1. Редактируем конфигурационный файл syslog-ng
vi /ets/syslog-ng/syslog-ng.conf
Добавляем в конец файла строки вида:
# указываем источник откуда будем слушать сессии для приёма логов
# 0.0.0.0 означает слушаем от всех хостов во всех сетях.
source net { udp(ip(0.0.0.0) port(514)); };
destination df_cisco { file("/var/log/cisco.log"); };
# какие сообщения пишем в логи
filter f_cisco_info { level(info); };
filter f_cisco_notice { level(notice); };
filter f_cisco_warn { level(warn); };
filter f_cisco_crit { level(crit); };
filter f_cisco_err { level(err); };
# формат записи имя хоста, уровень критичности сообщений, куда пишем
log { source(net); filter(f_cisco_info); destination(df_cisco); };
log { source(net); filter(f_cisco_notice); destination(df_cisco); };
log { source(net); filter(f_cisco_warn); destination(df_cisco); };
log { source(net); filter(f_cisco_crit); destination(df_cisco); };
log { source(net); filter(f_cisco_err); destination(df_cisco); };
2. Настройка logrotate
Создаём файл
vim /etc/logrotate.d/cisco
следующего содержания:
/var/log/cisco.log { # какой файл ротировать
rotate 7 # сколько резервных копий хранить
missingok
notifempty
weekly # по прошествии какого времени ротировать
compress # сжимать копии
}
3. Если используем logcheck
echo "/var/log/cisco.log" >> /etc/logcheck/logcheck.logfiles
4. Перегружаем syslog:
/etc/init.d/syslog-ng restart
5. Настройка Cisco
!
logging facility local1
logging source-interface Vlan2
logging 192.168.0.10
!
Тонкая настройка CISCO
Формат временной отметки задается командой:
service timestamps log datetime | uptime [localtime] [msec] [show-timezone]
Чтобы в журнал заносилось время события в нормальном формате надо предварительно выполнить команду:
service timestamps log datetime localtime show-timezone
Накопление журнала в буфере:
logging buffered
Посмотреть журнал, накопленный в буфере и состояние подсистемы журнализации:
show logging
Уровень серьезности, начиная с которого информация выводится на консоль:
logging console уровень
Уровень серьезности, начиная с которого информация выводится на монитор (терминальная линия, на которой выдана команда: term monitor):
logging monitor уровень
Уровень серьезности, начиная с которого информация выводится на внешний syslog-сервер:
logging trap уровень
Задание метки источника сообщения (facility), которым будут помечены сообщения, посылаемые на внешний syslog-сервер:
logging facility local0
Задание адреса внешнего сервера syslog (сообщения могут передаваться на несколько внешних серверов):
logging ip-address
Задание исходного IP-адреса сообщений журнализации (по умолчанию - адрес интерфейса, через который сообщение выходит из маршрутизатора):
logging source-interface type number
Распределение сообщений по уровням серьезности согласно документации:
* сбои в работе IOS или оборудования - err
* отладочный вывод - warning
* подъем и падение интерфейсов - notice
* нарушения ACL - уровень info
* перезагрузка -info
Распределение сообщений по уровням серьезности на практике:
* сбои - critical
* подъем и падение интерфейсов (LINK-3_UPDOWN) - err
* замечания по конфигурации - warn
* линейный протокол (LINEPROTO-5-UPDOWN, LINK-5-CHANGED) - notice
* сообщения о конфигурации (SYS-5-CONFIG_I) - notice
* нарушения ACL (SEC-6-IPACCESSLOG) - уровень info
0 коммент.:
Отправить комментарий