(shè)mail.=info信息通過上面范例中定義的規(guī)則，/var/adm/info、/var/adm/mail、/dev/tty12，甚至finalandia主機(jī)都會(huì)收到相同的信息。這樣看上去比較煩瑣，但可以帶來的好處就是保證了信息的完整性，可供不同地方進(jìn)行分析。 6、測試 部分情況下，上述規(guī)的實(shí)際執(zhí)行結(jié)果和定義的預(yù)想結(jié)果可能會(huì)有出入。這時(shí)，可使用logger程序輔助測試： #logger-user.notice'HelloWorld!' 日志顯示： Nov1213:40:04dc5testroot:HelloWorld! 其

11、表示意思如下： 第一列：日志產(chǎn)生時(shí)間第二列：產(chǎn)生此日志的主機(jī)名稱第三列：產(chǎn)生此日志的應(yīng)用程序或用戶名稱 第四列：日志信息 7、自定義日志級(jí)別 正如前面所說的，應(yīng)用程序的日志級(jí)別是由應(yīng)用程序所決定的。部分應(yīng)用程序可通過配置， 定義其日志級(jí)別。 例如，/etc/ssh/sshd_config文件中就有： #SyslogFacilityAUTH SyslogFacilityAUTHPRIV #LogLevelINFO 把sshd的日志定義在authriv.info級(jí)別。配合syslog.conf中的：authriv.*/var/log/secure 則日志文件被寫入/var/l

12、og/secure文件中。 ◎我們修改為： SyslogFacilitylocal0 配合在syslog.conf中增加： local0.*/var/log/sshd.log 保存后，重新啟動(dòng)sshd或syslog服務(wù)，則以后sshd服務(wù)的所有日志都會(huì)單獨(dú)的放到sshd.log文件中了。 三、設(shè)置服務(wù)參數(shù) 默認(rèn)情況下，syslog進(jìn)程是不能接受其他日志服務(wù)器發(fā)過來的消息的。而通過修改其啟動(dòng)參數(shù)，可實(shí)現(xiàn)日志的大集中功能。 修改/etc/sysconfig/syslog文件： -r:打開接受外來日志消息的功能，其監(jiān)控514UDP端口； -x:關(guān)閉自動(dòng)解析對(duì)方日志服務(wù)器的FQDN

13、信息，這能避免DNS不完整所帶來的麻煩；-m:修改syslog的內(nèi)部mark消息寫入間隔時(shí)間（0為關(guān)閉），例如240為每隔240分鐘寫入一次“--MARK--”信息； -h：默認(rèn)情況下，syslog不會(huì)發(fā)送從遠(yuǎn)端接受過來的消息到其他主機(jī)，而使用該選項(xiàng)，則把該開關(guān)打開，所有接受到的信息都可根據(jù)syslog.conf中定義的@主機(jī)轉(zhuǎn)發(fā)過去。 通過mansyslogd可獲得更詳細(xì)的幫助，而具體到實(shí)際配置文件為： SYSLOGD_OPTIONS="-r-x-m0" 保存后，重啟服務(wù)即可：#servicesyslogrestart 此時(shí)，客戶機(jī)只要通過修改syslog.conf，定義動(dòng)作為@主機(jī)或IP，即可發(fā)送日志信息到本服務(wù)器中。 （在構(gòu)建集中的日志服務(wù)器時(shí)，請(qǐng)務(wù)必配合nt時(shí)間服務(wù)，以保證信息的有效性，避免不必要的麻煩） 另夕卜，/etc/sysconfig/syslog配置文件中，還定義有klogd服務(wù)的啟動(dòng)參數(shù)： KLOGD_OPTIONS="-x" 詳細(xì)幫助，請(qǐng)參考man8klogd或manklogd。