syslog日志?如何查看Syslog日志
一、syslog的接收日志
当设备出现某些故障时,需要知道设备究竟发生了哪些事件,以便能够排错故障,这时,就需要设备有记录事件的功能。Logging功能能记录设备上发生的大大小小的事件。
设备上所发生的事件是有等级之分的,有时并不需要设备将任何事件都记录下来,可以设定哪种级别的事件是需要记录的,哪些是不需要记录的。
Cisco将设备上的事件级别分为0到7总共8个级别,0级代表最严重的事件,
0(emergencies)紧急
1(alerts)警报
2(critical)危急
3(errors)差错
4(warnings)告警
5(notifications)通告
6(informational)报告
7(debugging)调试
如果我们指定记录5级别的,那么0到5级别的会全部记录。
一、设备调试弹出日志
在登陆到设备上进行配置的时候,如果引起设备发生一些事件,希望能够给我们一些反馈信息,也就是能跳出一个提示信息。因为我们可以通过console登陆设备,也可以telnet登录,但设备默认是console登陆设备的是能够看见日志提示的,而telnet登录的`是无法看见的,如果要让telnet方式登陆也看见日志信息,则需要手工打开日志显示开关。
可以定义在console和VTY接口弹出日志级别
r1(config)#logging console 4console登录显示级别为4的日志,默认为7
r1(config)#logging monitor 4telnet登录显示级别为4的日志,默认为7 r1# terminal monitor打开telnet弹出日志开关(默认关闭)
terminal no monitor关闭日志显示
二、日志记录到本地存储器
可将事件记录到设备本地存储器中,称为buffered,默认为4096 bytes,可以定义存储器的空间大小。如果存储器满了,那么最新的日志将替换最老的日志。
在设备记录事件时,可打上相应的时间戳。需要告诉设备将时间戳写成本机的时间。
定义将日志保存到本地缓存(默认为7 debugging, 4096字节)
r1(config)#logging buffered 8192 warning日志缓存大小8192字节,级别为 warnings,记
录0- 4级别的消息。
r1# sh logging查看日志
定义时间戳
r1(config)#service timestamps log datetime localtime msec show-timezone
r1(config)#service timestamps debug datetime localtime msec show-timezone
在记录时间戳时,显示时日期、时间,使用本地时间,精确到毫秒级,附带时区信息。
三、日志记录到syslog服务器
可以将设备发生的事件记录到远程服务器上,以方便事后查看。
r1(config)#logging 192.168.1.60配置syslog服务器地址
r1(config)#logging facility local6定义远程存储类型为local6(默认为local7)
r1(config)#logging trap 4定义发送到远程服务器事件等级为4(默认为6 informational)
二、如何查看Syslog日志
功能介绍:
设备在运行过程中,会发生各种状态变化如链路状态 UP、DOWN等,也会遇到一些事件如收到异常报文、处理异常等。锐捷产品日志提供一种机制,在状态变化或发生事件时,就自动生成固定格式的消息(日志报文),这些消息可以被显示在相关窗口(控制台、VTY等)上或被记录在相关媒介(内存缓冲区、FLASH)上或发送到网络上的一组日志服务器上,供管理员分析网络情况和定位问题。同时为了方便管理员对日志报文的读取和管理,这些日志报文可以被打上时间戳和序号,并按日志信息的优先级进行分级。
一、组网需求
设备运行出现异常时,管理员可以通过设备log信息查看设备异常原因,帮助分析及定位故障原因
二、配置要点
1、日志开关
2、开启日志显示在VTY窗口上
3、配置日志在内存中的缓存空间
4、日志记录到flash
5、日志信息发送到网络上的 Syslog Sever
6、启用日志信息时间戳
三、配置步骤
1、日志开关
日志开关默认情况下是打开的,如果关闭日志开关,设备将不会在用户窗口打印日志信息,不会将日志信息发送给 Syslog服务器,也不会将日志信息记录在相关媒介(内存缓冲区、FLASH)上。
Ruijie(config)#loggingon//打开日志开关
Ruijie(config)#nologgingon//关闭日志开关,一般情况下,不建议关闭日志开关
2、开启日志显示在VTY窗口上
注意:
telnet、ssh远程登陆到设备上,默认不显示日志信息,若需要打印出日志信息需要开启 terminal monitor命令
Ruijie#terminalmonitor//开启日志信息显示在VTY窗口上
Ruijie#terminalnomonitor//关闭日志信息显示在VTY窗口上
3、配置日志在内存中的缓存空间
Ruijie(config)#logging buffered10000007//1000000代表日志在内存中缓存空间为1000000byte(日志信息超过设定值后,会覆盖老的日志信息),7代表记录所有日志(包括debug信息)
4、日志记录到flash
Ruijie(config)#logging file flash:log60000007//6000000代表日志在内存中缓存空间为6000000byte(日志信息超过设定值后,会覆盖老的日志信息),7代表记录所有日志(包括debug信息)
说明:
在设备运行出现异常,需要收集日志信息时,建议把日志信息记录到flash(默认日志只记录到内存中,设备掉电或重启后日志信息会丢失)
5、日志信息发送到网络上的 syslog sever
Ruijie(config)#logging server192.168.1.2//192.168.1.2为Syslog Sever的地址
Ruijie(config)#logging trap 7//(可选)配置哪些日志信息发往Syslog Sever,7代表记录所有日志(包括debug信息)
Ruijie(config)#logging source interface loopback 0//(可选)配置设备发送Syslog报文的源ip地址
说明:
在设备运行出现异常,需要收集日志信息时,建议把发送到网络上的 Syslog Sever(默认日志只记录到内存中,设备掉电或重启后日志信息会丢失)
6、启用日志信息时间戳
Ruijie(config)#servicetimestampsdebugdatetimemsec//对debug信息启用时间戳
Ruijie(config)#servicetimestampslogdatetimemsec//对普通log信息启用时间戳
三、如何在windows服务器中使用syslog功能
方法/步骤:
1.首先根据自己的windows系统的版本(32/64位),在网上下载相应的版本。我的系统为64位版本,因此下载64位版本;
2.然后将下载后的软件内的两个文件evtsys.dll和evtsys.exe,拷贝到系统内c:\windows\system32目录下;
3.这一步找到命令提示符,右击选择以管理员身份运行。详细操作如下图所示;
4.在操作窗口内,首先输入cdc:\windows\system32命令进入c:\windows\system32目录下,然后执行命令evtsys–i–h 192.168.2.104。下面详细介绍evtsys命令参数意思。
-i表示安装成系统服务
-h指定log服务器的IP地址
如要设置端口,在IP地址后加上自己要设置的端口就可以了。ip地址与端口之间要有空格隔开。默认不写端口为514端口。
执行完以上命令后,evtsys已经安装成功,且已经成功注册到服务列表。
5.在开始->运行输入 gpedit.msc。进入windows本地组策略编辑器,在该窗口内,选择Windows设置->安全设置。打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 514端口发送给syslogd服务器;
6.启动服务。在以管理员身份运行的命令提示符窗口内,执行命令:net start evtsys即可启动服务。接下来进行测试是否发送成功;
7.打开syslogwatcher进行相应的设置,设置端口为514端口,接受字符码为:UTF-8码。然后点击listen。进行监听514端口。查看是否有windows日志发出。
为测试效果明显,可以重启安装evtsys的机器。(本次安装syslogwatcher与evtsys不在同一台机器,便于测试)。
如重启安装evtsys的机器仍未看到日志。则通过以下几点进行排除。
1.确认接收日志端的系统防火墙已经关闭。
2.确认安装evtsys的机器,是否已经启动该服务,如未启动,在服务列表点击启动。