路由器日志故障排除的技巧匯總

1、路由器日志故障排除的技巧匯總路由器日志故障排除的技巧匯，路由器日志故障的解決問題是很值得我們探討的，在認識 syslog設備”里設置好時間段，然后在防火墻配置里面啟動時間段的某些功能就基本上OK 了。日志對于網(wǎng)絡安全來說非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他 來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。路由器是各種信息傳輸?shù)臉屑~， 被廣泛用于企事業(yè)單位的網(wǎng)絡建設中，承擔著局域網(wǎng)之間及局域網(wǎng)與廣域網(wǎng)之問連接的重 任。Cisco是目前使用比較廣泛的一種路由器，在許多行業(yè)系統(tǒng)中有非常普遍的應用。以下是筆 者在日常工作中積累的一些對Cisco路由器日志故障方面的經(jīng)驗，這

2、些實例都在實際應用中 調(diào)試通過并投入使用，供大家參考。路由器的一些重要信息可以通過syslog機制在內(nèi)部網(wǎng)絡的Unix主機上作路由器日志故障。 在路由器運行過程中，路由器會向日志主機發(fā)送包括鏈路建立失敗信息、包過濾信息等等日 志信息，通過登錄到日志主機，網(wǎng)絡管理員可以了解日志事件，對日志文件進行分析，可以 幫助管理員進行故障定位、故障排除和網(wǎng)絡安全管理。認識syslog設備首先介紹一下syslog設備，它是標準Unix，的跟蹤記錄機制，syslog可以記錄本地的一些 事件或通過網(wǎng)絡記錄另外一個主機上的事件，然后將這些信息寫到一個文件或設備中，或給 用戶發(fā)送一個信息。syslog機制主要依據(jù)兩個

3、重要的文件:/etc/syslogd（守護進程）和/etc /syslog.conf配置文件， syslogd的控制是由/etc/syslog.conf來做的。syslog.conf文件指明syslogd程序記錄路由器日 志故障的行為，該程序在啟動時查詢syslog.conf配置文件。該文件由不同程序或消息分類的單個條目組成，每個占一行。對每類消息提供一個選擇域和 一個動作域。這些域由tab隔開（注意:只能用tab鍵來分隔，不能用空格鍵），其中選擇域指 明消息的類型和優(yōu)先級;動作域指明sysloqd接收到一個與選擇標準相匹配的消息時所執(zhí)行 的動作。每個選項是由設備和優(yōu)先級組成。也就是說第一欄寫

4、”在什么情況下”及”什么程度”。然后 用TAB鍵跳到下一欄繼續(xù)寫”符合條件以后要做什么”。當指明一個優(yōu)先級時，syslogd將記 錄二個擁有相同或更高優(yōu)先級的消息。每行的行動域指明當選擇域選擇了一個給定消息后應 該把他發(fā)送到哪兒。第一欄包含了何種情況與程度，中間用小數(shù)點分隔。詳細的設定方式如 下:電腦知識電腦技巧，綠色、破解實用軟件下載1.在什么情況下記錄各種不同的情況以下面的宇串來決定:auth關于系統(tǒng)安全與使用者認證；cron關于系統(tǒng)自動排序執(zhí)行(CronTable);daemon關于背景執(zhí)行程序；ken關于系統(tǒng)核心；Ipr關于打印機；mail關于電子郵件；news關于新聞討論區(qū)；sysl

5、og關于系統(tǒng)記錄本身；user關于使用者；uucp 關于 UNIX 互拷(UUCP)。什么程度才記錄P例如你要系統(tǒng)去記錄info等級的事件，則notice、err、warning、Crit、alert、emerg等在info 等級以上的也會被一并記錄下來。把上面所寫的1、2項以小數(shù)點組合起來就是完整的”要記 錄哪些東西”的寫法。例如表示關于電子郵件傳送系統(tǒng)的一般性信息。auth.emerg就是關于系統(tǒng)安全方 面相當嚴重的信息pr.none表示不要記錄關于打印機的信息(通常用在有多個紀錄條件時組 合使用)。另外有三種特殊的符號可供應用：星號(*):代表某一細項中所有項目。例如mail.*表示只要

6、有關mail的，不管什么程度都要 記錄下來。而*.info會把所有程度為infn的事件給記錄下來。等號(=):表示只記錄目前這一等級，其上的等級不要記錄。例如上面的例子，平常寫下info 等級時，也會把位于info等級上面的notice.err.warning、crit、alert、emerg等其他等級也記 錄下來。但若你寫=info則就只有記錄info這一等級了。驚嘆號:表示不要記錄目前這一等級及其上的等級。記錄存放的位置sysloqd提供下列方法供您記錄系統(tǒng)發(fā)生的事件:一般文件，這是最普遍的方式。你可以指定 好文件路徑與文件名稱，但是必須以目錄符號”/”開始，系統(tǒng)才會知道這是一個文件。例如

7、 /var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的文件。如果之前沒有這個文 件，系統(tǒng)會自動產(chǎn)生一個。指定的終端機或其他設備：你也可以將系統(tǒng)記錄寫到一個終端機或是設備上。若將系統(tǒng)記錄寫到終端機，則目前正在使 用該終端機的使用者就會直接在屏幕上看到系統(tǒng)信息、(例如/dev/conso舊或是/dev/tty1，你可 以拿一個屏幕專門來顯示系統(tǒng)信息)。若將系統(tǒng)記錄寫到打印機(例如/dev/!p0)。，則你會有一 長條印滿系統(tǒng)記錄的紙，這樣網(wǎng)絡入侵者就不能修改路由器日志故障來隱藏入侵痕跡。指定的遠端主機: 如果你不將系統(tǒng)信息記錄在本地機器上，你可以寫下網(wǎng)絡中另一個

8、主機的名稱，然后在主機 名稱前面加上”符號（例如（），但被你指定的主機上必須要有sysloqd）。 這可以防止由于硬盤錯誤等情況使路由器日志故障文件丟失。以上就是syslog各項記錄程度及記錄方式的寫法，可以依照自己的需求記錄下自己所需要 的內(nèi)容。但是這些記錄都是一直追加上去的，除非將文件自行刪除掉，否則這些文件就會越 來越大。Syslog設備是一個網(wǎng)絡攻擊者的顯著目標，通過修改日志來隱藏入侵痕跡，因此我 們要特別注意。最好養(yǎng)成每周（或更短的時間）定期檢查一次記錄文件的習慣，并將過期的記錄文件依照流水 號或是日期備份，以后查閱時也比較容易。千萬不要記錄下*.*，這樣無論什么都被記錄下 來，結果會導致文件太大，要找資料時根本無法馬上找出來。有人在記錄網(wǎng)絡日志時，連誰 去ping他的主