网络设备的日志管理 在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分
查看交换机、路由器和其他网络设备的日志,可以帮助网管员迅速了解和诊断问题
一些网管员认为日志管理是信息安全管理的内容,和系统管理关系不大,这绝对是错误的
很多硬件设备的操作系统也具有独立的日志功能,本文以校园网中常见的Cisco 设备为代表,着重介绍在网络设备日志管理中最基本的日志记录的方法与功能
日志消息通常是指 Cisco IOS 中的系统错误消息
其中每条错误信息都被分配了一个严重级别,并伴随一些指示性问题或事件的描述信息
Cisco IOS 发送日志消息(包括 debug 命令的输出)到日志记录过程
默认情况下,只发送到控制台接口,但也可以将日志记录到路由器内部缓存;在实际的管理工作中,我们一般将日志发送到终端线路,如辅 助和 VTY 线路、系统日志服 务 器和 SNMP 管理数 据 库
了解日志消息的格 式 在Cisco IOS 设备中,日志消息采 用 如下格 式 : %-- : 下面是一个简 单 的例 子 : 这个消息经 常出现 在Catalyst 4000 交换机上 (北 京 地 区 很多区 县 都配备此 型 号 交换机),假 设日志消息已 经 启 用 了时 间 戳 和序 列 号 ,对于 日志消息,将看到以下信息,首 先 是序 列 号 ,紧 接着是时 间 戳 ,然 后 才 是真 正 的消息: %SYS-4-P2_WARN: 1/Invalid traffic from multicast source address 81:00:01:00:00:00 on port 2/1 这种日志连续出现,我们通查阅CISCO 在线文档,或者利用“错误信息解码器工具”分析就可判断出,当交换机收到信息包带有组播 MAC 地址作为源 MAC 时,“无效的数据流从组播源地址”系统日志消息生
