网络设备的日志管理 在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。查看交换机、路由器和其他网络设备的日志,可以帮助网管员迅速了解和诊断问题。一些网管员认为日志管理是信息安全管理的内容,和系统管理关系不大,这绝对是错误的。很多硬件设备的操作系统也具有独立的日志功能,本文以校园网中常见的Cisco 设备为代表,着重介绍在网络设备日志管理中最基本的日志记录的方法与功能。 日志消息通常是指 Cisco IOS 中的系统错误消息。其中每条错误信息都被分配了一个严重级别,并伴随一些指示性问题或事件的描述信息。Cisco IOS 发送日志消息(包括 debug 命令的输出)到日志记录过程。默认情况下,只发送到控制台接口,但也可以将日志记录到路由器内部缓存;在实际的管理工作中,我们一般将日志发送到终端线路,如辅 助和 VTY 线路、系统日志服 务 器和 SNMP 管理数 据 库 。 了解日志消息的格 式 在Cisco IOS 设备中,日志消息采 用 如下格 式 : %-- : 下面是一个简 单 的例 子 : 这个消息经 常出现 在Catalyst 4000 交换机上 (北 京 地 区 很多区 县 都配备此 型 号 交换机),假 设日志消息已 经 启 用 了时 间 戳 和序 列 号 ,对于 日志消息,将看到以下信息,首 先 是序 列 号 ,紧 接着是时 间 戳 ,然 后 才 是真 正 的消息: %SYS-4-P2_WARN: 1/Invalid traffic from multicast source address 81:00:01:00:00:00 on port 2/1 这种日志连续出现,我们通查阅CISCO 在线文档,或者利用“错误信息解码器工具”分析就可判断出,当交换机收到信息包带有组播 MAC 地址作为源 MAC 时,“无效的数据流从组播源地址”系统日志消息生成。 在MAC 地址作为源 MAC 地址时,帧不是符合标准的工作情况。然而,交换机仍然转发从组播 MAC 地址发出的数据流。解决方法是设法识别产生帧带有组播源 MAC 地址的终端站。一般来说,共享组播 MAC 地址的这个帧从数据流生成器(例如 SmartBits)或第三方设备被传输(例如负载平衡防火墙或服务器产品)。 基本日志记录的配置 在设置日志记录时,需要完成两个基本的任务:打开日志记录和控制日志在线路上的显示。 1. 打开日志记录 默认地,日志记录只在路由器的终端控制台打开,要在其他地方记录日志,则必须相应的打开日志记录并进行配置。使用logging on 命令 可打...
