路由器日志快速定位及排除故障

日志对于网络安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。路由器是各种信息传输的枢纽,被广泛用于企事业单位的网络建设中,承担着局域网之间及局域网与广域网之问连接的重任。Cisco是目前使用比较广泛的一种路由器,在许多行业系统中有非常普遍的应用。以下是笔者在日常工作中积累的一些对Cisco路由器日志设置方面的经验,这些实例都在实际应用中调试通过并投入使用,供大家参考。路由器的一些重要信息可以通过syslog机制在内部网络的Unix主机上作日志。在路由器运行过程中,路由器会向日志主机发送包括链路建立失败信息、包过滤信息等等日志信息,通过登录到日志主机,网络管理员可以了解日志事件,对日志文件进行分析,可以帮助管理员进行故障定位、故障排除和网络安全管理。

操作方法

  • 01

    syslog设备: 首先介绍一下syslog设备,它是标准Unix,的跟踪记录机制,syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件,然后将这些信息写到一个文件或设备中,或给用户发送一个信息。syslog机制主要依据两个重要的文件:/etc/syslogd(守护进程)和 /etc /syslog.conf配置文件,syslogd的控制是由/etc/syslog.conf来做的。syslog.conf文件指明 syslogd程序记录日志的行为,该程序在启动时查询syslog.conf配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意:只能用tab键来分隔,不能用空格键),其中选择域指明消息的类型和优先级;动作域指明 sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。也就是说第一栏写"在什么情况下"及 "什么程度"。然后用TAB键跳到下一栏继续写 "符合条件以后要做什么"。当指明一个优先级时,syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。第一栏包含了何种情况与程度,中间用小数点分隔。详细的设定方式如下:auth 关于系统安全与使用者认证; cron关于系统自动排序执行(CronTable); daemon 关于背景执行程序; ken 关于系统核心; Ipr 关于打印机; mai1 关于电子邮件; news 关于新闻讨论区; syslog 关于系统记录本身; user 关于使用者; uucp关于UNIX互拷(UUCP)。

  • 02

    什么程度才记录: 如你要系统去记录info等级的事件,则notice、err、warning、Crit、alert、emerg等在info等级以上的也会被一并记录下来。把上面所写的1、2项以小数点组合起来就是完整的"要记录哪些东西"的写法。例如mail.info表示关于电子邮件传送系统的一般性信息。 auth.emerg就是关于系统安全方面相当严重的信息。Ipr.none表示不要记录关于打印机的信息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用:星号(*):代表某一细项中所有项目。例如mail.*表示只要有关mail的,不管什么程度都要记录下来。而*.info会把所有程度为infn的事件给记录下来。等号(=):表示只记录目前这一等级,其上的等级不要记录。例如上面的例子,平常写下info等级时,也会把位于info等级上面的 notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。惊叹号(!):表示不要记录目前这一等级及其上的等级。

  • 03

    记录存放的位置: sysloqd提供下列方法供您记录系统发生的事件:一般文件这是最普遍的方式。你可以指定好文件路径与文件名称,但是必须以目录符号"/"开始,系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件,系统会自动产生一个。指定的终端机或其他设备你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机,则目前正在使用该终端机的使用者就会直接在屏幕上看到系统信息(例如 /dev /conso旧或是/dev/tty1,你可以拿一个屏幕专门来显示系统信息)。若将系统记录写到打印机(例如/dev/!p0)。,则你会有一长条印满系统记录的纸,这样网络入侵者就不能修改日志来隐藏入侵痕迹。指定的远端主机如果你不将系统信息记录在本地机器上,你可以写下网络中另一个主机的名称,然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.int,但被你指定的主机上必须要有sysloqd)。这可以防止由于硬盘错误等情况使日志文件丢失。以上就是syslog各项记录程度及记录方式的写法,可以依照自己的需求记录下自己所需要的内容。但是这些记录都是一直追加上去的,除非将文件自行删除掉,否则这些文件就会越来越大。Syslog设备是一个网络攻击者的显着目标,通过修改日志来隐藏入侵痕迹,因此我们要特别注意。最好养成每周(或更短的时间)定期检查一次记录文件的习惯,并将过期的记录文件依照流水号或是日期备份,以后查阅时也比较容易。千万不要记录下*.*,这样无论什么都被记录下来,结果会导致文件太大,要找资料时根本无法马上找出来。有人在记录网络日志时,连谁去ping他的主机都要记录,这样不仅降低系统效率而且增加了磁盘用量。路由器日志功能的具体设置方法首先在UNIX主机上做下列工作,以超级用户注册进入:其中168.1.1.2为日志主机的IP地址。这样对路由器进行的一些操作将会记录在mail_debug和r2509_debug这两个文件中。

(0)

相关推荐

  • win7系统下快速定位照片及快速查找文档小技巧

    据调查显示使用win7系统的用户相对较多,对于大多数人在使用的系统,大家对它了解多少呢?在这里,小编就与大家分享下如何在win7系统下快速定位照片及快速查找文档的小技巧,让大家对win7系统更加了解。 ...

  • 快速定位windows8收藏夹位置的技巧以便轻松访问

    在使用IE浏览器时,一般保存网站网址都会存储在默认的收藏夹里,以便轻松访问。在windows其他系统下,用户都能很快地找到收藏夹的位置,但是在新系统windows8下,由于改变了全新的风格,一时之下, ...

  • win7系统快速定位照片及快速文档查找的方法

    分类筛选直观显示让库更好用 库功能是Windows 7系统最大的亮点之一,它彻底改变了我们的文件管理方式,从死板的文件夹方式变得更为灵活和方便。但随着库里的文件、文件夹数量越来越庞大,从库中直观地选择 ...

  • 利用excel如何快速定位单元格

    一、选择工作表中包含数据的矩形单元格区域 在很多时候,需要选择工作表中所有包含数据的单元格区域,从而能一次性为所选单元格区域设置统一的格式,这里可以利用excel如何快速定位单元格。 在“开始”选项卡 ...

  • 快速定位Word文档历史编辑位置

    熟悉WPS文字编辑软件的用户可能知道WPS的一个特点,即当用户打开一个WPS文档时,光标会自动定位到上一次存盘时的编辑位置。在Word中没有提供该功能,不过用户可以在打开Word文档后按下“Shift ...

  • 快速定位Excel2007/2003超长行数据的方法

    笔者将平时常用的三种快速定位Excel2007/2003表格超长行数据的方法介绍给大家: 假如一个Excel2007/2003工作表有10000行,如果第1列第8936行的数据需要修改,怎么办?无论用 ...

  • Excel应用实例:在表格中快速定位的方法

    在Excel中,我们需要到达某一单元格,一般是使用鼠标拖动滚动条来进行,但如果数据范围超出一屏幕显示范围或数据行数非常多时,想快速定位到某一单元格可要有点麻烦了。其实我们可以使用“定位”功能迅速到达想 ...

  • 在Word 2007长文档中快速定位

    在Word 2007长文档中快速定位 如果有一篇Word2007文档非常长,比如有几章、几十节甚至长达几十、几百页,要想查看或修改某页的内容时,如果拨动滚轮或使用翻页键一点点向后查找,实在需要相当的眼 ...

  • 快速定位Word长文档的方法!

    用书签快速定位 将光标定位到需要经常编辑那段文字的位置(段首或段中间任一位置),按“Ctrl+Shift+F5”,弹出插入书签对话框,随便输入一个名称(如“love”),单击“添加”按钮添加一个书签。 ...