设置 Syslog 日志服务器用来获取交换机日志

sherwinzhang

（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）
注:配置日志服务器前先检查是否已安装了SYSLOG服务
执行 ps -e |grep syslogd 查看进程是否存在
没有安装    # apt-get install syslogd 安装,或下载用安装包
H3C交换机的设置举例
1. 组网需求
将系统的日志信息发送到 linux 日志主机；
日志主机的IP 地址为 1.2.0.1/16；
信息级别高于等于 informational 的日志信息将会发送到日志主机上；
日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。
2. 组网图


3. 配置步骤
(1)       设备上的配置。
# 开启信息中心。
system-view
[Sysname] info-center enable
# 指定向日志主机输出日志信息的通道为 loghost 通道。
[Sysname] info-center loghost 1.2.0.1 channel loghost
                   # 关闭所有模块日志主机的 log、trap、debug 的状态。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
注意：
由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态。
# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。
[Sysname] info-center loghost 1.2.0.1 facility local7 language english
[Sysname] info-center source default channel loghost log level informational
2)       日志主机上的配置。
                   第一步：以超级用户（root）的身份执行以下命令。
                   # mkdir /var/log/H3C
                   # touch /var/log/H3C/information
                   第二步：以超级用户（root）的身份编辑文件/etc/syslog.conf，加入以下选择/动作
                   组合（selector/action pairs）。
# H3C configuration messages
local7.info                /var/log/H3C/information
说明：
在编辑/etc/syslog.conf 时应注意以下问题：
注释只允许独立成行，并以字符#开头。
选择/动作组合之间必须以一个制表符（键）分隔，而不能输入空格
        （键）。
在文件名之后不得有多余的空格。
/etc/syslog.conf                中指定的设备名及接受的日志信息级别与设备上配置的
      info-center    loghost 和info-center    source 命令的相应参数要保持一致，否则
       日志信息可能无法正确输出到日志主机上。
第三步：当日志文件 information 建立且/etc/syslog.conf 文件被修改了之后，应通过
执行以下命令查看系统守护进程syslogd 的进程号，中止syslogd 进程，并重新用-r
选项在后台启动syslogd。
# ps -ae | grep syslogd
147
# kill -9 147
# syslogd -r &
说明：
对Linux 日志主机，必须保证syslogd 进程是以-r 选项启动。
进行以上操作之后，系统就可以在相应的文件中记录日志信息了。

CISCO交换机的设置举例
(1) 以下配置描述了如何将Cisco设备的日志发往syslog服务器
　　cisco#conf t
　　
　　cisco(config)#logging on
　　
　　cisco(config)#logging a.b.c.d //日志服务器的IP地址
　　
　　cisco(config)#logging facility local1　//facility标识, RFC3164 规定的本地设备标识为 local0 - local7
　　
　　cisco(config)#logging trap errors //日志记录级别，可用"?"查看详细内容
可选的级别有0－7共八个级别，0最高，7最低。这八个级别分别为：
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
(config)#logging on 启用日志服务。
选取最低的debugging级别可以记录所有可以记录的信息，包括系统信息、错误信息、debug信息等等。但是仍然不能满足我们的全部需求。　　
　　cisco(config)#logging source-interface e0 //日志发出用的源IP地址
　　
　　
　　cisco(config)#service timestam log datetime localtime
　　日志记录的时间戳设置，可根据需要具体配置
　　
　　检验
　　
　　cisco#sh logging
(2) 以下配置为日志服务器的配置
　　创建日志文件
　　#mkdir /var/log/switch
　　#vim /var/log/switch/ciscoswitch.log
　　在/etc/syslog.conf增加日志描述
　　#vim /etc/syslog.conf
　　local1.* /var/log/switch/ciscoswitch.log
　　使用SYSLOGD -r 参数使日志服务器接收远程日志
　　
　　# vim /etc/default/syslogd
　　SYSLOGD="" 修改为： SYSLOGD="-r"
　　最后重启服务完成配置
　　/etc/init.d/sysklogd restart
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/80876/showart_1864246.html