怎样利用路由器日志排除路由器故障
我们以Cisco为例来认识一下,路由器的一些重要信息可以通过syslog机制在内部网络的Unix主机上作路由器日志。在路由器运行过程中,路由器会向日志主机发送包括链路建立失败信息、包过滤信息等等日志信息,通过登录到日志主机,网络管理员可以了解日志事件,对日志文件进行分析,可以帮助管理员进行故障定位、故障排除和网络安全管理。
认识syslog设备
首先介绍一下syslog设备,它是标准Unix,的跟踪记录机制,syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件,然后将这些信息写到一个文件或设备中,或给用户发送一个信息。
syslog机制主要依据两个重要的文件:/etc/syslogd(守护进程)和/etc /syslog.conf配置文件,syslogd的控制是由/etc/syslog.conf来做的。syslog.conf文件指明syslogd程序记录路由器日志故障的行为,该程序在启动时查询syslog.conf配置文件。
该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意:只能用tab键来分隔,不能用空格键),其中选择域指明消息的类型和优先级;动作域指明sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。
每个选项是由设备和优先级组成。也就是说第一栏写"在什么情况下"及 "什么程度"。然后用TAB键跳到下一栏继续写 "符合条件以后要做什么"。当指明一个优先级时,syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。第一栏包含了何种情况与程度,中间用小数点分隔。详细的设定方式如下:
1.在什么情况下记录
◆各种不同的情况以下面的宇串来决定:
◆auth 关于系统安全与使用者认证;
◆cron关于系统自动排序执行(CronTable);
◆daemon 关于背景执行程序;
◆ken 关于系统核心;
◆Ipr关于打印机;
◆mai1 关于电子邮件;
◆news 关于新闻讨论区;
◆syslog 关于系统记录本身;
◆user 关于使用者;
◆uucp关于UNIX互拷(UUCP)。
2.什么程度才记录
例如您要系统去记录info等级的事件,则notice、err、warning、Crit、alert、emerg等在info等级以上的也会被一并记录下来。把上面所写的1、2项以小数点组合起来就是完整的"要记录哪些东西"的写法。
例如mail.info表示关于电子邮件传送系统的一般性信息。 auth.emerg就是关于系统安全方面相当严重的信息。Ipr.none表示不要记录关于打印机的信息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用:
◆星号(*):代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为infn的事件给记录下来。
◆等号(=):表示只记录目前这一等级,其上的等级不要记录。例如上面的例子,平常写下info等级时,也会把位于info等级上面的 notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若您写=info则就只有记录info这一等级了。
◆惊叹号(!):表示不要记录目前这一等级及其上的等级。
3.记录存放的位置
sysloqd提供下列方法供您记录系统发生的事件:一般文件,这是最普遍的方式。您可以指定好文件路径与文件名称,但是必须以目录符号"/"开始,系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件,系统会自动产生一个。