集中监控系统日志、路由交换机日志的原理及实现

集中监控系统日志、路由交换机日志的原理及实现

一、提出集中监控方案的原因

随着公司业务的增长，公司网络平台内的服务器、交换机路由器数量也成倍增加，不仅增加运行维护的工作强度，而且使集中的系统变得更加繁杂。有效的系统和应用监控体系成为了解业务资源的使用状况，及时发现可能导致系统故障的隐患，实现系统运营保障的关键。

另一方面，借助于集中监控解决方案，用户能够正确和及时地了解系统的运行状态，发现影响整体系统运行的瓶颈，帮助系统人员进行必要的系统优化和配置变更，甚至为系统的升级和扩容提供依据。强有力的监控和诊断工具还可以帮助运行维护人员快速地分析出应用为了更加方便的、实时的、有效的管理公司网络平台，我们提出了集中监控系统。监控的内容包括服务器、路由器交换机等。通过集中监控系统及时发现公司网络平台中的故障，减少故障处理时间。

二、各种常用服务端系统平台的对比

Linux基于Unix架构.

Windows和Linux,Unix核心不同

Windows是收费的,商业的,只有MS合法拥有它的代码和修改权

Linux是自由的,免费的,任何人对可以对它进行修改

Unix是商业的,一般企业才会用.

支持Windows平台的软件丰富,包含很多商业和免费软件,Windows很易用,运行稳定,适合各类用户

Linux平台下的软件也很丰富,但是缺乏一些行业软件的支持,因为Linux开发不是免费的,使用却是免费的,所以Linux在一定程度上更适合高级用户.但对于仅需要基本功能的用户来说,Linux足够用了.

Unix一般用作服务器.

出于成本与实际功能需求，我们选择成本较低的linux系统做为服务端操作系统。

三、公司网络平台内需要监控日志的客户端设备

提到日志监控，就需要了解一个专业术语：日志等级，常用分级如下：

emerg 0 系统不可用

alert 1 必须马上采取行动的事件

crit 2 关键的事件

err 3 错误事件

warning 4 警告事件

notice 5 普通但重要的事件

info 6 有用的信息

debug 7 调试信息

在此，我们进行监控时所需监控的内容为所有本地信息，下面分别就集中监控服务端和客

户端进行设置。

1.Linux服务器日志

（1）服务端的配置

用root帐号登录到集中监控服务器，进入/etc/sysconfig/,然后用vim命令编辑syslog文件，如下图：

按enter键后会出现如下图所示：

将SYSLOGD_OPTIONS="-m 0”改为SYSLOGD_OPTIONS="-r -m 0”

-r 表示启用记录远程主机的日志。

并且关闭linux防火墙或者开启相应端口。

（2）客户端的配置

由于客户端采用的是linux操作系统，系统日志格式，日志记录软件，方式等均与服务端一致，故仅需对客户端操作系统进行一些配置

修改/etc/syslog.conf文件

# vi /etc/syslog.conf

在出现的界面中将local7.* /var/log/boot.log 改为local7.* @192.168.30.225，如下图：

local7.* @192.168.30.225 表示将本机的本地日志记录到192.168.30.225这台服务器上

2.windows服务器日志

（1）服务端配置

服务端配置同linux服务器服务端配置，需开启UDP3072端口

（2）客户端配置

由于服务端操作系统与windows的系统日志格式不同，日志记录软件，方式等都不同。因此，我们需要第三方的软将件来windows的日志转换成syslog类型的日志后，转发给syslog 服务器。

介绍第三方软件evtsys (全称是evntlog to syslog)

文件才几十K大小，非常小巧，解压后是两个文件evtsys.dll和evtsys.exe

（1）把这两个文件拷贝到c:\windows\system32目录下。

（2）打开Windows命令提示符（开始－>运行输入CMD）

（3）C:\>evtsys –i –h 192.168.30.225 -i 表示安装成系统服务

-h 指定log服务器的IP地址

如果要卸载evtsys,则：

net stop evtsys

evtsys -u

（4）启动该服务:

C:\>net start evtsys

打开windows组策略编辑器(开始->运行输入gpedit.msc)

在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows 日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslog服务器。

3.交换机路由器日志

（1）服务端配置

服务端配置同linux服务器服务端配置，需开启UDP514端口

（2）客户端配置

用管理员帐号登录路由器或者交换机，在conf t模式下，输入以下两条命令：

Logging on

Logging 192.168.30.225

【Logging reload xx（等级）可加可不加，不加默认等级7】

第一条命令表示开启日志服务

第二条命令表示将日志映射到192.168.30.225这台服务器上

如下图：