日志对【rì zhì duì】📌于网络安全来【lái】说非常【shuō fēi cháng】重要【chóng yào】，他记录【tā jì lù】🍋了系统【le xì tǒng】🎷每天发生的🔝各种各样的事情，你可以【nǐ kě yǐ】通过【guò】他👎来【lái】检查错误发【cuò wù fā】🕙生的原【shēng de yuán】因，或者受【huò zhě shòu】到攻击💭时攻击【shí gōng jī】者留下的痕迹【de hén jì】🔟。

　　Cisco是目前【shì mù qián】使用比较广泛的一【yī】🚱种路由器【lù yóu qì】💣，在许多🕝行业系统中有非常普【fēi cháng pǔ】遍的应用。以下是在日常工作中【gōng zuò zhōng】😷积累的一【yī】些对🖋Cisco路由器【lù yóu qì】💣日志设置方面【zhì fāng miàn】的经验【de jīng yàn】，这些实【zhè xiē shí】例都在实际应🌴用中调🏒试通过【guò】🔡并投入使用，我们可【wǒ men kě】❔以利用路由器【lù yóu qì】💣日志快速定位🏫及排除故障。

　　路由器【lù yóu qì】💣是各种🏩信息【xìn xī】💌传输的枢纽【shū niǔ】，被广泛【bèi guǎng fàn】➰用于企事业单位的网络建设🥎中，承担着【chéng dān zhe】😚局域网之间及局域网与广域网之问连接的重任🏐。

　　一【yī】🚱、什么是【shí me shì】路由器【lù yóu qì】💣日志

　　路由器【lù yóu qì】💣的一【yī】🚱些重要【chóng yào】信息【xìn xī】💌可以通过【guò】🔡syslog机制在内部网络的Unix主机上【zhǔ jī shàng】作日志🍄。在路由【zài lù yóu】器💣运行过【guò】程中【chéng zhōng】💡，路由器【lù yóu qì】💣会向日志主机【zhì zhǔ jī】发送包括链路【kuò liàn lù】建立失【jiàn lì shī】败信息【xìn xī】😪、包过【guò】滤📎信息【xìn xī】💌等等日志📽信息【xìn xī】💌，通过【guò】登🤢录【lù】到日志主机【zhì zhǔ jī】，网络管【wǎng luò guǎn】🍡理员可以了解日志事件🔼，对日志【duì rì zhì】🚽文件【wén jiàn】进💫行分析，可以帮助管理【guǎn lǐ】🍡员进行故障定位、故障排🚽除和网络安全管理【guǎn lǐ】。

　　二【èr】、路由器【lù yóu qì】💣日志记【rì zhì jì】录【lù】存放🎟的位置

　　sysloqd提供下列方法【liè fāng fǎ】供您记🆕录【lù】系统发生的🔝事件🔼：

　　(1)指定的⬛远端主机

　　如果你⭐不将系🙈统信息【xìn xī】💌记录在【jì lù zài】本地机【běn dì jī】器上🏅，你可以【nǐ kě yǐ】写下网【xiě xià wǎng】络中另一【yī】个主🥏机的名称，然后在【rán hòu zài】主机名🖱称前面🖥加上"@"符号【fú hào】(例如【lì rú】🎺(@)ccunix1.variox.int，但被你指定的⬛主机上【zhǔ jī shàng】必须要有sysloqd)。这可以🈯防止由于硬盘【yú yìng pán】错误等【cuò wù děng】情况使日志文⚪件🔼丢失。

　　(2)一【yī】🚱般文件【wén jiàn】🔼

　　这是最普遍的方式【fāng shì】🤓。你可以【nǐ kě yǐ】指定好文件【wén jiàn】🔼路径与【lù jìng yǔ】文件【wén jiàn】🔼名称，但是必【dàn shì bì】✂须以目🍽录【lù】符号【fú hào】♟"/"开始🚉，系统才【xì tǒng cái】会知道这是一【yī】📮个文件【wén jiàn】⬛。例如【lì rú】🎺/var/adm/maillog表示要【biǎo shì yào】记录到【jì lù dào】/var/adm下面一【xià miàn yī】🏞个称为maillog的文件【wén jiàn】🔼。如果之【rú guǒ zhī】前没有这个文件【wén jiàn】⬛，系统会【xì tǒng huì】自动产生一【yī】🚱个。

　　(3)指定的⬛终端机【zhōng duān jī】😖或其他【huò qí tā】设备【shè bèi】📶

　　你也可以将系统记【xì tǒng jì】录【lù】💝写到一【yī】🌮个终端【gè zhōng duān】📒机或是【jī huò shì】🕟设备【shè bèi】📶上。若将系🕛统记录【tǒng jì lù】💝写到终端机【zhōng duān jī】😖，则目前正在使用该终端机【zhōng duān jī】😖的使用者就会【zhě jiù huì】直接在屏幕上看⚡到系统信息【xìn xī】💌(例如【lì rú】🎺/dev /conso旧或是💶/dev/tty1，你可以【nǐ kě yǐ】拿一【ná yī】🚱个屏幕专门来【lái】显🚗示系统信息【xìn xī】💌)。若将系🕛统记录【tǒng jì lù】💝写到打🤲印机(例如【lì rú】🎺/dev/!p0)。，则你会有一长【yǒu yī zhǎng】🎓条印满系统记【xì tǒng jì】录【lù】💝的纸，这样网【zhè yàng wǎng】络入侵者就不🐎能修改日志来【lái】隐藏入侵痕迹【qīn hén jì】😄。

　　以上就【yǐ shàng jiù】是syslog各项记【gè xiàng jì】录程度【lù chéng dù】及记录【lù】👒方式【fāng shì】🤓的写法🙋，可以依照自己【zhào zì jǐ】的需求记录【lù】下💩自己所【zì jǐ suǒ】需要的【xū yào de】内容【nèi róng】。但是这些记录【xiē jì lù】🧠都是一【dōu shì yī】🚱直追加上去的【shàng qù de】，除非将🥫文件【wén jiàn】自💢行删除【háng shān chú】🎳掉，否则这些文件【wén jiàn】🔼就会越🍓来越大【lái yuè dà】🌃。Syslog设备【shè bèi】📶是一【yī】🚱个网络攻击者的显着【de xiǎn zhe】目标【mù biāo】，通过【guò】🔡修改日志来【lái】隐藏入侵痕迹【qīn hén jì】😄，因此我【yīn cǐ wǒ】们要特别注意【bié zhù yì】🙀。

　　养成每周(或更短的时间【de shí jiān】🦑)定期检🐣查一【yī】🚱次记录【cì jì lù】文📻件🔼的习惯【de xí guàn】，并将过【bìng jiāng guò】期的记【qī de jì】录【lù】文📻件🔼依照流🛃水号或【shuǐ hào huò】是日期备份【bèi fèn】🌁，以后查阅时也比较容易。千万不🎟要记录【lù】下💩*.*，这样无⬆论什么🥢都被记录【lù】下💩来【lái】，结果会【jié guǒ huì】👍导致文件【wén jiàn】🔼太大，要找资🚹料时根本无法【běn wú fǎ】马上找【mǎ shàng zhǎo】🎑出来【chū lái】。有人在记录【lù】网络日志📺时，连谁去【lián shuí qù】ping他的主【tā de zhǔ】机都要🚨记录【lù】，这样不🚏仅降低【jǐn jiàng dī】系统效【xì tǒng xiào】率而且【lǜ ér qiě】增加了🐩磁盘用【cí pán yòng】🕥量🎮。

　　三、什么程度才记【dù cái jì】录日志

　　如你要系统去🎟记录info等级的【děng jí de】事件，则【zé】notice、err、warning、Crit、alert、emerg等在🚬info等级以⏲上的也💇会被一✉并记录下来。把上面🦉所写的🔢1、2项以小数点组🐼合起来【hé qǐ lái】🏓就是完【jiù shì wán】整的"要记录🔟哪些东🆘西【xī】"的写法👨。例如【lì rú】🤷mail.info表示关🚎于电子【yú diàn zǐ】邮件传【yóu jiàn chuán】送系统【sòng xì tǒng】✝的一般性信息【xìn xī】。auth.emerg就是关【jiù shì guān】于系统安全方面相当【miàn xiàng dāng】严重的信息【xìn xī】。Ipr.none表示不🗝要记录🔟关于打印机的信息【xìn xī】(通常用【tōng cháng yòng】在有多个纪录条件时📦组合使用【yòng】)。另外有三种特【sān zhǒng tè】殊的符【shū de fú】号可供应用【yòng】：

　　惊叹号(!):表示不要记【bú yào jì】录😫目前这🚻一等级【děng jí】🎶及其上的【de】🕛等级【děng jí】🎶。

　　等号(=):表示只记录目🧣前这一等【zhè yī děng】级🎶，其上的【de】🕛等级【děng jí】🎶不要记【bú yào jì】录😫。例如上【lì rú shàng】面的【miàn de】例⏬子【zǐ】，平常写下info等级【děng jí】🎶时【shí】，也会把位于info等级上【děng jí shàng】💤面的【miàn de】👀notice.err.warning、crit、alert、emerg等其他🧐等级【děng jí】🎶也记录下来【xià lái】🥫。但若你写=info则就只🎴有记录【yǒu jì lù】🔤info这一等【zhè yī děng】级🎶了。

　　星号【xīng hào】(*):代表某一细项中所有🕰项目。例如【lì rú】mail.*表示只要有关mail的【de】，不管什么程度【dù】🔳都要记🔁录下来【xià lái】🥫。而*.info会把所【huì bǎ suǒ】🧣有程度【dù】为【wéi】💋infn的事件【de shì jiàn】🔽给记录下来【xià lái】🥫。

　　四🏣、syslog设备🐩

　　syslog设备🐩，它是标准【zhǔn】Unix，的跟踪【de gēn zōng】💩记录机【jì lù jī】制【zhì】，syslog可以记录本地的一些【de yī xiē】事件【jiàn】🦆或通过【huò tōng guò】网络记录另外一个主机上【zhǔ jī shàng】的事件【de shì jiàn】🔽，然后将【rán hòu jiāng】这些信【zhè xiē xìn】息写到🌝一个文【yī gè wén】件【jiàn】🦆或设备🐩中，或给用户发送😬一个信息。

　　syslog机制【zhì】主要依据两个重要的【de】文🕙件【jiàn】🦆:/etc/syslogd(守护进【shǒu hù jìn】程)和【hé】🦑/etc /syslog.conf配置【zhì】文件【jiàn】🦆，syslogd的【de】控制【zhì】📙是由【shì yóu】/etc/syslog.conf来做的【de】🌔。syslog.conf文件【jiàn】🦆指明🔎syslogd程序记🚔录日志的【de】行为【wéi】💋，该程序🙆在启动🍬时【shí】查询syslog.conf配置【zhì】文件【jiàn】🦆。该文件【gāi wén jiàn】🍔由不同【yóu bú tóng】🔱程序或【chéng xù huò】🎉消息分类的【de】单个条目组成🍭，每个占【měi gè zhàn】一行。

　　对每类消息提【xiāo xī tí】🦈供一个🦉选择域【xuǎn zé yù】🤮和【hé】🦑一个动作【dòng zuò】域。这些域由【yóu】tab隔开(注意:只能用tab键来分隔，不能用空格键)，其中选择域【xuǎn zé yù】🤮指明🔎消息的【de】类型和【hé】🦑优先级【xiān jí】⛩;动作【dòng zuò】域指明🔎sysloqd接收到一个与选择标【xuǎn zé biāo】准【zhǔn】相匹配的消【pèi de xiāo】🐃息时所【xī shí suǒ】💆执行的【zhí háng de】动作【dòng zuò】。

　　每个选项是由【shì yóu】📀设备🐩和【hé】🦑优先级【xiān jí】⛩组成🍭。也就是💂说第一栏写"在什么情况下【qíng kuàng xià】"及"什么程度【dù】🔳"。然后用【rán hòu yòng】TAB键跳到下一栏继续写"符合条📜件【jiàn】🦆以后要做什🉑么"。

　　当指明🚽一个优先级【xiān jí】⛩时【shí】，syslogd将记录二个拥🚅有相同【yǒu xiàng tóng】🚻或更高【huò gèng gāo】优先级【xiān jí】⛩的【de】消息。每行的【de】🕛行动域【háng dòng yù】🌾指明🔎当选择【dāng xuǎn zé】域🤮选择了一个给定消息后应该📎把他发送到哪【sòng dào nǎ】👧儿。

　　第一栏包含了【bāo hán le】🌎何种情🗜况与程【kuàng yǔ chéng】🆒度【dù】，中间用小数点🤾分隔。详细的【de】🌾设定方【shè dìng fāng】式如下:

　　auth 关于系【guān yú xì】统安全与使用【yǔ shǐ yòng】者认证【zhě rèn zhèng】🚍;

　　cron关于系【guān yú xì】统自动排序执【pái xù zhí】行(CronTable);

　　daemon 关于背景执行程序🙆;

　　ken 关于系【guān yú xì】统核心;

　　Ipr　关于打💈印机;

　　mai1 关于电🛫子邮件【zǐ yóu jiàn】🦆;

　　news 关于新🌾闻讨论区【qū】;

　　syslog 关于系【guān yú xì】统记录本身【běn shēn】;

　　user 关于使📆用者;

　　uucp关于UNIX互拷【hù kǎo】🚶(UUCP)。

　　五【wǔ】、路由器【lù yóu qì】日志🧣功能的【de】具体设【jù tǐ shè】置【zhì】🍿方法

　　首先在🛬UNIX主机上【zhǔ jī shàng】做下列【zuò xià liè】♊工作【gōng zuò】，以超级用户注💋册进入【cè jìn rù】:

　　其中168.1.1.2为【wéi】💋日志主【rì zhì zhǔ】机的【de】IP地址😯。这样对📧路由器【lù yóu qì】进行的【jìn háng de】一些操💲作将会记录在mail_debug和【hé】🦑r2509_debug这两个文件【jiàn】🦆中。

　　通过查看路由【yóu】🎂器日志【qì rì zhì】🧣，我们可以解决大部分【dà bù fèn】的【de】故障问题【wèn tí】🍮，也方便【yě fāng biàn】🍩查询故【chá xún gù】🥂障原因🌝，更好的【de】、更快速的【de】解决网络问【wǎng luò wèn】题🍮。