使用Syslog服务器监控时网络设备配置(H3C及博科)

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

Syslog 简介Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者（Syslog服务器或者Syslog Daemon）的协议。

换言之，就是一台机器或者设备能够被配置，使之产生Syslog 信息并且发送到一台特定的Syslog服务器/Daemon。

Syslog信息建立在UDP之上，一般Syslog信息在UDP514端口上被收集，Syslog信息的长度不大于1024字节。

由于基于UDP协议，所以当如果因为网络拥塞等情况导致信息包丢失，那么信息将不再重发，而是简单的丢失掉。

Syslog协议是在Unix系统上被创建出来的。

使用Syslog，一个远程Unix主机能够很好的跟踪另一台Unix主机。

任何应用程序都能够产生Syslog信息。

格式Syslog包的格式:一个Syslog信息主要有三部分组成。

分别是PRI，HEADER，MSG。

日志信息格式如下：<优先级>时间戳主机名模块名/级别/信息摘要:内容<priority>timestamp sysname module/level/digest:content以上格式中的尖括号（< >）、空格、斜杠（/）、冒号（:）是有效的、必须的。

输出到日志主机的日志格式的例子如下：<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWN:Line protocol on interface Ethernet0/0/0, changed state to UP以下对每一个字段做详细说明。

1.优先级是优先级的意思，它由两部分组成，共一个字节，前3位是严重度（Severity），后5位是表示Facility。

优先级的计算按如下公式：facility*8+severity-1。

a) 严重度b) Facility2。

Header包括两部分：1>时间戳，它是指信息生成的日期和时间。

Syslog配置及使用简介目录Syslog配置及使用简介 (1)1.Syslog简介 (2)2.Syslog协议 (2)2.1. syslog体系结构 (2)2.2. syslog包格式 (2)3.Syslog配置 (3)3.1 概览 (4)3.2选择符 (4)3.3 动作 (4)4.C语言中的syslog (5)4.1 openlog (5)4.2 syslog (5)4.3 closelog (6)4.4 setlogmask (6)4.5例子 (6)5.参考文献 (7)1.Syslog简介Syslog常被称作系统日志，在80年代作为sendmail的一部分而发布，由于其可用性，现在已成为用来在internet中传递日志信息的事实上的标准。

这些传递日志的程序或数据库同时也被称作syslog。

Syslog是主从式的协议，syslog发送端发送一些小的文字信息到syslog 接收端，接收端根据配置文件把收到的信息进行存储或者处理，或者再次进行转发。

Syslog通常被用作系统信息管理，由于其已在大多数系统上实现，所以它可以把不同类型主机上的信息集中整合到一起。

但是它仍然有许多缺陷，表现在下面几个方面：Syslog 的传输是通过UDP或者TCP传输，安全性并不可靠。

一般可以通过ssl加密壳来完成加密；syslog的实时性不好，只能通过更改配置加以改进。

所以syslog主要用在安全性要求不高，实时性不强的地方。

2.Syslog协议syslog使用UDP协议作为它的传输层协议，其默认使用UDP端口514。

2.1. syslog体系结构syslog模糊了发送方、接收方，设备、中继以及收集器的区别，一台设备可以同时是某种日志信息的中继、也可以是另外某种信息的收集器，同时可以作为发送者发送日志：●发送方发送日志信息至某个主机，并不知道这台主机会如何处理这些日志。

●发送方可以通过配置，把同一条日志同时发送给多个接收者。

错误！未找到引用源。

文档说明本文档目的是为了推进互相交流学习使用目录1 文档说明 (5)1.1 字体约定 (5)2 交换机部分 (6)2.1 Cisco交换机 (6)2.1.1 SNMP配置 (6)2.1.2 TRAP配置 (6)2.1.3 Syslog配置 (7)2.2 华为交换机 (8)2.2.1 SNMP配置 (8)2.2.2 TRAP配置 (8)2.2.3 Syslog配置 (9)2.3 ZTE交换机 (9)2.3.1 SNMP配置 (10)2.3.2 TRAP配置 (10)2.3.3 Syslog配置 (11)3 路由器部分 (12)3.1 Cisco路由器 (12)3.1.1 SNMP配置 (12)3.1.2 TRAP配置 (13)3.1.3 Syslog配置 (13)3.2 华为路由器 (14)3.2.1 SNMP配置 (14)3.2.2 TRAP配置 (15)3.2.3 Syslog配置 (15)3.3 阿尔卡特路由器 (16)3.3.1 SNMP配置 (16)3.3.2 TRAP配置 (16)3.3.3 SYSLOG配置 (16)3.4 Juniper路由器 (16)3.4.1 SNMP配置 (17)3.4.2 TRAP 配置 (17)3.4.3 Syslog配置 (18)4 防火墙部分 (19)4.1 Netscreen防火墙 (19)4.1.1 SNMP配置 (19)4.1.2 TRAP配置 (20)4.1.3 Syslog配置 (21)4.2 Cisco PIX防火墙 (21)4.2.1 SNMP配置 (22)4.2.2 TRAP配置 (22)4.2.3 Syslog配置 (22)5 四层交换机 (24)5.1 F5负载均衡 (24)5.1.1 SNMP配置 (24)5.1.2 TRAP配置 (25)1 文档说明1.1 字体约定黑字体表示在系统中执行的命令。

斜字体表示变量。

syslog日志服务器配置步骤一．作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志：由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log 与 error_log 日志文件。

2. syslog 消息：系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

Syslog程序就是用来记录这类日志的。

syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。

用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

日志的两个比较重要的作用是：审核和监测。

配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。

日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp )，表示消息发出的日期和时间。

2. 主机名( hostname )，表示生成消息的计算机的名字。

如果只有一台计算机，主机名就可能没有必要了。

但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

3. 生成消息的子系统的名字。

可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。

在方括号里的是进程的PID。

4. 消息( message )，剩下的部分就是消息的内容。

二．syslog配置文件syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。

现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。

数据网主流设备配置指南各厂商syslog配置的事件级别以及local设置见下表：厂商event级别local设置Juniper info 1cisco warning 2华为warning 3港湾warning 5一CISCO设备1.1设置IOS设备（路由器）在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDP(Cisco Disco very Protocol)snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXXsnmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置) logging on 起动log机制logging IP-address-server将log记录发送到本地采集器地址上logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示) logging trap warning 将发送的记录事件定义为warning以上.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址，则请将该IP地址指向提供给综合网管的管理地址)service timestamps log datetime 发送记录事件的时候包含时间标记保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。

1.2设置CatOS设备（交换机）在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXXset snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXXset logging enable 起动log机制set logging server IP-address-server将log记录发送到本地采集器地址上set logging level 4将发送的记录事件定义为warning以上.set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)set logging timestamp 发送记录事件的时候包含时间标记保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。

使⽤syslog记录H3C设备⽇志
Syslog是⼀种⼯业标准的协议，可⽤来记录设备的⽇志。

通过查看分析系统记录，可以随时掌握系统运⾏状况。

下⾯我们将H3C设备的⽇志输出到syslog服务器。

⼀、⾸先是安装⽇志服务器，我这⾥使⽤的是Linux系统⾃带的syslogd服务，安装过程略。

⼆、设置syslog接收设备⽇志
1、修改 /etc/sysconfig/syslog启动参数 SYSLOGD_OPTIONS 添加 -r 选项，允许接收远程设备⽇志；
SYSLOGD_OPTIONS="-r -x -m 0"
2、建⽴设备⽇志⽂件
mkdir /var/log/h3c
touch /var/log/h3c/information
3、修改 /etc/syslog.conf，添加⼀⾏，中间⽤tab分割
/var/log/h3c/information
4、重启syslogd服务
service syslog restart
注：如果启⽤了Linux的防⽕墙，记得打开514端⼝。

三、设置H3C交换机，发送⽇志到⽇志服务器（ip：10.0.0.1)
system-view
info-center loghost 10.0.0.1 facility local5
info-center source default channel loghost log level informational state on
现在查看 /var/log/h3c/information⽂件，就能看到H3C设备⽇志已经写⼊进来了。

将其他交换机照此设置后，就能集中记录所有交换机的⽇志消息了。

网络设备和主机syslog配置方法Cisco网络设备的SNMP及Syslog配置参考设置IOS设备在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server community gsunion ro 配置本路由器的只读字串为gsunionsnmp-server community gsunion rw 配置本路由器的读写字串为gsunionsnmp-server enable traps 允许路由器将所有类型SNMP Trap 发送出去snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址logging on 起动log机制logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog serverlogging facility local7 将记录事件类型定义为local7logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址service timestamps log datetime 发送记录事件的时候包含时间标记enable password ******line tty 0 4password ******login local 设置Enable口令和T elnet口令show runningcopy running start或write terminal 显示并检查配置保存配置设置CatOS设备在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only gsunion 配置本交换机的只读字串为publicset snmp community read-write-all gsunion 配置本交换机的读写字串为privateset snmp trap server-ip gsunion 指定交换机SNMP Trap的接收者为网管服务器，发送Trap时采用gsunion作为字串set snmp trap enable all 将全部类型的SNMP Trap发送出去set snmp rmon enable 激活交换机的SNMP RMON功能set logging server IP-address-server 将log记录发送到网管服务器的IP (CW2K安装机器的IP地址)上的syslog server set logging level 6 将记录事件严重级别定义为从informational 开始，一直到最紧急级别的事件全部记录到前边指定的syslog serverset logging server facility local7 将记录事件类型定义为local7 set logging timestamp 发送记录事件的时候包含时间标记set logging enable 起动log机制set password ******set enablepass ******设置Enable口令和Telnet口令show runningwrite terminal 显示并检查配置保存配置配置PIX设备Logging on 在PIX上面启用日志记录Snmp-server community gsunion 为PIX设备配置共同体串gsunionSnmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器Logging history warning为PIX设备SNMP系统日志消息设置warning级别Syslog需要配置主机设备（SUN、HP、IBM、Windows服务器、Linux服务器等设备）和网络设备（路由器和交换机）配置方法：1.在/etc/syslog.conf文件中增加如下一行（注意中间用tab键分割）**************.6.792.停止、启动syslog如果是redhat Linux 重新启动命令：/etc/rc.d/init.d/syslog restart/sbin/init.d/syslogd stop/sbin/init.d/syslogd start说明，如果在以上路径下找不到相应文件，可以先执行ps -ef|grep sys查看已有进程的路径，从而确定当前机器syslogd文件的路径。