ciscologging配置.docx
- 文档编号:27328352
- 上传时间:2023-06-29
- 格式:DOCX
- 页数:11
- 大小:21.43KB
ciscologging配置.docx
《ciscologging配置.docx》由会员分享,可在线阅读,更多相关《ciscologging配置.docx(11页珍藏版)》请在冰豆网上搜索。
ciscologging配置
ciscologging配置(pèizhì)
ciscologging默认(mòrèn)级别
日志消息通常是指CiscoIOS中的系统错误消息。
其中每条错误信息都被分配了一个严重级别(jíbié),伴随一些只是问题或事件的严重性分析。
CiscoIOS发送日志消息(包括debug命令的输出)到日志记录过程。
默认情况下,只发送到控制台接口,可可以将日志记录到路由器内部缓存,终端线路,系统日志服务器和SNMP管理站。
一、日志消息(xiāoxi)格式
在CiscoIOS设备中,日志(rìzhì)消息采用下面的格式:
%<facility>-<severity>-<mnemonic>:
<message_text>
下面是一个简单的例子:
%LINK-5-CHANGED:
InterfaceEthernet1,changedstateto
administrativelydown
假设为日志消息已经(yǐjing)启用了时间戳和序列号,对于日志消息,将看到以下信息,首先是序列号,紧接着是时间戳,然后才是消息:
000022:
Jan0215:
42:
11.048:
%LINK-5-CHANGED:
InterfaceEthernet0,
changedstatetoadministrativelydown
二、基本(jīběn)日志记录配置
在设置日志记录时,需要完成两个基本的任务:
打开日志记录和控制(kòngzhì)日志在线路上的显示。
1、打开(dǎkāi)日志记录
默认地,日志记录只在路由器的控制台线路上打开,要在其他地方记录日志,则必须相应(xiāngyīng)地打开日志记录并进行配置。
使用以下命令打开日志记录:
Router(config)#loggingon
使用loggingon命令,可以为日志记录打开其他已配置的目的地,如系统日志服务器或路由器的内部缓存。
在将系统消息记录到除了控制台端口的其他位置之前,必须执行该命令;但是,使用其他的logging命令,可以单独控制哪个过程将接收日志消息。
例如,已经配置了命令,将日志消息记录到系统日志服务器,但是没有执行loggingon命令,则CiscoIOS只将消息记录到控制台线路。
二、配置同步日志(rìzhì)记录
loggingsynchronous命令的主要目的是将日志(rìzhì)消息输出和调试输出同步到路由器线路上:
控制台、辅助和VTY线路。
同步日志的主要目的是控制何时消息被显示在路由器的线路上。
当启用这个特性时,同步日志使得CiscoIOS显示消息,然后执行一个等价的Ctrl-R的命令,这使得路由器将已经(yǐjing)输入的信息重新显示在命令行上。
可以使用loggingsynchronous命令(mìnglìng)来影响日志消息的显示:
Router(config)#linetype#
Router(config)-line)#loggingsynchronous[levelseverity_level|all]
[limit#_of_lines]
严重程度是指日志(rìzhì)消息的严重程度,这些消息是异步显示的。
严重性数值比该值高的消息(更低严重性的消息)被同步显示;数值更低的(更严重)消息被异步显示。
默认的严重级别是2。
参数all使得所有消息都被异步显示,不管分配的严重级别。
参数limit指定在路由器开始(kāishǐ)丢弃新的消息前,有多少个同步消息可以排在队列中。
默认是20条消息。
如果到达该阀值,路由器必须丢弃消息时,就会看到以下日志消息,说明路由器必须丢弃的消息数目:
%SYS-3-MSGLOST#_of_messagesduetooverflow
同步日志的主要缺点(quēdiǎn)是当路由器正在产生许多消息,而我们正在CLI中很慢地输入时,路由器必须丢弃超过阀值地任何消息。
因此,将无法在线路上看到这些消息。
如果看到这类事件对你来说很关键,建议将它们记录在路由器内部缓存、系统日志服务器或者SNMP管理台。
在给非控制台线路(如VTY)设置很大地队列极限值时要小心。
如果黑客可以进入路由器上的VTY,而VTY上打开了同步日志,则黑客可以在输入命令期间使VTY线路空闲(kòngxián)。
这将导致CiscoIOS用消息填满很大的队列,可能会耗尽路由器的整个内存。
三、日志(rìzhì)记录目的地
可以将日志(rìzhì)信息转发到以下4种基本目的地
●线路(xiànlù);
●内部(nèibù)缓存;
●系统日志服务器;
●SNMP管理台。
1、严重级别
每个日志消息被关联一个严重级别,用来分类消息的严重等级:
数字越低,消息越严重。
严重级别的范围从0(最高)到7(最低)。
使用logging命令可以用数字或者名称来指定严重性。
日志消息的严重(yánzhòng)级别
参数(cānshù)级别系统日志描述描述
emergencies0LOG_EMERG系统(xìtǒng)不可用
alerts1LOG_ALERT在端口下是需要立即(lìjí)操作的
critical2LOG_CRIT路由器上存在一个(yīɡè)关键状态
errors3LOG_ERR路由器上存在一个错误状态
warnings4LOG_WARNING路由器上存在一个警告状态
notifications5LOG_NOTICE路由器上发生了一个平常的但重要的事件
informational6LOG_INFO路由器上发生了一个信息事件
debugging7LOG_DEBUG来自debug命令的输出
缺省地,console、monitor、buffer的logging被设置为debugging级,而trap(syslog)服务器的logging被设置为informational
如果在ACL语句中使用log关键字,则只有严重级别设为6或者7时,才会在控制台上显示输出。
对于日志记录功能可以控制的一个选项是,哪些消息被记录到4个目的地。
例如,在控制台上,可以限制记录严重级别为4(即显示从0到4的消息)的日志消息;但是对系统日志服务器,可以设置为6(0到6)。
2、线路(xiànlù)日志
有两个命令(mìnglìng)可用于控制日志消息被发送到路由器的线路上:
Router(config)#loggingconsole[severity_level]
Router(config)#loggingmonitor[severity_level]
loggingconsole命令是指将日志记录到物理的TTY,如控制台和辅助线路。
loggingmonitor命令将日志记录到逻辑VTY。
默认地,记录日志到控制台对所有级别都打开(dǎkāi);但是可以通过改变loggingconsole命令中的严重级别来修改。
将日志记录到VTY和AUX默认是关闭的,要打开就要执行特权级的EXEC命令terminalmonitor,将控制台日志消息复制到VTY,或者配置loggingmonitor命令。
如果使用了后者,在初次访问路由VTY时,则不需要执行terminalmonitor命令来查看TTY命令行的日志输出。
在配置loggingmonitor命令时,如果不指定严重级别(jíbié),则默认为7(调试)。
对两个命令,都必须(bìxū)使用loggingon命令来打开日志记录。
由于将消息显示在终端线路上,如控制台,会给路由器增加处理负担,所以建议将严重级别改到比调试更高的严重级别(较低的数字(shùzì))。
如果要查看较低严重级别的消息,可以使用路由器内部缓存、系统日志服务器,或者SNMP管理台。
如果在生成错误和调试消息的过程中,关闭loggingon命令,会大大降低路由器的速度,直到这些消息显示在路由器的线路上。
因此为显示在控制台线路的日志(rìzhì)消息分配严重级别时要小心。
3、内部(nèibù)缓存日志
记录日志消息到TTY或者VTY存在的一个问题是,如果没在看连接线路的屏幕输出,消息滚过屏幕并超出了终端软件的历史缓存,则没有任何机制可以再看到那些丢失的消息。
如果把日志消息记录到除了线路以外(yǐwài)的其他目的地,则可以避免这个问题。
一个解决方案是将日志消息记录到路由器的内部缓存,根据路由器平台的不同,该项可能是默认打开(dǎkāi)或关闭的;大多数平台下,默认是打开的。
使用以下命令将日志记录到路由器的缓存:
Router(config)#loggingbuffered[buffer_size|severity_level]
该命令有两个参数,buffer_size指定为内部缓存分配多大的内存,以字节为单位。
使用defaultloggingbuffered命令将缓存大小设回出厂的默认值。
severity_level指出应该(yīnggāi)记录的严重级别。
默认的大小和严重级别(通常是7)依赖于平台型号。
4、系统日志(rìzhì)服务器日志
以下是将日志记录(jìlù)到系统日志服务器的基本命令:
Router(config)#loggingon
Router(config)#logginghost{IP_address|hostname}
Router(config)#loggingtrapseverity_level
Router(config)#loggingsource-interfaceinterface_type_interface_#
Router(config)#loggingorigin-id{hostname|ip|stringstring}
Router(config)#loggingfacilityfacility_type
loggingon命令允许将日志记录到非控制台目的地。
logginghost命令指定(zhǐdìng)系统日志服务器的IP地址、主机名或者完全合格的域名(FQDN)。
如果不只一次输入该命令,指定不同的系统日志服务器目的地,可以建立路由器使用的系统日志服务器列表。
在CiscoIOS12.2(15)T版本之前,使用logging{hostname|IP_address}命令打开陷阱日志(rìzhì)记录,现在使用logginghost命令。
loggingtrap命令指定要发送到系统日志服务器的日志消息的严重级别(jíbié)。
默认是informational。
默认地,路由器用来到达系统日志服务器的接口IP地址将作为IP数据包头中的源IP地址。
使用loggingsource-interface命令来生成一致的日志条目。
这样路由器使用一个相同的源地址。
使用该命令时,必须指定接口的名称和编号。
只有路由器有两个或更多接口可以到达系统日志服务器时,该命令才是必需的。
但是为了一致性,要确保在系统日志数据包中使用相同的源地址。
这使得在系统日志服务器上执行过滤规则来阻止(zǔzhǐ)的不希望的日志消息变得更容易。
在12.2(15)T版本中,Cisco增加了将路由器身份信息添加到系统日志消息的功能,这样可以基于每个路由器,更容易地在系统日志服务器上搜寻或者分离信息。
这是由loggingorigin-id实现的。
该命令默认(mòrèn)是关闭的。
身份信息可以选择hostname(使用hostname命令配置的名称)、IP地址(发送接口的IP地址)和string(用来定义路由器身份信息的字符串)。
如果字符串包含空格,则必须用引号将它括起来。
loggingfacility命令定义在运行UNIX的系统日志服务器上使用的工具,日志信息(xìnxī)将保存在该服务器上。
系统日志工具(gōngjù)类型
参数(cānshù)描述
auth授权(shòuquán)系统
cronCron工具
daemon系统守护程序
kern内核
local0到local7本地定义的消息(从0到7)
lpr打印机系统(xìtǒng)
mailE-mail系统(xìtǒng)
newsUSENET新闻(xīnwén)
sys9到sys14系统(xìtǒng)使用
syslog系统日志
user用户(yònghù)定义进程
uucpUNIX到UNIX的复制系统
如果不指定工具,默认是local7。
在UNIX上,可以通过编辑适当的配置文件来为指定的工具指定日志文件的保存位置。
例如,编辑/etc/syslog配置文件,可以为工具创建一个条目。
如:
local7.debugging/usr/adm/logs/router.log
该例中,工具级别是local7,debugging关键字指定了系统日志记录级别。
系统日志级别将决定哪个级别的消息将保存在以下的文件中:
任何该严重级别及更高级别的消息将存储在这个特定的文件中。
5、SNMP日志
要将日志消息发送到SNMP管理台,要执行以下命令:
Router(config)#snmp-serverenabletrapsyslog
然后,有三个命令控制将日志消息记录(jìlù)到管理台:
Router(config)#loggingon
Router(config)#logginghistoryseverity_level
Router(config)#logginghistorysizenumber
第二个命令指定哪些严重级别的日志消息应该被发送到SNMP管理台。
默认级别是warning。
由于SNMP使用UDP,而UDP是不可靠的连接,系统日志陷阱保存在路由器的历史表中。
至少一条系统日志消息(最新的一条)被保存在历史表中(默认是一条消息)。
可以(kěyǐ)用logginghistorysize将这个值增加到500条。
从CiscoIOS12.2(1.4)版本(bǎnběn)开始,CiscoIOS可以使用ipnatlogtranslationssyslog命令来记录每个NAT转换。
四、其他(qítā)日志命令
1、日期(rìqī)和时间戳
默认地,日志消息不包括日期和时间戳。
使用以下两个命令中的一个来添加日期和时间戳:
Router(config)#servicetimestamps{debug|log}uptime
或者
Router(config)#servicetimestamps{debug|log}datetime[msec][localtime][show-timezone][year]
可以在两种类型的消息中添加时间戳:
调试和日志消息。
使用debug参数使CiscoIOS在调试输出(shūchū)时包括时间戳。
使用log参数则在每种日志消息中添加一个时间戳。
第一个命令包括了uptime参数,使得CiscoIOS在消息中包括路由器开机以来的时间,如:
1w0d:
%sys-5-CONFIG_I:
Configuredfromconsolebyconsole
如果要知道准确的日期和时间,则使用datetime参数。
这个参数使得CiscoIOS在消息中包括日期和时间(日期和时间使用UTC格式),标准格式是:
MMMDDHH:
MM:
SS。
当使用datetime参数时,有一些可选的参数可用。
msec参数在消息中包括毫秒信息。
localtime显示基于路由器本地配置的时区时间。
默认情况下,年份信息不包括在时间信息中,但是使用可选的year则可以包括该信息。
show-timezone参数在日期和时间输出中包括时区名称。
下面是一个log参数和datetime、localtime和show-timezone选项一起使用的简单(jiǎndān)例子:
(.May2311:
13:
25UTC:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsle)
日志消息(xiāoxi)一般是从三种字符的一种开始的:
空格、星号或者句点。
日志消息(xiāoxi)起始字符
参数名称(míngchēng)描述
空格路由器的时钟被手动设置,或者(huòzhě)和NTP时间服务器同步
*星号路由器的始终没有(méiyǒu)被设置,或者没有和NTP服务器同步
.句点路由器的时钟被设置为同步,但和NTP服务器失去联系
2、序列号
除了将时间戳添加到日志消息中外,还可以让CiscoIOS在每条消息中显示序列号。
可以使用以下命令来实现:
Router(config)#servicesequence-numbers
3、速率限制
从CiscoIOS12.1(3)T版本开始,可以用loggingrate-limit命令以秒为单位限制记录(jìlù)日志消息的速率
Router(config)#loggingrate-limit{number|allnumber|consolenumber}[exceptseverity]
默认地,路由器上没有(méiyǒu)速率限制。
通过指定一个从1到10,000的数。
可以将每秒记录的日志消息数限制到该值。
all关键字,后面跟一个数值,将作用于所有日志记录和调试消息。
console关键字则限制将日志消息记录到控制台的速率。
except参数对指定严重级别或者根高级别的消息建立一个例外。
强烈建议使用(shǐyòng)该命令,特别是在控制台接口上。
在受到攻击时,会出现泛洪,该命令可以减少路由器需要处理的消息量。
五、日志(rìzhì)记录验证
1、showlogging命令(mìnglìng)
showlogging显示了当前系统日志错误和事件记录的状态,包括所有配置的系统日志服务器地址,哪种类型日志打开,以及日志记录统计。
以下是命令的格式:
Router#showlogging[summary]
使用clearlogging命令清除(qīngchú)内部缓存器中的日志消息。
2、showlogginghistory命令(mìnglìng)
该命令显示了系统日志历史表的大小(dàxiǎo)、表中的消息的状态以及消息本身。
六、日志(rìzhì)记录和错误计数
如果(rúguǒ)正在使用路由器内部缓存,并且较老的消息正在老化时,该特性非常有用。
使用该特性,CiscoIOS仍然会跟踪特定日志消息的发生数,以及该消息最后一次发生的情况。
如果内部缓存不能够保留所有消息,而同样的错误或者问题却持续发生时,则该特性很有用。
该特性基本上可以替代上面讨论的showloggingsummary命令
在配置模式执行以下命令启用该特性:
Router(config)#loggingcount
该命令对每个日志消息进行计数,包括(bāokuò)每种消息类型最后一次发生的时间戳。
启用(qǐyòng)该特性后,可以使用showloggingcount命令来查看错误计数。
内容总结
(1)ciscologging配置
ciscologging默认级别
日志消息通常是指CiscoIOS中的系统错误消息
(2)默认地,路由器用来到达系统日志服务器的接口IP地址将作为IP数据包头中的源IP地址
(3)在12.2(15)T版本中,Cisco增加了将路由器身份信息添加到系统日志消息的功能,这样可以基于每个路由器,更容易地在系统日志服务器上搜寻或者分离信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ciscologging 配置