配置cisco交换机日志服务器
配置交换机日志服务器配置的服务来记录路由器的日志基本配置)路由器的配置:interfaceEthernet0/0ipaddress192.168.1.2255.255.255.0!logging192.168.1.1loggingfacilitylocalO〃配置日志存储的facility,默认是Iocal7,可以修改为其他,但推荐保存为Iocal开头的facility里loggingtrapdebugging//配置要发送到日志服务器的日志优先级,默认发送到日志服务器的优先级为InfoLinux服务器配置:1、在/var/log目录下新建Cisco.log文件2、在/etc/syslog.conf增加:#Ciscosyslogmessageslocal/var/log/Cisco.log〃配置local0优先级记录的位置3、在/etc/sysconfig/syslog文件修改:SYSLOGD_OPTIONS="-r-x-m0"〃配置服务器接收来自外部的log日志消息4、重启Syslog服务,使新的配置生效:[root@localhost/]#servicesyslogrestartUbantu7.1的syslog文件为/etc/default/syslogdSyslog服务名为sysklogd,重启Syslog服务的命令为:servicesysklogdrestart附(转):配置linuxsyslog日志服务器目前,linux依旧使用syslogd作为日志监控进程,而在主流的linux发行版中依旧使用sysklog这个比较老的日志服务器套件。
一、配置文件默认的日志服务器就是sysklogd套件:主要的配置文件有两个:/etc/sysconfig/syslog定义syslog服务启动时可加入的参数/etc/syslog.conf这个是syslog服务的主要配置文件,根据定义的规则导向日志信息二、设置主配置文件/etc/syslog.conf根据如下的格式定义规则:facility.levelaction设备.优先级动作facility.level字段也被称为seletor(选择条件),选择条件和动作之间用空格或tab分割开号开头的是注释,空白行会自动跳过1、facilityfacility定义日志消息的范围,其可使用的key有:auth-由pam_wdb报告的认证活动authriv-包括特权信息如用户名在内的认证活动cron-与cron和at有关的计划任务信息daemon-与inetd守护进程有关的后台进程信息kern-内核信息,首先通过klogd传递lr-与打印服务有关的信息mail-与电子邮件有关的信息mark-syslog内部功能用于生成时间戳news-来自新闻服务器的信息syslog-由syslog生成的信息user-由用户程序生成的信息uuc-由uuc生成的信息local0-local7-与自定义程序使用*通配符代表除了mark以外的所有功能除mark为内部使用外,还有security为一个旧的key定义,等同于auth,已经不再建议使用。
2、level级别level定义消息的紧急程度按严重程度由高到低顺序排列为:emerg-该系统不可用,等同anic(severity=0)alert-需要立即被修改的条件(severity=1)crit-阻止某些工具或子系统功能实现的错误条件(severity=2)err-阻止工具或某些子系统部分功能实现的错误条件,等同error(severity=3)warning-预警信息,等同warn(severity=4)notice-具有重要性的普通条件(severity=5)info-提供信息的消息(severity=6)debug-不包含函数条件或问题的其他信息(severity=7)none-没有重要级,通常用于排错* 所有级别,除了none其中,anic、error、warn均为旧的标识符,不再建议使用在定义level级别的时候,需要注意两点:优先级是由应用程序在编程的时候已经决定的,除非修改源码再编译,否则不能改变消息的优先级低的优先级包含高优先级,例如,为某个应用程序定义info的日志导向,则涵盖notice、warning、err、crit、alert、emerg等消息除非使用=号定义)3、selector选择条件通过小数点符号把facility和level连接在一起则成为selector(选择条件)。
可以使用分号“;同”时定义多个选择条件也支持三个修饰符:* -所有日志信息=-等于,即仅包含本优先级的日志信息!-不等于,本优先级日志信息除外4、action动作由前面选择条件定义的日志信息,可执行下面的动作:file—指定日志文件的绝对路径terminal或rint—发送到串行或并行设备标志符,例如/dev/ttyS2@host—远程的日志服务器username—发送信息本机的指定用户信息窗口中,但该用户必须已经登陆到系统中namedie—发送到预先使用mkfifo命令来创建的FIFO文件的绝对路径不能通过/var/方式导向日志到其他脚本中处理5、举例*.info;mail.none;news.none;authriv.none;cron.none/var/log/messages#把除邮件、新闻组、授权信息、计划任务等外的所有通知性消息都写入messages文件中mail,news.=info/var/adm/info#把邮件、新闻组中仅通知性消息写入info文件,其他信息不写入mail.*;mail.!=info/var/adm/mail#把邮件的除通知性消息外都写入mail文件中。
mail.=info/dev/tty12#仅把邮件的通知性消息发送到tty12终端设备*.alertroot,joey#如果root和joey用户已经登陆到系统,则把所有紧急信息通知他们*.*@finlandia#把所有信息都导向到finlandia主机(通过/etc/hosts或dns解析其IP地址)注意:每条消息均会经过所有规则的,并不是唯一匹配的也就是说,假设mail.=info信息通过上面范例中定义的规则,/var/adm/info、/var/adm/mail、/dev/tty12,甚至finalandia主机都会收到相同的信息这样看上去比较烦琐,但可以带来的好处就是保证了信息的完整性,可供不同地方进行分析6、测试部分情况下,上述规的实际执行结果和定义的预想结果可能会有出入这时,可使用logger程序辅助测试:#logger-user.notice'HelloWorld!'日志显示:Nov1213:40:04dc5testroot:HelloWorld!其表示意思如下:第一列:日志产生时间第二列:产生此日志的主机名称第三列:产生此日志的应用程序或用户名称第四列:日志信息7、自定义日志级别正如前面所说的,应用程序的日志级别是由应用程序所决定的。
部分应用程序可通过配置,定义其日志级别例如,/etc/ssh/sshd_config文件中就有:#SyslogFacilityAUTHSyslogFacilityAUTHPRIV#LogLevelINFO把sshd的日志定义在authriv.info级别配合syslog.conf中的:authriv.*/var/log/secure则日志文件被写入/var/log/secure文件中◎我们修改为:SyslogFacilitylocal0配合在syslog.conf中增加:local0.*/var/log/sshd.log保存后,重新启动sshd或syslog服务,则以后sshd服务的所有日志都会单独的放到sshd.log文件中了三、设置服务参数默认情况下,syslog进程是不能接受其他日志服务器发过来的消息的而通过修改其启动参数,可实现日志的大集中功能修改/etc/sysconfig/syslog文件:-r:打开接受外来日志消息的功能,其监控514UDP端口;-x:关闭自动解析对方日志服务器的FQDN信息,这能避免DNS不完整所带来的麻烦;-m:修改syslog的内部mark消息写入间隔时间(0为关闭),例如240为每隔240分钟写入一次“--MARK--”信息;-h:默认情况下,syslog不会发送从远端接受过来的消息到其他主机,而使用该选项,则把该开关打开,所有接受到的信息都可根据syslog.conf中定义的@主机转发过去。
通过mansyslogd可获得更详细的帮助,而具体到实际配置文件为:SYSLOGD_OPTIONS="-r-x-m0"保存后,重启服务即可:#servicesyslogrestart此时,客户机只要通过修改syslog.conf,定义动作为@主机或IP,即可发送日志信息到本服务器中在构建集中的日志服务器时,请务必配合nt时间服务,以保证信息的有效性,避免不必要的麻烦)另夕卜,/etc/sysconfig/syslog配置文件中,还定义有klogd服务的启动参数:KLOGD_OPTIONS="-x"详细帮助,请参考man8klogd或manklogd。
