思科路由器的故障日志詳細介紹

　　在路由器運行過(guò)程中，路由器會(huì )向日志主機發(fā)送包括鏈路建立失敗信息、包過(guò)濾信息等等日志信息，通過(guò)登錄到日志主機，網(wǎng)絡(luò )管理員可以了解日志事件，對日志文件進(jìn)行分析，可以幫助管理員進(jìn)行故障定位、故障排除和網(wǎng)絡(luò )安全管理。以下是小編在日常工作中積累的一些對Cisco路由器日志設置方面的經(jīng)驗，這些實(shí)例都在實(shí)際應用中調試通過(guò)并投入使用，供大家參考。

　　1、syslog設備

　　首先介紹一下syslog設備，它是標準Unix，的跟蹤記錄機制，syslog可以記錄本地的一些事件或通過(guò)網(wǎng)絡(luò )記錄另外一個(gè)主機上的事件，然后將這些信息寫(xiě)到一個(gè)文件或設備中，或給用戶(hù)發(fā)送一個(gè)信息。syslog機制主要依據兩個(gè)重要的文件:/etc/syslogd(守護進(jìn)程)和 /etc /syslog.conf配置文件，syslogd的控制是由/etc/syslog.conf來(lái)做的。syslog.conf文件指明 syslogd程序記錄日志的行為，該程序在啟動(dòng)時(shí)查詢(xún)syslog.conf配置文件。該文件由不同程序或消息分類(lèi)的單個(gè)條目組成，每個(gè)占一行。對每類(lèi)消息提供一個(gè)選擇域和一個(gè)動(dòng)作域。這些域由tab隔開(kāi)(注意:只能用tab鍵來(lái)分隔，不能用空格鍵)，其中選擇域指明消息的類(lèi)型和優(yōu)先級;動(dòng)作域指明 sysloqd接收到一個(gè)與選擇標準相匹配的消息時(shí)所執行的動(dòng)作。每個(gè)選項是由設備和優(yōu)先級組成。也就是說(shuō)第一欄寫(xiě)"在什么情況下"及 "什么程度"。然后用TAB鍵跳到下一欄繼續寫(xiě) "符合條件以后要做什么"。當指明一個(gè)優(yōu)先級時(shí)，syslogd將記錄二個(gè)擁有相同或更高優(yōu)先級的消息。每行的行動(dòng)域指明當選擇域選擇了一個(gè)給定消息后應該把他發(fā)送到哪兒。

　　第一欄包含了何種情況與程度，中間用小數點(diǎn)分隔。詳細的設定方式如下:

　　auth 關(guān)于系統安全與使用者認證;

　　cron關(guān)于系統自動(dòng)排序執行(CronTable);

　　daemon 關(guān)于背景執行程序;

　　ken 關(guān)于系統核心;

　　Ipr　關(guān)于打印機;

　　mai1 關(guān)于電子郵件;

　　news 關(guān)于新聞?dòng)懻搮^;

　　syslog 關(guān)于系統記錄本身;

　　user 關(guān)于使用者;uucp關(guān)于UNIX互拷(UUCP)。

　　2、什么程度才記錄

　　如你要系統去記錄info等級的事件，則notice、err、warning、Crit、alert、emerg等在info等級以上的也會(huì )被一并記錄下來(lái)。把上面所寫(xiě)的1、2項以小數點(diǎn)組合起來(lái)就是完整的"要記錄哪些東西"的寫(xiě)法。例如mail.info表示關(guān)于電子郵件傳送系統的一般性信息。 auth.emerg就是關(guān)于系統安全方面相當嚴重的信息。Ipr.none表示不要記錄關(guān)于打印機的信息(通常用在有多個(gè)紀錄條件時(shí)組合使用)。另外有三種特殊的符號可供應用：

　　星號(*):代表某一細項中所有項目。例如mail.*表示只要有關(guān)mail的，不管什么程度都要記錄下來(lái)。而*.info會(huì )把所有程度為infn的事件給記錄下來(lái)。 等號(=):表示只記錄目前這一等級，其上的等級不要記錄。例如上面的例子，平常寫(xiě)下info等級時(shí)，也會(huì )把位于info等級上面的 notice.err.warning、crit、alert、emerg等其他等級也記錄下來(lái)。但若你寫(xiě)=info則就只有記錄info這一等級了。 驚嘆號(!):表示不要記錄目前這一等級及其上的等級。

　　3、記錄存放的位置

　　sysloqd提供下列方法供您記錄系統發(fā)生的事件：

　　這是最普遍的方式。你可以指定好文件路徑與文件名稱(chēng)，但是必須以目錄符號"/"開(kāi)始，系統才會(huì )知道這是一個(gè)文件。例如/var/adm/maillog表示要記錄到/var/adm下面一個(gè)稱(chēng)為maillog的文件。如果之前沒(méi)有這個(gè)文件，系統會(huì )自動(dòng)產(chǎn)生一個(gè)。

　　指定的終端機或其他設備

　　你也可以將系統記錄寫(xiě)到一個(gè)終端機或是設備上。若將系統記錄寫(xiě)到終端機，則目前正在使用該終端機的使用者就會(huì )直接在屏幕上看到系統信息(例如 /dev /conso舊或是/dev/tty1，你可以拿一個(gè)屏幕專(zhuān)門(mén)來(lái)顯示系統信息)。若將系統記錄寫(xiě)到打印機(例如/dev/!p0)。，則你會(huì )有一長(cháng)條印滿(mǎn)系統記錄的紙，這樣網(wǎng)絡(luò )入侵者就不能修改日志來(lái)隱藏入侵痕跡。

　　指定的遠端主機

　　如果你不將系統信息記錄在本地機器上，你可以寫(xiě)下網(wǎng)絡(luò )中另一個(gè)主機的名稱(chēng)，然后在主機名稱(chēng)前面加上"@"符號(例如(@)ccunix1.variox.int，但被你指定的主機上必須要有sysloqd)。這可以防止由于硬盤(pán)錯誤等情況使日志文件丟失。

　　以上就是syslog各項記錄程度及記錄方式的寫(xiě)法，可以依照自己的需求記錄下自己所需要的內容。但是這些記錄都是一直追加上去的，除非將文件自行刪除掉，否則這些文件就會(huì )越來(lái)越大。Syslog設備是一個(gè)網(wǎng)絡(luò )攻擊者的顯著(zhù)目標，通過(guò)修改日志來(lái)隱藏入侵痕跡，因此我們要特別注意。最好養成每周(或更短的時(shí)間)定期檢查一次記錄文件的習慣，并將過(guò)期的記錄文件依照流水號或是日期備份，以后查閱時(shí)也比較容易。千萬(wàn)不要記錄下*.*，這樣無(wú)論什么都被記錄下來(lái)，結果會(huì )導致文件太大，要找資料時(shí)根本無(wú)法馬上找出來(lái)。有人在記錄網(wǎng)絡(luò )日志時(shí)，連誰(shuí)去ping他的主機都要記錄，這樣不僅降低系統效率而且增加了磁盤(pán)用量。

　　路由器日志功能的具體設置方法

　　首先在UNIX主機上做下列工作，以超級用戶(hù)注冊進(jìn)入:

　　其中168.1.1.2為日志主機的IP地址。這樣對路由器進(jìn)行的一些操作將會(huì )記錄在mail_debug和r2509_debug這兩個(gè)文件中。

【思科路由器的故障日志詳細介紹】相關(guān)文章：

思科路由器故障診斷技術(shù)11-03

思科無(wú)線(xiàn)路由器的詳細設置方法07-16

思科配置命令詳細介紹09-25

思科分組交換技術(shù)詳細介紹07-04

思科路由器設置07-04

思科路由器配置基礎08-13

思科路由器設置界面05-09

思科路由器怎么設置07-31

思科路由器怎么設置06-16

思科路由器的安全配置06-03