配置思科的日志系統

? ?企業級日志系統是記錄整個企業級網絡設備（包括服務器、路由器、交換機、防火墻、***檢測、***防御等）所產生的行為的，對發現和修復網絡故障、安全違例事件的追查、網絡犯罪證取、性能監視等有著不可忽視的作用。所以，收集各種網絡設備上的日志有著重要的價值。實現收集日志需理解如下知識點：

n收集日志的范圍。

n日志消息的組成。

n日志消息的編碼。

n集中收集日志的組件。

n日志文件類型的相互轉換。

關于收集日志的范圍：

? ?包括服務器操作系統的日志、路由器與交換機的日志、防火墻的日志、***檢測與***防御的日志。服務器與操作系統的日志：服務器與操作系統的日志是記錄服務器與操作系統中硬件、軟件問題的信息，同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因，或者尋找受到***時***者留下的痕跡。路由器與交換機的日志：路由器與交換機的日志是記錄路由器與交換機的運行狀況的，如接口狀態、安全警告、環境條件、CPU處理率及路由器的其他事件都可以被一臺集中日志服務器收集并分析。防火墻的日志：防火墻的日志能夠讓網絡管理員清晰地檢測到是否有非法***者正在對企業網絡進行***，而且也能夠允許網絡管理員基于通信的關鍵信息對日志進行過濾，快速取得防火墻日志的核心內容。***檢測系統與***防御系統的日志：日志記錄是***檢測與***防御設備的一個重要特征，這些設備都提供了精確的日志記錄功能。比如，當網絡正在受到***或者***時，系統將產生***報警或錯誤信息，會把相應的事件進行歸檔和分類，再根據不同緊急程度或破壞程度向網絡管理員提出報警，讓網絡管理員能及時防御網絡違例事件。

關于日志消息的組成：

? ?一個通用的日志消息組成大概分成3個部分：等級代碼、日志頭文件和日志信息文本。等級代碼表示設備或操作系統產生日志信息的嚴重級別；日志頭文件包含產生日志事件的時間、產生日志的網絡元件名稱、IP地址等；日志信息文本包括一個文本消息的說明和與該說明有關的附加信息，一般這個部分的長度小于或者等于1024B，如果沒有經過特殊處理，該信息以明文的方式進行傳遞，如圖10.44所示。

日志消息的編碼：

? 日志消息的設備和嚴重級別信息要用十進制數字編碼。很多的操作系統的常駐進程和普通進程都指定了一個設備編號，如圖10.45所示。表1所示的是常規被定義的日志消息編碼與對應的說明。如果一個消息或進程沒有被明確指定一個設備編號，那么它就可以使用本地的設備號或本地用戶級的設備號。例如：沒有被思科列入常駐進程消息的日志將使用一個名為“local7”的本地設備號對日志消息進行編碼，當然也可以更改。

關于集中收集日志的組件：

? ?集中收集日志的優勢在于與其把各個設備產生的關鍵信息分散地放置在設備本地，不如考慮集中地收集和存儲這些重要信息。“分散網絡管理不如集中網絡管理；分散安全管理不如集中安全管理”，即到達每臺產生日志的本地查看日志事件，不如在一個物理位置統一查看日志事件，這樣會更方便和高效。

? ?集中收集日志的組件有3個部分：日志消息產生源、收集協議、日志軟件。通常日志消息的產生源是一個網絡元件，可以是服務器、路由器、交換機、防火墻、***檢測或者***防御系統等。收集協議是指將網絡元件所產生的日志消息運載到日志收集平臺的一個通信協議。它是網絡元件與日志軟件之間的一種通信方式，如Syslog就是使用UDP的514號端口來運載日志消息。日志軟件是指集中收集網絡上各種設備所產生日志的用戶應用平臺（通常也叫做日志服務器），它可以直接與用戶進行交互，提供用戶隨時查看具體某個時間段、某個IP地址所產生的具體日志信息等，還可以對收集的日志進行分類與過濾管理，從而方便用戶快速地搜索并排除與故障相關的核心日志。集中收集日志的組件如圖4.46所示。

關于日志文件類型的相互轉換：

? ?一般情況下，日志文件的格式有兩種：一種是基于Windows的日志文件格式；另一種是基于Syslog的日志文件格式。基于Syslog的日志文件格式是UNIX或Linux操作系統所支持的一種日志文件格式，大多數情況下網絡設備（路由器、交換機）所產生的日志格式都是基于Syslog格式，比如思科就是使用syslog格式日志。Windows的日志只支持3種類型分類，具體如表２所示。而Syslog日志格式定義了8種類型的日志級別，具體如表３所示。

? 值得關注的第一個問題：如果需要部署集中收集日志，那么針對上述情況提出一個問題：既然Windows與網絡設備、UNIX、Linux的日志分別使用兩種不同方式的日志類型，那么怎樣對兩種不同類型的日志進行集中收集呢？因為在一個真實的企業級網絡環境中，應該既有Windows服務器，也有UNIX、Linux服務器，還有網絡設備。那么，如何做到將不同日志文件類型做轉換與收集呢？

? ?首先，雖然Windows有產生日志和收集本地主機日志的功能，但是它不具備將企業級網絡當中的各種不同網絡元件所產生的日志進行集中收集的功能。如果需要對企業級網絡中的日志進行集中收集，那么需要部署一個集中收集日志的服務端。這種服務端的應用軟件有很多，有商業版本的、有免費版本的，如KiWi Syslog就是一個免費的集中收集日志的服務端軟件。Kiwi Syslog 軟件是基于 Windows 的Syslog 服務器解決方案之一。這些產品的安裝與配置非常簡單，提供功能豐富的解決方案來接收、記錄、顯示并轉發各種網絡設備（如路由器、交換機、UNIX 主機及其他啟用Syslog 的設備）的Syslog 消息。

? 值得關注的第二個問題：現在使用Syslog軟件解決了集中收集日志服務端的問題，接下來需要解決的是，Syslog是基于Syslog日志消息類型的軟件，這與基于“Windows事件查看器”里面的日志類型不是一種格式，那么，怎么才能把Windows所產生的日志類型轉換成Syslog能夠理解的日志類型顯得非常重要？

? ?基于Windows日志客戶端的NTSyslog是安裝在Windows上的日志客戶端軟件，是一款相當不錯的軟件。NTSyslog不會用自身的方式去創建日志消息，它會采取一種非常干凈的做法——將Windows自身產生的日志信息轉化成一種Syslog能夠識別和兼容的格式，然后再把轉換后的格式發送到Syslog服務器進行集中存儲與管理。這樣既不會產生多余的非Windows系統產生的日志，又能讓Syslog服務器理解它。

演示：配置控制臺日志并保存到buffered區域

演示目標：配置控制臺日志并保存到buffered區域。

演示環境：如下圖10.47所示的演示環境。

演示背景：默認情況下路由器或者交換機所產生的日志消息會直接發送到控制臺，但是不會保存，在該演示實驗中，將調整路由器向控制臺發送日志消息的等級、關閉控制臺日志功能、將控制臺日志保存到緩沖區。

演示步驟：

第一步：默認情況下，思科的路由器會將上述表３中等級為０、１、２、３、４、５、６的日志消息顯示到控制臺（console）,比如：當您退出全局配置模式、關閉或者激活接口時，都會有日志消息出現在控制臺上，如下圖10.48所示，這樣做的目標是方便隨時提醒管理員現在的操作和設備當前的狀態，發到控制臺（console）的日志，是臨時的，路由器不會保存它?？刂婆_默認不將7級日志（debug）顯示到控制臺，是為了考慮對路由器性能產生的額外過大開銷的問題，因為這樣做會在路由器的控制臺上顯示每條消息。

有時侯管理員可能會嫌控制臺出現太多的日志信息使整個顯示不太清爽，此時您可以訂制，哪些等級的日志可以顯示在控制臺上，如下所示的配置指示路由器R1只像控制臺發送0、１、２、３重要的日志消息，不再向控制臺發送4、５、6類型的日志消息，當完成配置后其結果如下10.49所示，此時，管理員退出或進入全局配置模式，手工關閉接口都不會再向控制臺發送相關日志消息，只有激活接口時，報告了類型３的日志。

要求只將類型３以上的日志發送給控制臺：

R1(config)#logging console 3*　向控制臺發送0、１、２、３等級的日志。

第二步：如果您不希望，控制臺出現任何日志消息，可以使用如下配置關閉向控制臺發送日志消息的功能，關閉后再操作路由器R1，如下圖10.50所示，任何操作都不會再有消息提示，建議管理員不這樣做，除非您自認是真正的專家并清晰的知道路由器當前的每個狀況，不然會為您在配置過程中的故障排除產生難度，這好比是給狙擊手蒙上了雙眼。

關閉控制臺的日志提示功能：

R1(config)#no logging console*　不向控制臺（console）發送任何日志

第三步：控制臺產生的日志所產生的日志消息是一種即時消息，不會做保存，思科的路由器可以將日志消息保存在緩沖區（buffered）中，這個保存是暫時的，它會隨路由器的重新啟動而丟失所保存的日志消息，因為它是從路由器RAM中獲得暫存空間，一般建議：如果路由器的RAM超過16MB，那么建議將日志緩沖區的大小設置為32KB或者64KB，具體配置如下所示：

關于配置日志消息緩沖區的指令：

R1(config)#logging on*　開啟日志記錄功能

R1(config)#logging buffered 64000*　定義保存日志消息的緩沖區大小為64Ｋ。

　　當完成上述配置后，現在可以為路由器R1的E1/0接口配置IP地址，并活動接口，然后通過show logging指令查看保存在緩存區中的日志信息，如下圖10.51所示，可明顯看出配置日志緩沖的大小，并記錄了接口狀態變化的日志。

總結

以上是生活随笔為你收集整理的配置思科的日志系统的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。