cisco路由器日志的保存與查看
Cisco是目前使用比較廣泛的一種路由器,在許多行業(yè)系統(tǒng)中有非常普遍的應(yīng)用。以下是在日常工作中積累的一些對Cisco路由器日志設(shè)置方面的經(jīng)驗(yàn),這些實(shí)例都在實(shí)際應(yīng)用中調(diào)試通過并投入使用,我們可以利用路由器日志快速定位及排除故障。
cisco路由器日志的保存與查看的知識
路由器是各種信息傳輸?shù)臉屑~,被廣泛用于企事業(yè)單位的網(wǎng)絡(luò)建設(shè)中,承擔(dān)著局域網(wǎng)之間及局域網(wǎng)與廣域網(wǎng)之問連接的重任。
日志對于網(wǎng)絡(luò)安全來說非常重要,他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情,你可以通過他來檢查錯誤發(fā)生的原因,或者受到攻擊時攻擊者留下的痕跡。
一、什么是路由器日志
路由器的一些重要信息可以通過syslog機(jī)制在內(nèi)部網(wǎng)絡(luò)的Unix主機(jī)上作日志。在路由器運(yùn)行過程中,路由器會向日志主機(jī)發(fā)送包括鏈路建立失敗信息、包過濾信息等等日志信息,通過登錄到日志主機(jī),網(wǎng)絡(luò)管理員可以了解日志事件,對日志文件進(jìn)行分析,可以幫助管理員進(jìn)行故障定位、故障排除和網(wǎng)絡(luò)安全管理。
二、路由器日志記錄存放的位置
sysloqd提供下列方法供您記錄系統(tǒng)發(fā)生的事件
(1)指定的遠(yuǎn)端主機(jī)
如果你不將系統(tǒng)信息記錄在本地機(jī)器上,你可以寫下網(wǎng)絡(luò)中另一個主機(jī)的名稱,然后在主機(jī)名稱前面加上"@"符號(例如(@)ccunix1.variox.int,但被你指定的主機(jī)上必須要有sysloqd)。這可以防止由于硬盤錯誤等情況使日志文件丟失。
(2)一般文件
這是最普遍的方式。你可以指定好文件路徑與文件名稱,但是必須以目錄符號"/"開始,系統(tǒng)才會知道這是一個文件。例如/var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的文件。如果之前沒有這個文件,系統(tǒng)會自動產(chǎn)生一個。
(3)指定的終端機(jī)或其他設(shè)備
你也可以將系統(tǒng)記錄寫到一個終端機(jī)或是設(shè)備上。若將系統(tǒng)記錄寫到終端機(jī),則目前正在使用該終端機(jī)的使用者就會直接在屏幕上看到系統(tǒng)信息(例如/dev /conso舊或是/dev/tty1,你可以拿一個屏幕專門來顯示系統(tǒng)信息)。若將系統(tǒng)記錄寫到打印機(jī)(例如/dev/!p0)。,則你會有一長條印滿系統(tǒng)記錄的紙,這樣網(wǎng)絡(luò)入侵者就不能修改日志來隱藏入侵痕跡。
以上就是syslog各項(xiàng)記錄程度及記錄方式的寫法,可以依照自己的需求記錄下自己所需要的內(nèi)容。但是這些記錄都是一直追加上去的,除非將文件自行刪除掉,否則這些文件就會越來越大。Syslog設(shè)備是一個網(wǎng)絡(luò)攻擊者的顯著目標(biāo),通過修改日志來隱藏入侵痕跡,因此我們要特別注意。最好養(yǎng)成每周(或更短的時間)定期檢查一次記錄文件的習(xí)慣,并將過期的記錄文件依照流水號或是日期備份,以后查閱時也比較容易。千萬不要記錄下*.*,這樣無論什么都被記錄下來,結(jié)果會導(dǎo)致文件太大,要找資料時根本無法馬上找出來。有人在記錄網(wǎng)絡(luò)日志時,連誰去ping他的主機(jī)都要記錄,這樣不僅降低系統(tǒng)效率而且增加了磁盤用量。
三、什么程度才記錄日志
如你要系統(tǒng)去記錄info等級的事件,則notice、err、warning、Crit、alert、emerg等在info等級以上的也會被一并記錄下來。把上面所寫的1、2項(xiàng)以小數(shù)點(diǎn)組合起來就是完整的"要記錄哪些東西"的寫法。例如mail.info表示關(guān)于電子郵件傳送系統(tǒng)的一般性信息。auth.emerg就是關(guān)于系統(tǒng)安全方面相當(dāng)嚴(yán)重的信息。Ipr.none表示不要記錄關(guān)于打印機(jī)的信息(通常用在有多個紀(jì)錄條件時組合使用)。另外有三種特殊的符號可供應(yīng)用:
驚嘆號(!):表示不要記錄目前這一等級及其上的等級。
等號(=):表示只記錄目前這一等級,其上的等級不要記錄。例如上面的例子,平常寫下info等級時,也會把位于info等級上面的notice.err.warning、crit、alert、emerg等其他等級也記錄下來。但若你寫=info則就只有記錄info這一等級了。
星號(*):代表某一細(xì)項(xiàng)中所有項(xiàng)目。例如mail.*表示只要有關(guān)mail的,不管什么程度都要記錄下來。而*.info會把所有程度為infn的事件給記錄下來。
四、syslog設(shè)備
syslog設(shè)備,它是標(biāo)準(zhǔn)Unix,的跟蹤記錄機(jī)制,syslog可以記錄本地的一些事件或通過網(wǎng)絡(luò)記錄另外一個主機(jī)上的事件,然后將這些信息寫到一個文件或設(shè)備中,或給用戶發(fā)送一個信息。syslog機(jī)制主要依據(jù)兩個重要的文件:/etc/syslogd(守護(hù)進(jìn)程)和/etc /syslog.conf配置文件,syslogd的控制是由/etc/syslog.conf來做的。syslog.conf文件指明syslogd程序記錄日志的行為,該程序在啟動時查詢syslog.conf配置文件。該文件由不同程序或消息分類的單個條目組成,每個占一行。對每類消息提供一個選擇域和一個動作域。這些域由tab隔開(注意:只能用tab鍵來分隔,不能用空格鍵),其中選擇域指明消息的類型和優(yōu)先級;動作域指明sysloqd接收到一個與選擇標(biāo)準(zhǔn)相匹配的消息時所執(zhí)行的動作。每個選項(xiàng)是由設(shè)備和優(yōu)先級組成。也就是說第一欄寫"在什么情況下"及"什么程度"。然后用TAB鍵跳到下一欄繼續(xù)寫"符合條件以后要做什么"。當(dāng)指明一個優(yōu)先級時,syslogd將記錄二個擁有相同或更高優(yōu)先級的消息。每行的行動域指明當(dāng)選擇域選擇了一個給定消息后應(yīng)該把他發(fā)送到哪兒。
第一欄包含了何種情況與程度,中間用小數(shù)點(diǎn)分隔。詳細(xì)的設(shè)定方式如下:
auth 關(guān)于系統(tǒng)安全與使用者認(rèn)證;
cron關(guān)于系統(tǒng)自動排序執(zhí)行(CronTable);
daemon 關(guān)于背景執(zhí)行程序;
ken 關(guān)于系統(tǒng)核心;
Ipr 關(guān)于打印機(jī);
mai1 關(guān)于電子郵件;
news 關(guān)于新聞討論區(qū);
syslog 關(guān)于系統(tǒng)記錄本身;
user 關(guān)于使用者;
uucp關(guān)于UNIX互拷(UUCP)。
五、路由器日志功能的具體設(shè)置方法
首先在UNIX主機(jī)上做下列工作,以超級用戶注冊進(jìn)入:
其中168.1.1.2為日志主機(jī)的IP地址。這樣對路由器進(jìn)行的一些操作將會記錄在mail_debug和r2509_debug這兩個文件中。
通過查看路由器日志,我們可以解決大部分的故障問題,也方便查詢故障原因,更好的、更快速的解決網(wǎng)絡(luò)問題。
cisco路由器日志的保存與查看的相關(guān)文章: