cisco设备上启用日志及syslog服务器配置.doc

cisco设备上启用日志及syslog服务器配置个人实验配置实验环境: syslog服务器:winxp (kiwi syslog) or linuxas4 (syslog) ipaddr: router:cisco3640(dynamips 模拟)router(3640)配置: r1(config)#logging on #打开日志服务 r1(config)#logging host #定义日志服务器地址 r1(config)#service timestamps debug datetime localtime show-timezone msecr1(config)#service timestamps log datetime localtime show-timezone msec #以上2行定义时间戮 r1(config)#logging facility local7 #定义facility级别,默认为7 r1(config)#logging trap 7 #定义severity级别,(0-7),如7则=0-7全部启用syslog(windows kiwisyslog)配置kiwi syslog版本为8.2.8,因是免费版本故不支持多台设备分别记录.安装后既可,基本不用配置.syslog(linuxas4 syslog)配置明天做,缓缓网上资料配置vi /etc/sysconfig/syslog 把 SYSLOGD_OPTIONS=-m 0 修改为 SYSLOGD_OPTIONS=-r -m 0 /-r 从远端主机写入 -m 0 sables MARK messages vi /etc/syslog.conf 加入下列内容 把设备号为local4(PIX的默认设备号)的所有的日志记录到 /var/log/router.log中 #Save pix messages all to router.log local4.* /var/log/router.log 把设备号为local5(在S8016中用info-center loghost host-ip-addr facility local-number指定)的所有的日志记录到 /var/log/router.log中 #Save S8016 messages all to S8016.log local5.* /var/log/S8016.log 生成空的日志文件touch /var/log/router.logtouch /var/log/S8016.log然后重启syslog,就ok了/etc/rc.d/init.d/syslog restart 别忘了设置防火墙规则,仅允许你的设备发送到udp/514(默认的UDP端口为514,默认的tcp端口为146 为了避免日志过大,配置日志轮循(man logrotate 查看详细的帮助信息)vi /etc/logrotate.conf增加下列内容# system-specific logs may be also be configured here./var/log/router.log ( rotate 2/var/log/S8016.log weekly /每周轮循 rotate 4 /轮循4次配置crontab进行日志备份,如按照日期进行备份.如网络设备很多,可把同类的设备配置为相同的设备号例:more switch.log | grep X.X.X.X /查看某一设备的日志审核和记录系统的事件是非常重要的。如果仅仅把系统事件作为日志记录下来，而不去查看，还是无济于事。可用webadmin管理和查看日志,用logchek 自动地检查日志文件，把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息 email 给系统管理员。（稍后补充）网络设备配置PIX的配置 logging on /打开日志 logging host if_name ip_address protocol/port /指定日志主机 例:logging host log logging trap level /指定日志消息的级别 (0:紧急(Emergencies) 1:告警(Alerts) 2:严重的(Critical) 3:错误(Errors) 4:警告(Warnings) 5:通知(Notifications) 6:信息(Informational) 7:调试(Debugging) logging trap 7 /把调试信息设置为Debug级,记录FTP命令和WWW的URL 另外可用logging facility命令更改设备号,PIX默认为local4(20) Huawei S8016的配置( VRP(R) Software, Version 3.10(NSSA), RELEASE 5331)Huawei S8016 新命令行设置日志服务器 info-center enable /打开信息中心 inf-center loghost host-ip-addr channel 2 facility local-number 设置日志主机的IP地址 info-center logging host host-ip-addr 设置日志主机的信息通道 info-center host host-ip-addr channel channel-number|channel-name 设置日志主机记录工具 set logging host host-ip-addr facility local-number 取消向日志主机输出信息 undo info-center loghost host-ip-addr huwei S3026配置(VRP (tm) Software, Version 3.10)logging onset logging host 133