设置 Syslog 日志服务器用来获取交换机日志

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

配置cisco交换机日志服务器配置Linux的Syslog服务来记录Cisco路由器的日志(基本配置）路由器的配置：interface Ethernet0/0ip address 192.168.1.2 255.255.255.0!logging 192.168.1.1logging facility local0 //配置日志存储的facility ，默认是local7，可以修改为其他，但推荐保存为local开头的facility里logging trap debugging //配置要发送到日志服务器的日志优先级，默认发送到日志服务器的优先级为InfoLinux服务器配置：1、在/var/log目录下新建Cisco.log文件2、在/etc/syslog.conf增加：3、在/etc/sysconfig/syslog文件修改：4、重启注意：Ubantu7.1的syslog文件为/etc/default/syslogdSyslog服务名为sysklogd,重启Syslog服务的命令为：service sysklogd restart附（转）：配置linux syslog日志服务器目前，linux依旧使用syslogd作为日志监控进程，而在主流的linux发行版中依旧使用sysklog 这个比较老的日志服务器套件。

一、配置文件默认的日志服务器就是sysklogd套件：主要的配置文件有两个：/etc/sysconfig/syslog 定义syslog服务启动时可加入的参数/etc/syslog.conf 这个是syslog服务的主要配置文件，根据定义的规则导向日志信息。

二、设置主配置文件/etc/syslog.conf根据如下的格式定义规则：facility.level action设备.优先级动作facility.level 字段也被称为seletor（选择条件），选择条件和动作之间用空格或tab分割开。

各交换机品牌syslog设置命令参考-------------------------------------------------------------------------------H3C-------------------------------------------------------------------------------# 配置远程日志服务器采集器地址#system-view[H3C]cluser[H3C-cluser]logging-host 10.10.10.10-------------------------------------------------------------------------------华为-------------------------------------------------------------------------------# 查看日志信息dis info-center ## 启用日志#info-center enable# 配置远程日志的日志服务器地址，设置发送日志的级别dis cur | include info-center # info-center loghost10.10.10.10info-center source default channel loghost log level notifications警告级别7级emergencies 紧急情况系统无法使用（严重度= 0）alerts 提醒需要立即采取行动（严重度= 1）critical 临界临界条件（严重度＝2）errors 错误错误条件（严重度= 3）warnings 警告警告条件（严重度= 4）notifications 通知正常但重要的条件（严重度= 5）informational 信息信息信息（严重度= 6）debugging 调试调试消息（严重性= 7）# 开启NTP服务（与时间服务器同步）需要提供时间服务器的地址查看NTP信息dis cur | include ntp #ntp-service authentication enablentp-service unicast-server 10.111.1.10-------------------------------------------------------------------------------思科-------------------------------------------------------------------------------# 查看端口show running-config | in logging 日志发送到日志采集器#Router#configure terminal# 开启日志服务#Cisco(config)#logging on# 设置日志服务器地址#Cisco(config)#logging host 10.10.10.10# 设置发送日志级别一共7级，可以？号来查看提示#logging trap 5# 日志发出用的源IP地址#logging source-interface loopback0#日志缓冲区大小#logging buffered 20480#记录事件连接默认值#logging event link-status defaultlogging facility local1service timestamps log datetime localtimeCisco(config)#endCisco#write0:紧急(Emergencies) emergency—Logs only emergency events.1:告警(Alerts) alert—Logs alert and more severe events.2:严重的(Critical) critical—Logs critical and more severe events.3:错误(Errors) error—Logs error and more severe events.4:警告(Warnings) warning—Logs warning and more severe events.5:通知(Notifications) notice—Logs notice and more severe events.6:信息(Informational) informational—Logs informational and more severe events.7:调试(Debugging) debug—Logs all events, including debug events.# NTP（时间同步）可能需要每个端口开启NTP ，查看NTP信息show logging | include NTP #Router# config tRouter(config)# interface eth0/0Router(config-if)# no ntp disableRouter(config-if)# exitRouter(config)# ntp server 10.111.1.11 source loopback0Router(config)# exitntp update-calendarntp server 10.111.1.11。

背景：因为项目需要，现使用syslog-ng搭建一台日志服务器，简单来说就是利用我们现有的虚拟机中的syslog-ng服务，搭建一台用于专名存放其他虚拟机（也包括自己）所产生的日志。

由于一些用户以后将没有权限直接访问我们的ebackup 服务器，但又需要查看日志。

便可以用过这台日志服务器来查看。

日志服务器中的日志目录按照一定的规则设定，如“日期+主机名”等自行设定。

Syslog-ng介绍：规则，实现更好的过滤功能。

本次日志服务器的搭建是用的syslog-ng，关于syslog的具体描述可以参考下面的链接。

/subview/1614723/1614723.htm1、syslog-ng的配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf中。

首先需要简单介绍一下syslog-ng的架构。

yslog-ng.conf中所有配置都是基于syslog-ng 的这样一种架构：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』即：消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

（1）、消息源source格式为：source { sourcedriver params; sourcedriver params; ... };一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源有以下几种：file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ： syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：source s_sys {file ("/proc/kmsg" log_prefix("kernel:"));unix-stream ("/dev/log");internal();); };参数需要使用括号括住。

cisco设备上启用日志及syslog服务器配置cisco设备上启用日志及syslog服务器配置使用syslog记录Cisco设备日志以下配置描述了如何将Cisco设备的日志发往syslog服务器device#conf tdevice(config)#logging ondevice(config)#logging a.b.c.d //日志服务器的IP地址device(config)#logging facility local1//facility标识, RFC3164 规定的本地设备标识为local0 - local7 device(config)#logging trap errors //日志记录级别，可用"?"查看详细内容device(config)#logging source-interface e0 //日志发出用的源IP地址device(config)#service timestamps log datetime localtime//日志记录的时间戳设置，可根据需要具体配置检验device#sh logging个人实验配置实验环境:syslog服务器:winxp (kiwi syslog) or linuxas4 (syslog) ipaddr:192.168.1.1router:cisco3640(dynamips 模拟)router(3640)配置:r1(config)#logging on#打开日志服务r1(config)#logging host 192.168.1.1#定义日志服务器地址r1(config)#service timestamps debug datetime localtime show-timezone msecr1(config)#service timestamps log datetime localtime show-timezone msec #以上2行定义时间戮r1(config)#logging facility local7#定义facility级别,默认为7r1(config)#logging trap 7#定义severity级别,(0-7),如7则=0-7全部启用syslog(windows kiwisyslog)配置kiwi syslog版本为8.2.8,因是免费版本故不支持多台设备分别记录.安装后既可,基本不用配置. syslog(linuxas4 syslog)配置明天做,缓缓网上资料配置vi /etc/sysconfig/syslog把SYSLOGD_OPTIONS="-m 0"修改为SYSLOGD_OPTIONS="-r -m 0" //-r 从远端主机写入-m 0 sables 'MARK' messagesvi /etc/syslog.conf加入下列内容把设备号为local4(PIX的默认设备号)的所有的日志记录到/var/log/router.log中#Save pix messages all to router.loglocal4.* /var/log/router.log把设备号为local5(在S8016中用info-center loghost host-ip-addr facility local-number指定)的所有的日志记录到/var/log/router.log中#Save S8016 messages all to S8016.loglocal5.* /var/log/S8016.log生成空的日志文件touch /var/log/router.logtouch /var/log/S8016.log然后重启syslog,就ok了/etc/rc.d/init.d/syslog restart别忘了设置防火墙规则,仅允许你的设备发送到udp/514(默认的UDP端口为514,默认的tcp端口为146为了避免日志过大,配置日志轮循(man logrotate 查看详细的帮助信息)vi /etc/logrotate.conf增加下列内容# system-specific logs may be also be configured here./var/log/router.log (rotate 2}/var/log/S8016.log {weekly //每周轮循rotate 4 //轮循4次}配置crontab进行日志备份,如按照日期进行备份.如网络设备很多,可把同类的设备配置为相同的设备号例:more switch.log | grep X.X.X.X //查看某一设备的日志审核和记录系统的事件是非常重要的。

华为交换机的syslog功能1.1 日志功能1.SYSLOG介绍日志系统是以太网交换机中不可或缺的一部分，它是系统软件模块的信息枢纽。

日志系统管理大多数的信息输出，并且能够进行细致的分类，从而能够有效地进行信息筛选。

通过与debugging程序的结合，日志系统为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。

以太网交换机的日志系统具有以下一些特性：支持控制台（ Console ）、监视终端（ monitor ）——Telnet终端、日志缓冲区（logbuf ）、日志主机（loghost ）、告警缓冲区（trapbuf）、SNMP六个方向的日志输出。

日志信息按重要性划分为八种等级，可按等级进行信息过滤。

信息按来源模块进行划分，可按模块进行信息过滤。

信息在输出时可以进行中英文选择。

2. SYSLOG配置SYSLOG配置的配置任务如下：开启或关闭日志功能设置日志信息的输出方向定义日志信息的过滤规则配置日志主机在以上的配置中，配置日志主机不是在交换机上进行的配置。

必须先开启日志功能，其余的配置才能生效。

(1)开启或关闭日志功能可以使用下面的命令来开启或关闭日志功能。

请在系统视图下进行下列操作。

表1-1 开启或关闭日志功能操作命令开启日志系统 info-center enable关闭日志系统 undo info-center enable说明：syslog缺省情况下处于开启状态。

syslog开启时，由于信息分类、输出的原因，在处理信息较多时，对系统性能有一定的影响。

(2)配置日志信息的输出方向目前，以太网交换机的日志系统，可以在六个方向输出各种日志信息。

每个输出方向通过配置命令指定所需要的通道。

所有信息经过指定通道过滤，之后发送到相应的输出方向。

用户可根据需要，配置输出方向所使用的通道以及配置通道的过滤信息，完成各类信息的过滤以及重定向。

可以使用下面的命令来配置日志信息的输出方向请在系统视图下进行下列配置。

使用syslog收集记录设备运行状态信息（适用）运行AlliedWare TM的交换机和路由器ATC-TS1023V1.02006-12-11概述在定位设备故障时，能够收集到故障时设备部分命令输出信息，对故障检查将有极大帮助，但在很多情况下，由于种种原因，手工收集信息可能会有困难，往往不能及时收集到有用的信息。

而使用设备自带的syslog功能，配合trigger，可以自动收集部分设备运行状态信息，本文将介绍如何使用安奈特三层设备syslog功能收集记录设备运行状态信息。

2实施需求实现该功能有以下实施需求：运行AlliedWare TM的交换机和路由器，包括：AT-Switchblade/x900/9900s/9900/9800/8900/8800/Rapier/8700/8600/AR700/AR400系列3配置实例实现环境Rapier 24i，Software release 2.8.1-4syslog服务器软件，3CDaemon Version 2.0 revision 104配置配置实例在如下拓扑结构下实现：图 1Layer 3 Switch三层交换机中所有端口维持缺省状态，均属于vlan1。

syslog 服务器IP地址与三层交换机VLAN1接口地址在一个IP网段，能互相ping通。

配置完成后，不仅设备日常log会被送至syslog 服务器保存，在设备重启，或CPU利用率超过70%后，会自动执行相关脚本文件收集信息送至syslog服务器保存。

注意，以上为本配置实例运行环境，在实际情况中，不管syslog服务器位于那一个vlan，只需要保证syslog服务器能与设备通讯即可（可互相ping通）。

三层交换机配置：1、启用IP，给VLAN 1配置IP地址：enable ipadd ip int=vlan1 ip=10.12.1.212 mask=255.255.255.02、配置syslog服务，这里server即是启用了syslog服务的syslog服务器的IP地址：cre log out=1 dest=syslog server=10.12.1.144 secure=yes mess=20 syslogformat=extendedadd log out=1 filt=1 all3、指定系统时间，确定时间准确，各设备时间一致：Manager > set time=9:38 date=01-Dec-2006System time is 09:38:00 on Friday 01-Dec-2006.4、启用trigger功能，在触发器说明如下：Trigger 1，设备重启后，触发，执行脚本boot_cap.scp；Trigger 2，设备CPU上升至70%后，触发，执行脚本cpu_cap.scp 。

配置rsyslog,实现设备日志的集中管理配置rsyslog,实现设备日志的集中管理这次为了把交换机及路由器的日志文件集中放置,并方便调试,安装了rsyslog,并对其进行配置,使其可记录网络设备传来的syslog,并将之存入 Mysql数据中,以便我们集中管理,下面是具体的配置过程:1、首先从下载并安装最新版本的 rsyslog2、安装时很容易（1）把源代码解压，并进入源代码树中执行：./configure --enable-mysql这里要注意，你的mysql要安装正确，特别是版本，比如我的mysql版本是：5.0.22，系统是redhat,那么我就要安装有MySQL- client-standard-5.0.22-0.rhel4.i386.rpm，总之如果这一步执行出错，比如我的刚开始是提示错误：checking for mysql_init in -lmysqlclient 在这一步有问题，后来重新安装了MySQL-client-standard-5.0.22-0.rhel4.i386.rpm就ok了(2)依次执行：make和make install就ok3、配置rsyslog.conf在源代码树下有一个示例文件，把它拷贝到/etc下（1）如果你要接受远程设备的syslog则要把以下三行的#去掉：# UDP Syslog Server:#$ModLoad imudp.so # provides UDP syslog reception#$UDPServerRun 514 # start a UDP syslog server at standard port 514并同时在iptables中开放514端口（2）配置rsyslog自动启动由于rsyslog没有为redhat准备启动脚本，所以要我们自己建，其实也很简单，我直接把syslog的启动脚本改了下，把里面的syslog 改为 rsyslog,如下所示:more /etc/init.d/syslog#!/bin/bash### chkconfig: 2345 12 88# description: Syslog is the facility by which many daemons use to log \# messages to various system log files. It is a good idea to always \# run syslog.### BEGIN INIT INFO# Provides: $syslog### END INIT INFO# Source function library.. /etc/init.d/functions[ -f /usr/local/sbin/rsyslogd ] || exit 0[ -f /sbin/klogd ] || exit 0# Source configRETVAL=0start() {echo -n $"Starting rsyslog: "/usr/local/sbin/rsyslogdRETVAL=$?echoecho -n $"Starting kernel logger: "daemon klogd $KLOGD_OPTIONSecho[ $RETVAL -eq 0 ] && touch /var/lock/subsys/rsyslogreturn $RETVAL}echo -n $"Shutting down kernel logger: "killproc klogdechoecho -n $"Shutting down rsyslog: "killproc rsyslogdRETVAL=$?echo[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/rsyslog return $RETVAL}rhstatus() {status rsyslogdstatus klogd}restart() {stopstart}case "$1" instart)start;;stop)stop;;status)rhstatus;;restart);;condrestart)[ -f /var/lock/subsys/rsyslog ] && restart || :;;*)echo $"Usage: $0 {start|stop|status|restart|condrestart}"exit 1esacexit $?就只改了一点点，名字也没变，这样出不用ln来建链接了，都用原来的(3)记录到mysql如果要使用sql来记录日志则先要建表，找到rsyslog-3.20.0\plugins\ommysql下的createDB.sql文件，打开它，把里面的建表语句在你的数据库里执行，当然你也可以自建一个新数据库，一切由你之后加载mysql模块，当然你一定要确认ommysql.so在lib文件夹里存在，如果你之前使用./configure --enable-mysql进行配置则会在/usr/local/lib/rsyslog下存在ommysql.so文件（操作系统不同，目录可能不一样）,然后在rsyslog.conf文件中加上：$ModLoad ommysqllocal4.* :ommysql:127.0.0.1,yourdb,yourname,yourpass;注意我是local4来接受远程的syslog在交换机上的配置：华为的：info-center loghost 1.1.1.1 facility local4 //local4要和rsyslog.conf 里配置的一致,1.1.1.1为你的syslog服务器地址记得要改啊info-center loghost source Vlan-interface 11//你的网管VLAN 接口，要改的info-center source SHELL channel loghost log level notifications//我只想要操作日志，其他的不关心，如果你想要更多，请更改思科的：logging 1.1.1.1（配置 syslog服务器地址,可以定义多个）service timestamps debug datetime localtime show-timezone msecservice timestamps log datetime localtime show-timezone msec （syslog 信息包含时间戳）logging facility local4 （定义 facility 级别,缺省为local7,可以设置从 local0 到 local7）logging trap warning （定义severity 级别缺省为 infor 级别）到这里，一切基本ok了，到你的mysql服务器是看看：select * from SystemEvents应该已经记录有日志了但这里还有个小bug，我们会发现fromhost的这个字段不对，并不是你的交换机的地址，这是rsyslog的一个bug，怎么解决？？请参考：，而我的解决方案是自定义模板，而不能用其默认的模板了！我定义了一个模板:MySQLInsert并用它来执行sql语句，关于模板的概念，请参考doc-rsyslog_conf.html这里有详细的解释参考我的rsyslog.conf:# UDP Syslog Server:$ModLoad imudp.so # provides UDP syslog reception$UDPServerRun 514 # start a UDP syslog server at standard port 514# MySQL log$ModLoad ommysql$template MySQLInsert,"insert into SystemEvents( ReceivedAt,DeviceReportedTime,message,FromH ost,syslogtag) values('%timegenerated:::date-mysql%','%timereported:::date-mysql%','%msg%','%fromhost-ip%','%syslogtag%')", SQL local4.* :ommysql:127.0.0.1,syslogdatabase,sysloguserna me,syslogpass;MySQLInsert注意我使用了%fromhost-ip%，而不是%HOSTNAME%好了，基本上就这样了，以上就是我配置rsyslog的一些经过，希望对大家有帮助。