cisco日志信息概述
16.6 系统安全日志
网络设备的Syslog日志功能可以将某些重要事件信息(如系统错误、系统配置、状态变化、状态定期
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
、系统退出等)或用户设定的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配置设定和排障,保障网络安全稳定地运行。
16.6.1 日志信息概述(1)
1.日志信息格式
日志信息将以以下格式显示:
seq no:timestamp: %facility-severity-MNEMONIC:description
日志信息中各个要素的描述如表16-1所示。
表16-1 日志信息要素
要 素
描 述
seq no
标记日志信息序号。只有执行“service sequence- numbers”配置命令后,才显示该序号
timestamps格式如下:
mm/dd hh:mm:ss
或hh:mm:ss(短时间运行时)
或d h(长时间运行时)
日志信息的产生时间。只有执行“service timestamps log [datetime | log]”配置命令后,才显示该部分
facility
日志信息要点
serverity
日志信息的级别,取值范围为0 ~ 7
MNEMONIC
日志信息类型描述
description
日志信息详细描述
下面是Cisco Catalyst 3550交换机系统日志信息的一部分(如图16-9所示)。
3d18h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
3d18h: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
3d18h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
3d19h: %SYS-5-CONFIG_I: Configured from console by vty0 (211.82.219.199)
3d20h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down
3d20h: %LINK-3-UPDOWN: Interface FastEthernet0/4, changed state to up
3d20h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to up
3d20h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
HYPERLINK "http://new.51cto.com/files/uploadimg/20090325/132015224.jpg"
HYPERLINK "http://images.51cto.com/files/uploadimg/20060921/153223104.gif"
(点击查看大图)图16-9 系统日志信息
2.日志信息等级
可以根据需要决定向管理界面发送的日志信息。根据事件严重程度的不同,日志信息等级定义为0~7共8级,如表16-2所示。
表16-2 日志信息级别关键字
关键字
等 级
描 述
Emergencies
0
紧急情况
Alerts
1
应该被立即改正的问题
Critical
2
重要情况
Errors
3
错误
warnings
4
警告
Notifications
5
不是错误情况但可能需要处理
Informations
6
普通信息
Debugging
7
调试信息
16.6.1 日志信息概述(2)
3.日志信息类别
日志信息类别及描述如表16-3所示。
表16-3 日志信息类别
日志信息
描 述
@5-COLDSTART: System coldstart.
系统冷启动
@5-WARMSTART: System warmstart.
系统热启动
@5-CONFIG:Configured from [chars] by [chars]
系统配置改变。第一个chars指明管理类型,第二个chars指明管理者的IP
@5- LINKUPDOWN Interface [chars], changed state to [chars]
端口状态改变。第一个chars指明对应的接口,第二个chars指明接口当前的状态
@4-TOPOCHANGE: Topology is changed.
网络拓扑结构改变
@4-NEWROOT:New root is produced
网络中有新的根桥产生
@4-AUTHFAILURE: Authenticate failed.
用户认证失败
@2-STORMGENERATE: Broadcast(Unicast,Multicast)storm has happend in [chars]..
接口上有帧(广播,单播,多播)风暴产生。chars表示对应的接口
@2-PORTSECURVIOLATED: Security has be violated of [chars].
端口安全被违反。chars表示对应的接口
@4-HWCHANGE: Module [chars] has been plugged into slot [chars]
@4-HWCHANGE: Module [chars] in slot [chars] has been pulled out.
系统的硬件发生变化,模块插入/移除
4.默认系统日志配置
系统日志的默认配置如表16-4所示。
表16-4 系统日志默认配置
属 性
默认设置
系统日志开关
打开
在带外界面显示日志信息
打开
带外信息等级
7级
在telnet界面显示信息
关闭
telnet界面显示信息等级
7级
向缓冲区发送日志信息
打开
缓冲区日志信息等级
7级
将日志信息
记录
混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载
到文件
关闭
文件记录日志信息等级
5级
16.6.2 启用系统日志信息
当系统日志信息被关闭后,借助以下操作,可以重新启用日志信息。
第1步,进入全局配置模式。
Cisco# configure terminal
第2步,启用系统日志信息。
Cisco(config)# logging on
第3步,返回特权模式。
end
第4步,查看日志信息状态。
Cisco# show running-config
Cisco# show logging
第5步,保存修改后的配置。
Cisco# copy running-config startup-config
如图16-10所示为重新启用日志信息,并显示其工作状态的操作过程。
(点击查看大图)图16-10 重新启用日志信息
16.6.3 设置日志信息存储设备
当系统日志信息功能被启用后,默认状态下将存储在网络设备的缓存中。而网络设备一旦瘫痪,缓存中的日志文件将被全部丢失,除非事先将其保存至闪存中。因此,若欲借助日志文件分析故障和安全事件,必须将日志信息存储在其他目的设备。
设置日志信息存储设备配置过程如下。
第1步,进入全局配置模式。
Cisco# configure terminal
第2步,将日志信息记录到设备内置的缓存。默认缓存大小为4 096字节,可取值范围为4 096 ~ 2 147 483 647字节。当
Cisco(config)# logging buffered [size]
不要将缓存设置得太大,因为交换机其他任务也需要使用该缓存。使用"show memory"命令可以查看交换机中空闲的内存。Size的设置值一定要小于最大可用值。
第3步,将日志记录到UNIX系统日志服务器。Host可以是系统日志服务器的计算机名称或IP地址。如果有多台UNIX系统日志服务器,应当重复执行该命令。
Switch(config)# logging host
第4步,将系统日志保存在设备闪存中。max-file-size用于指定日志文件的最大尺寸,取值范围为4096 ~ 2147483647,默认值为4 096字节。min-file-size用于指定日志文件的最小尺寸,取值范围为1 024 ~ 2 147 483 647,默认值为2 048字节。severity-level-number | type用于指定每个日志的严重级别或日志类型,取值范围为0~7。
Cisco(config)# logging file flash:filename
[max-file-size [min-file-size]] [severity- level-number | type]
将日志保存在设备闪存中是一个不错的选择。特别是当没有专门的UNIX系统日志服务器时。
第5步,返回特权模式。
Cisco(config-line)# end
第6步,校验配置。
Cisco# show running-config
第7步,保存修改后的配置。
Cisco# copy running-config startup-config
16.6.4 配置日志消息的时间戳
当时间戳功能打开时,源设备发出的系统信息中有该信息产生时的日期和时间,该功能默认是打开本地时间,在没有系统时钟的设备上,默认是打开系统上电时间。在默认情况下,日志消息没有时间戳。
在特权EXEC模式下开始,启用log消息的时间标签。
第1步,进入全局配置模式。
Switch # configure terminal
第2步,启用log时间标签。
Switch (config) # service timestamps log uptime
或者
Switch (config) # service timestamps
log datetime [msec] [localtime] [show-timezone]
第3步,返回特权EXEC模式。
Switch (config-if) # end
第4步,校验配置。
Switch # show running-config
第5步,保存配置。
Switch # copy running-config startup-config
若要禁用调试和log消息的时间标签,可使用"no service timestamps"全局配置指令。
16.6.5 配置日志序列号
当序列号功能打开时,源设备发出的系统信息中有该信息产生的序列号值。默认情况下,日志消息的序列号是不显示的。
在特权EXEC模式下开始,启用log消息的序列号。
第1步,进入全局配置模式。
Switch # configure terminal
第2步,启用序列号。
Switch (config) # service sequence-numbers
第3步,返回特权EXEC模式。
Switch (config-if) # end
第4步,校验配置。
Switch # show running-config
第5步,保存配置。
Switch # copy running-config startup-config
禁用序列号,使用"no service sequence-numbers"全局配置指令。
16.6.6 定义消息严重等级
可以限制将某种级别的消息发送至某种目的设备。在特权EXEC模式下开始,借助于以下步骤可以定义消息的严重等级及目的设备。
第1步,进入全局配置模式。
Switch # configure terminal
第2步,限制将消息发送到控制台。
Switch (config) # logging console level
第3步,限制将消息发送到终端。
Switch (config) # logging monitor level
第4步,限制将消息发送到日志服务器。
Switch (config) # logging trap level
第5步,返回特权EXEC模式。
Switch (config-if) # end
第6步,校验配置。
Switch # show running-config
或者
Switch # show logging
第7步,保存配置。
Switch # copy running-config startup-config
禁用控制台上的日志,使用"no logging console"全局配置指令。禁用到终端或其他控制台的日志,使用"no logging monitor"全局配置指令。禁用系统日志陷阱,使用"no logging trap"全局配置指令。
16.6.7 限制日志发送到历史表和SNMP
将系统日志消息陷阱发送到SNMP网络管理站点后,使用"snmp-server enable trap"全局配置指令可以改变发送消息的等级,并存储在交换机历史表中,也可以改变存储在历史表中消息的数量。消息被存储在历史表中是因为SNMP陷阱不能保障每个消息都能到达目的地。默认情况下,一个警告等级的消息和低编号的等级被存储在历史表中,甚至系统日志陷阱也不被启用。
在特权EXEC模式下开始,下面的步骤是改变等级和历史表默认大小。
第1步,进入全局配置模式。
Switch # configure terminal
第2步,改变存储在历史文件中和发送到SNMP服务器的系统日志消息等级。
Switch (config) # logging history level
第3步,指定可以被存储在历史表中的系统日志消息的编号。
Switch (config) # logging history size number
第4步,返回特权EXEC模式。
Switch (config-if) # end
第5步,校验配置。
Switch # show running-config
第6步,保存修改后的配置。
Switch # copy running-config startup-config
当历史表满时,最早的消息就会从表中删除,允许新消息被存储。
将系统log消息返回到默认等级,使用"no logging history"全局配置指令。返回在历史表中消息的编号到默认值,使用"no logging history size"全局配置指令。
16.6.8 配置UNIX系统日志服务器
1.将消息发送至UNIX系统日志Daemon
将消息发送到UNIX系统日志服务器之前,必须在一个UNIX服务器上配置系统日志后台程序,具体步骤如下。
第1步,添加一个类似下面文件的行到文件/etc/syslog.conf。关键字"local7"指定被使用的日志工具,关键字"debug"指定系统日志的等级,系统log在这个等级或一个更严重的等级下发送消息。这个文件首先必须存在,并且系统log后台程序必须允许读。
local7.debug /usr/adm/logs/cisco.log
第2步,创建一个日志文件。
$ touch/var/log /cisco.log
$ chmod 666/var/log/cisco.log
第3步,确保系统日志后台程序读改变后的新文件。
$ kill -HUP ` cat/etc/syslog.pdi`
2.配置UNIX系统日志工具
当将系统日志消息发送到外部设备时,可以在交换机上标识将这些信息发送至哪个UNIX系统日志工具,步骤如下。
第1步,进入全局配置模式。
Switch # configure terminal
第2步,使用IP地址让日志消息到一个UNIX系统服务器主机。
Switch (config) # logging host
第3步,限制消息到日志服务器。
Switch (config) # logging trap level
第4步,配置系统日志工具。
Switch (config) # logging facility facility-type
第5步,返回特权EXEC模式。
Switch (config-if) # end
第6步,校验配置。
Switch # show running-config
第7步,保存修改后的配置。
Switch # copy running-config startup-config
移除一个系统日志服务器,使用"no logging host"全局配置指令,并指定系统日志服务器的IP地址。禁用系统日志服务器的日志,输入"no logging trap"全局配置指令。
若要显示日志配置和日志缓冲的内容,可以使用"show logging"特权EXEC指令。