路由器日志:驾驭好路由器的日志疯狂代码！

　　日志对于网络来说非常重要

他记录了系统每天发生

各种各样

事情

你可以通过他来检查

发生

原因

或者受到攻击时攻击者留下

痕迹

器是各种信息传输

枢纽

被广泛用于企事业单位

网络建设中

承担着局域网的间及局域网和广域网的问连接

重任

是目前使用比较广泛

种器

在许多行业系统中有非常普遍

应用

以下是笔者在日常工作中积累

些对路由器日志设置方面

经验

这些例子都在实际应用中调试通过并投入使用

供大家参考

　　
　　路由器

些重要信息可以通过syslog机制在内部网络

Unix主机上作日志

在路由器运行过程中

路由器会向日志主机发送包括链路建立失败信息、包过滤信息等等日志信息

通过登录到日志主机

网络管理员可以了解日志事件

对日志文件进行分析

可以帮助管理员进行故障定位、故障排除和网络管理

　　
　　认识syslog设备
　　首先介绍

下syslog设备

它是标准Unix

跟踪记录机制

syslog可以记录本地

些事件或通过网络记录另外

个主机上

事件

然后将这些信息写到

个文件或设备中

或给用户发送

个信息

syslog机制主要依据两个重要

文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件

syslogd

控制是由/etc/syslog.conf来做

syslog.conf文件指明syslogd

记录日志

行为

该

在启动时查询syslog.conf配置文件

该文件由区别

或消息分类

单个条目组成

每个占

行

对每类消息提供

个选择域和

个动作域

这些域由tab隔开(注意:只能用tab键来分隔

不能用空格键)

其中选择域指明消息

类型和优先级;动作域指明sysloqd接收到

个和选择标准相匹配

消息时所执行

动作

每个选项是由设备和优先级组成

也就是说第

栏写"在什么情况下"及 "什么程度"

然后用TAB键跳到下

栏继续写 "符合条件以后要做什么"

当指明

个优先级时

syslogd将记录 2个拥有相同或更高优先级

消息

每行

行动域指明当选择域选择了

个给定消息后应该把他发送到哪儿

　　
　　第

栏包含了何种情况和程度

中间用小数点分隔

详细

设定方式如下:
　　
　　1.在什么情况下记录?
　　各种区别

情况以下面

宇串来决定:
　　auth 有关系统安全和使用者认证;
　　cron有关系统自动排序执行(CronTable)
　　daemon 有关背景执行

;
　　ken 有关系统核心;
　　Ipr　有关打印机;
　　mai1 有关电子邮件;
　　

s 有关新闻讨论区;
　　syslog 有关系统记录本身;
　　user 有关使用者;
　　uucp有关UNIX互拷(UUCP).
　　
　　　

　　
　　2.什么程度才记录P
　　表1是各种区别

系统状况

依轻重缓急排列

　　例如你要系统去记录info等级

事件

则notice、err、warning、Crit、alert、emerg等在info等级以上

也会被

并记录下来

把上面所写

1、2项以小数点组合起来就是完整

"要记录哪些东西"

写法

例如mail.info表示有关电子邮件传送系统

般性信息

auth.emerg就是有关系统安全方面相当严重

信息

Ipr.none表示不要记录有关打印机

信息(通常用在有多个纪录条件时组合使用)

另外有 3种特殊

符号可供应用:
　　
　　星号(*):代表某

细项中所有项目

例如mail.*表示只要有关mail

不管什么程度都要记录下来

而*.info会把所有程度为infn

事件给记录下来

　　
　　等号(=):表示只记录目前这

等级

其上

等级不要记录

例如上面

例子

平常写下info等级时

也会把位于info等级上面

notice.err.warning、crit、alert、emerg等其他等级也记录下来

但若你写=info则就只有记录info这

等级了

　　
　　惊叹号(!):表示不要记录目前这

等级及其上

等级

　　
　　3、记录存放位置
　　sysloqd提供下列思路方法供您记录系统发生

事件:
　　
　　般文件
　　这是最普遍

方式

你可以指定好文件路径和文件名称

但是必须以目录符号"/"开始

系统才会知道这是

个文件

例如/var/adm/maillog表示要记录到/var/adm下面

个称为maillog

文件

如果的前没有这个文件

系统会自动产生

个

　　
　　指定终端机或其他设备
　　你也可以将系统记录写到

个终端机或是设备上

若将系统记录写到终端机

则目前正在使用该终端机

使用者就会直接在屏幕上看到系统信息(例如/dev/conso旧或是/dev/tty1

你可以拿

个屏幕专门来显示系统信息)

若将系统记录写到打印机(例如/dev/!p0)

则你会有

长条印满系统记录

纸

这样网络入侵者就不能修改日志来隐藏入侵痕迹

　　
　　指定远端主机
　　如果你不将系统信息记录在本地机器上

你可以写下网络中另

个主机

名称

然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.

但被你指定

主机上必须要有sysloqd)

这可以防止由于硬盘

等情况使日志文件丢失

　　
　　以上就是syslog各项记录程度及记录方式

写法

可以依照自己

需求记录下自己所需要

内容

但是这些记录都是

直追加上去

除非将文件自行删除掉

否则这些文件就会越来越大

Syslog设备是

个网络攻击者

显著目标

通过修改日志来隐藏入侵痕迹

因此我们要特别注意

最好养成每周(或更短

时间)定期检查

次记录文件

习惯

并将过期

记录文件依照流水号或是日期备份

以后查阅时也比较容易

千万不要记录下*.*

这样无论什么都被记录下来

结果会导致文件太大

要找资料时根本无法马上找出来

有人在记录网络日志时

连谁去ping他

主机都要记录

这样不仅降低系统效率而且增加了磁盘用量

　　
　　路由器日志功能具体设置思路方法
　　首先在UNIX主机上做下列工作

以超级用户注册进入
　　

　　其中168.1.1.2为日志主机

IP地十.这样对路由器进行

些操作将会记录在mail_debug和r2509_debug这两个文件中

Tags: 什么路由器好路由器日志分析路由器系统日志路由器日志

路由器日志:驾驭好路由器的日志

延伸阅读

最新评论

发表评论

赞助商广告

随机更新

热门标注

最近更新

最新标注