讲述Syslog的架构和如何在思科的网络环境下部署Linux和Win下的ang=EN-US>syslog服务器,以及相应思科设备的配置.
Syslog简介
Syslog协议允许设备向消息收集器发送相应的事件信息.使用UDP端口514,不需要确认,大小为1024字节.包含
Facility,Severity,Hostname,Timestamp,Message五种信息.
Facility是syslog对信息源的大致分类,比如该事件来源于操作系统,进程等,用整数表示.其中16-17的local use可以为哪些没有被明确定义的进程或者应用所使用,通常思科IOS设备,CatOS交换机,VPN3000使用Facility Local7发送syslog信息,PIX防火墙使用local4,当然这些缺省值是可以修改的.
Severity 信息源或者Facility根据信息的严重程度使用1位数字进行分类.
|
数字 |
严重程度 |
|
0 |
Emergency: 报告软件或者硬件问题 |
|
1 |
Alert |
|
2 |
Critical |
|
3 |
Error |
|
4 |
Warning |
|
5 |
Notice: 系统重启或者接口up.down |
|
6 |
Informational |
|
7 |
Debug: Debug命令的输出 |
Hostname 设备名或者IP地址,如果多接口使用传送信息端口的IP地址.
Timestamp 时间戳是本地时间,IOS允许添加时区信息,前面加个特殊字符比如*,格式如下: MMM DD HH:MM:SS Timezone *.
Message 信息.
Syslog服务器的部署
内置syslogd的配置
/etc/syslog.conf文件控制syslogd的配置.里面有根据facility和severity来定义的规则,格式为facility.severity
|
字符 |
功能 |
|
, |
在一句话定义相同seveity级别的多个facilities,例如 local1,local5.debug |
|
; |
分开多个facility.severity语句在一条规则,常和!选项合用 |
|
* |
指定所有的facilities或者severities. |
|
None |
给定的facility没有severity |
|
= |
指定某个facility下特定的severity比如 local7.=debug 只记录level7信息在debug级别而不包含剩下的 info, notice, warning等信息,缺省会包含下级的severity信息 |
|
! |
忽略特定的severity的级别,包含下级的.格式为 facility.!severity. 比如local7.*;local7.!err 记录所有的local7信息但是忽略severity等级为error, critical, alert和emergency的信息. |
|
@ |
定义远端的syslog服务器地址.格式为facility.severity |