Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1973678
  • 博文数量: 424
  • 博客积分: 1291
  • 博客等级: 中尉
  • 技术积分: 2682
  • 用 户 组: 普通用户
  • 注册时间: 2012-08-13 01:34
个人简介

linux oracle 网络安全 编程

文章分类

全部博文(424)

文章存档

2016年(22)

2015年(53)

2014年(57)

2013年(242)

2012年(50)

分类: 网络与安全

2013-04-18 00:33:54



华为交换机的 syslog功能






1.1 日志功能
1.
SYSLOG介绍
日志系统是以太网交换机中不可或缺的一部分,它是系统软件模块的信息枢纽。日志系统管理大多数的信息输出,并且能够进行细致的分类,从而能够有效地进行信息筛选。通过与debugging程序的结合,日志系统为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
以太网交换机的日志系统具有以下一些特性:
?
支持控制台( Console )、监视终端( monitor )——Telnet终端、日志缓冲区(
logbuf )、日志主机( loghost )、告警缓冲区(trapbuf)、SNMP六个方向的日志输出。
?
日志信息按重要性划分为八种等级,可按等级进行信息过滤。
? 信息按来源模块进行划分,可按模块进行信息过滤。
?
信息在输出时可以进行中英文选择。
2. SYSLOG配置
SYSLOG配置的配置任务如下:
? 开启或关闭日志功能
?
设置日志信息的输出方向
? 定义日志信息的过滤规则
?
配置日志主机
在以上的配置中,配置日志主机不是在交换机上进行的配置。必须先开启日志功能,其余的配置才能生效。
(1)
开启或关闭日志功能
可以使用下面的命令来开启或关闭日志功能。
请在系统视图下进行下列操作。
表1-1 开启或关闭日志功能
操作
命令
开启日志系统 info-center enable
关闭日志系统 undo info-center enable

?
说明:
syslog缺省情况下处于开启状态。syslog开启时,由于信息分类、输出的原因,在处理信息较多时,对系统性能有一定的影响。

(2)
配置日志信息的输出方向
目前,以太网交换机的日志系统,可以在六个方向输出各种日志信息。每个输出方向通过配置命令指定所需要的通道。所有信息经过指定通道过滤,之后发送到相应的输出方向。用户可根据需要,配置输出方向所使用的通道以及配置通道的过滤信息,完成各类信息的过滤以及重定向。
可以使用下面的命令来配置日志信息的输出方向
请在系统视图下进行下列配置。
表1-2
输出日志信息
操作 命令
向Console方向输出信息 info-center console channel{ channel-number |
channel-name }
向Telnet终端或哑终端输出信息 info-center monitor channel { channel-number
| channel-name }
向日志缓冲区输出信息 info-center logbuffer [ channel { channel-number
| channel-name } ] [ max-size buffersize ]
取消向日志缓冲区输出信息 undo info-center
logbuffer [ channel | max-size ]
向日志主机输出信息 info-center loghost host-ip-addr [
channel { channel-number | channel-name } ] [ facility local-number ] [ language
{ chinese | english } ]
取消向日志主机输出信息 undo logging host
host-ip-addr
向告警缓冲区输出信息 info-center trapbuffer [ max-size buffersize ] [
channel { channel-number | channel-name } ]
取消向告警缓冲区输出信息 undo info-center
trapbuffer [ channel | max-size ]
向SNMP输出信息 info-center snmp channel {
channel-number | channel-name }

目前,系统对每个输出方向缺省分配一个信息通道,请参见下表。
表1-3
输出日志信息的信息通道名和通道号
输出方向 信息通道号 缺省的信息通道名
控制台 0 console
监视终端 1
monitor
日志主机 2 loghost
告警缓冲区 3 trapbuffer
日志缓冲区 4 logbuffer
snmp 5
snmpagent

? 说明:
六个方向的设置相互独立,但首先需要开启信息中心,其余的设置才会生效。

(3)
定义信息通道的过滤规则
SYSLOG按信息的严重等级或紧急程度划分为八个等级,在按等级来进行日志信息过滤时,采用的规则是:禁止严重等级大于所设置阈值的信息输出。越紧急的日志报文,其严重等级越小,emergencies表示的等级为0,debugging为7,因此,当设置严重等级阈值为debugging时,所有的信息都会输出。
表1-4
syslog定义的优先级(severity)
严重等级 描述
emergencies 极其紧急的错误
alerts
需立即纠正的错误
critical 关键错误
errors 需关注但不关键的错误
warnings
警告,可能存在某种差错
notifications 需注意的信息
informational 一般提示信息
debugging
调试信息

可以使用下面的命令来定义信息通道的过滤规则。
请在系统视图下进行下列操作。
表1-5 定义信息通道的内容
操作
命令
在信息通道中添加对于某模块某类信息的过滤记录 info-center source { modu-name | default } channel
{ channel-number | channel-name } [ { log | trap | debug } * { level severity |
state state } * ]
删除信息通道中关于某模块或全部模块的内容 undo info-center source { modu-name |
default } channel { channel-number | channel-name
}

modu-name是模块名;default代表所有模块;level是信息重要级别;severity是信息级别,在此级别以下的信息不输出;channel-number是要设置的信息通道号;channel-name是要设置的信息通道名。
对每个信息通道设有一条缺省记录,它的模块名为default,模块号为0xffff0000,但对于不同信息通道,此记录对日志、告警、调试类信息的缺省设置值可能不同。当某一个模块在此通道中没有明确的配置记录时,使用这条缺省的配置记录。
?
说明:
同时有多个Telnet用户或哑终端用户时,各个用户之间共享一些配置参数,其中包括按模块过滤设置,中英文选择,严重等级阈值,某一个用户改变这些设置时,在别的用户端也有所反映。

(4)
日志主机的配置
此配置是在日志主机上进行的配置。下面的配置示例是在SunOS
4.0上完成的,在其它厂商的Unix操作系统上的配置操作基本与之相同。
第一步:以超级用户(root)的身份执行以下命令。
# mkdir
/var/log/Quidway
# touch /var/log/Quidway/config
# touch
/var/log/Quidway/security
第二步:以超级用户(root)的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action
pairs)。
# Quidway configuration messages
Local4.crit
/var/log/Quidway/config
# Quidway security messages
local5.notice
/var/log/Quidway/security
?
说明:
在编辑/etc/syslog.conf时应注意以下问题:
注释只允许独立成行,并以字符#
开头。
选择/动作组合之间必须以一个制表符分隔,而不能输入空格。
在文件名之后不得有多余的空格。

第三步:当日志文件config和security建立且/etc/syslog.conf文件被修改了之后,应通过执行以下命令给系统守护进程syslogd一个HUP信号来使syslogd重新读取它的配置文件/etc/syslog.conf。
#
ps -ae | grep syslogd 147
# kill -HUP
147
进行以上操作之后,交换机系统就可以在相应的日志文件中记录信息了。
?
说明:
综合配置设备名称(facility),严重等级阈值(severity),模块名称(filter)以及syslog.conf文件,可以进行相当细致的分类,达到信息筛选的目的。

(5)
日志配置综合示例
? 配置控制台日志输出
# 开启日志系统。
[Quidway] info-center enable
#
配置控制台日志输出,允许RSTP模块的日志输出,严重等级限制为emergencies~debugging。
[Quidway] info-center
console channelconsole
[Quidway] info-center source rstp channel 6 log level
debugging
# 打开RSTP模块的调试开关。
debugging rstp all
?
配置日志主机
交换机配置如下:
# 开启日志系统。
[Quidway] info-center enable
#
将IP地址为202.38.1.10的主机用作日志主机,设置严重等级阈值为informational,输出语言为英文,允许输出信息的模块为RSTP和IP。
[Quidway]
info-center loghost 202.38.1.10 language english
[Quidway] info-center source
rstp channel 5 log level informational
阅读(37622) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~