飞思网巡日志服务模块介绍

1、飞思安诺网络技2015飞思安诺网络技201510目录技术说发送端的设目录技术说发送端的设Linux AIXWindows 12服务端设 Syslog Syslog 32“飞思网巡”日志服务模块为系统高级模块。通过 SYSLOG 被的网络设备、服器的日志。提供日控，按指定策略生成并输出 EXCEL 日志报表等高级功能1技术说“飞思网巡”日志服务模块，通过“飞思网巡”日志服务模块为系统高级模块。通过 SYSLOG 被的网络设备、服器的日志。提供日控，按指定策略生成并输出 EXCEL 日志报表等高级功能1技术说“飞思网巡”日志服务模块，通过 SYSLOG 标准协议（参考后面章节）设备、各类操作系统服

2、务器的 syslog 日志信息警在数据库中，供系统进行分析“飞UDP 514 syslog 的功能程序主动发送符合标准的日志到服务端网络设备大多数具备标准的 syslog 发送能力，如 cisco、h3c 等厂家的设备。Linux、Unix 操系统也可根据其技术文档进行功能的开启和设置。Windows 操作系统需使用志事件进行到 syslog windows 的32发送端2.1 LinuxLinux 下配置文件一般为：/etc/syslog.conf。要管理 Linux 件Linux 3.45.Syslog 配置文件说syslog nt#2发送端2.1 LinuxLinux 下配置文件一般为：

3、/etc/syslog.conf。要管理 Linux 件Linux 3.45.Syslog 配置文件说syslog nt#vim #Logallkernelmessagestothe#Loggingmuchelsecluttersupthescreen. #Loganything)oflevel infoor#tlogprivateauthentication.none;authpriv #Theauthprivfilehasrestricted#Logall#Logcronstuff messagesinone-#Everybodygetsemergency#Savenewserrorsof

4、levelcritandhigherina*l4#Savebootmessagesalsotoboot.log 由两个部分组成第一部分：选择条件（可以有一个或者多个条件）#Savebootmessagesalsotoboot.log 由两个部分组成第一部分：选择条件（可以有一个或者多个条件）选择条件本 为两个字段，之间用一个小数点（.）分隔。前一字段是一项服务，后一字段是一个优syslog 配置行上允许出现一个以上的选择条件，但必须用分号（;）隔开。包uucp 5重要级信重要级信消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning“warning”、 “err”、“cri

5、t”、“alert”和“emerg”都syslog主要支持以下操作动作： terminal 6host（IP 地址）配置linux 修改 Linux 中的/etc/syslog.conf 文件，在有关配置行的操作动作部分用一个“”字nt#vim #Logallkernelmessageshost（IP 地址）配置linux 修改 Linux 中的/etc/syslog.conf 文件，在有关配置行的操作动作部分用一个“”字nt#vim #Logallkernelmessagestothe#Loggingmuchelsecluttersupthescreen. #Theauthprivfileh

6、asrestrictedac 重新启动syslog 守护进nt#yslog器确定确定确定确定器器器nt2.2 AIXAX （auh.err）修改/etc/syslog.conf 7(飞思网巡设备 注意：以上操作为输出 debug、emerg、alert，notice，info stopsrc-sstartsrc-s通过以上操作，AIX 2.3 Windows(飞思网巡设备 注意：以上操作为输出 debug、emerg、alert，notice，info stopsrc-sstartsrc-s通过以上操作，AIX 2.3 Windowswindows 来windows 的日志转换成 syslog

7、 类型的日志后，转发给syslog 工：evtsys-云云对应的压缩包，在目标 windows 系统上解压后是两个文件evtsys.dll 和把这两个文件拷贝到 c:windowssystem32 （X64 COPYc:windowssysWOW64 目录下）Windows 命令提示符（开始CMD） C:evtsys -i -h 00 -p 514-i -h logIP -p log。C:net stop evtsys logIPlog服务器使用了新的服务端口，则： C:net stop evtsys C:evtsysihlogIPp8C:netstartwindows(开始-windows设

8、置 审核策略中windows C:netstartwindows(开始-windows设置 审核策略中windows 会实时的判断是否有新的 windows 日志产生，然后把新产生的日志转换成 syslogd 可识别的格式,通过 514syslogd2.4 对网络设备，大多数均支持标准的 syslog Cisco7505logging logging on logging trap 6loggingfacilityPIXloggingonlogginghostif_nameip_addressprotocol/port指定日志主机例:logging host log loggingtraple

9、vel(0:紧急(Emergencies)1:告警(Alerts)2:严重的(Critical3:错误4:警告(Warnings) 5:通知(Notifications) 6:信息(Informational) 7:调试loggingtrap7Debug级FTPWWWlogging facility 命令更改设备号,PIX S8016(VRP(R)Software,3.10(NSSA),RELEASES8016 info-center enable /9inf-centerloghosthost-ip-addrchannel2facilitylocal-IP info-centerloggin

10、ghostinf-centerloghosthost-ip-addrchannel2facilitylocal-IP info-centerlogginghosthost-ip-info-center host host-ip-addr channel channel-number|channel-工setlogginghosthost-ip-addrfacilitylocal-nfo-centerloghosthost-ip-huweiS3026配(VRP(tm)Software,loggingsetlogginghostchannel2languagefacility3 服务端设3.1 查

11、询日使用管理员账号，登录“飞思网巡”WEB 界面，点击“日志（注：“日志”是独立模块，如果没有此菜单，请联系厂家工程师进入“日志管理”，可按时间、源、类别、等级、程序名查询条1. 查询条1. 2需要查询的发送端的 IP 3Syslog 信息源的种类。facility：包uucp 包uucp 4priority。它代表日志消息的紧急程度。信查询日志消息中包含的关键字，比如“username3.2查询日志消息中包含的关键字，比如“username3.2 告警通新建通知标准策略进入“通知策略”联系人后通知联系人时间表可选择 7x24、工作时间联系人后通知联系人时间表可选择 7x24、工作时间等，时间

12、表时间对象配置告警级故障恢复、一般告警、验证告警、提示告警（实际情况进行选择，可多选通知间故障通知间隔，默认 180 新建通知模新增通知模块，并在标准策略选择刚新增的“日志通知 新点击新建点击“告警通知”中的“新建1、基新点击新建点击“告警通知”中的“新建1、基础信2、检测参选择检测时间表，默认 7X24 小时；填写检测间隔，默认 60 3、日志过滤条件时间基数和时：默认 10 分钟，指首次检测时，最近 10 源时间基数和时：默认 10 分钟，指首次检测时，最近 10 源程序信息内的日志信息内容，比如“error以上内容可以根据实际要求进行组合填写，对各条件进行“与”计算，以达到比较精确的告要

13、求，上图中表示所有设备的日志内容中只要出现了“error”则会进行告警4参通知模选择上面配置的“日志模板故障等，根据实际情况进行设置，不能留空或为通知模选择上面配置的“日志模板故障等，根据实际情况进行设置，不能留空或为 5、通知内配置好后，点击确认。此时将显示刚添加的策略配置未生效，在点击界面右上角“保存配置后，配置将生效，并能在告警通知界面查看添加的策略状态。点击操作下面的按钮，可报表策可以设置把日志信息按策略生成 EXCEL 。基础报表策可以设置把日志信息按策略生成 EXCEL 。基础信日志过滤条件填写需要成生报表的过滤条件。（日志过滤条件说明参考 填写完成后点击确认新策略）日志过滤条件填

14、写需要成生报表的过滤条件。（日志过滤条件说明参考 填写完成后点击确认新策略）3.4 将按设置的报表策略生成 EXCEL 报表，并可定时发送给管在日志报表界面，点击“新建。XEL 最大为6556 XEL表中。基础信策略参其他参基础信策略参其他参新建日志报表后，可以对新建的日志报表进行“启用”、“停止”、“编辑”、“删除”等操作点击操作下面新建日志报表后，可以对新建的日志报表进行“启用”、“停止”、“编辑”、“删除”等操作点击操作下面的“生成”按钮，可以手动生成一个报表，根1-5默认会按“日志报表点击操作下面的“查看报表”，可以查看当前生成的报表列表，点击”，可以把打开 EXCEL 打开 EXCEL 4 Syslog4.1 Syslog协议简logoto4 Syslog4.1 Syslog协议简logotocolP(slogdylog emo)ylog真正的 syslog protocol，或者也用作应用程序或库发送 syslog 信息。Syslog 用来管理计算机系统和安全审计。虽然存在大，Syslog 获得了大量设备和接收多和操作系统的支持。因此，Syslog可用来将日志数据从多种不同类型的系统整合到一个存贮中心。 由于每个进程、应用程序和操作系统都或多或少地被独立完成，在 syslog 信息内容会有一些不一syslog 的端口是 51