32-信息中心操作
本章节下载: 32-信息中心操作 (308.8 KB)
目 录
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理。通过与调试程序(debugging命令)结合,信息中心为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
系统的信息中心具有以下一些特性:
信息中心共有三类信息:
l log类:日志类信息
l trap类:告警类信息
l debug类:调试类信息
信息按重要性划分为八种等级,可按等级进行信息过滤。系统信息的信息级别值越小,紧急程度越高。
信息级别 |
数值 |
描述 |
emergencies |
1 |
系统不可用信息 |
alerts |
2 |
需要立刻做出反应的信息 |
critical |
3 |
严重信息 |
errors |
4 |
错误信息 |
warnings |
5 |
警告信息 |
notifications |
6 |
正常出现但是重要的信息 |
informational |
7 |
需要记录的通知信息 |
debugging |
8 |
调试过程产生的信息 |
系统进行信息过滤时采用的规则是:禁止信息级别大于所设置阈值的信息输出。
l 当设置信息级别的取值为1时,系统只会输出emergencies信息;
l 当设置信息级别的取值为8时,系统将输出所有级别的信息。
系统支持向以下六个方向发送系统信息:控制台(console)、监视终端(monitor)、日志缓冲区(logbuffer)、日志主机(loghost)、告警缓冲区(trapbuffer)和SNMP。
系统支持十个通道,其中0~5六个通道有缺省通道名,并且这六个通道缺省的与六个输出方向相关联。可以通过命令改变通道名,也可以通过命令改变通道与输出方向之间的关联。
通道编号 |
通道的缺省名称 |
通道的缺省输出方向 |
0 |
console |
控制台(可以接收log、trap、debug信息) |
1 |
monitor |
监视终端(可以接收log、trap、debug信息,方便远程维护) |
2 |
loghost |
日志主机(可以接收log、trap、debug信息,通常系统信息在日志主机以文件的方式存储,以便查询) |
3 |
trapbuffer |
告警缓冲区(可以接收trap信息,是设备内部的一块缓存,用于记录信息) |
4 |
logbuffer |
日志缓冲区(可以接收log信息,是设备内部的一块缓存,用于记录信息) |
5 |
snmpagent |
SNMP网络管理工作站(可以接收trap信息) |
6 |
channel6 |
未指定(可以接收log、trap、debug信息) |
7 |
channel7 |
未指定(可以接收log、trap、debug信息) |
8 |
channel8 |
未指定(可以接收log、trap、debug信息) |
9 |
channel9 |
未指定(可以接收log、trap、debug信息) |
六个方向的设置相互独立,但首先需要开启信息中心,其余的设置才会生效。
系统信息可按来源模块进行分类,进而进行信息过滤。部分信息来源模块的名称及说明请参见表1-3。
模块名 |
说明 |
8021X |
802.1X模块 |
ACL |
访问控制列表(Access Control List)模块 |
ADBM |
地址表模块(ADdress Base Module) |
AM |
访问管理(Access Management)模块 |
ARP |
地址解析协议(Address Resolution Protocol)模块 |
CMD |
命令行模块 |
DEV |
设备管理模块 |
DNS |
域名系统(Domain Name System)模块 |
ETH |
以太网(Ethernet)模块 |
FIB |
转发模块 |
FTPS |
FTP服务器模块 |
HA |
高可靠性(High Availability)模块 |
HABP |
华为认证旁路协议(Huawei Authentication Bypass Protocol)模块 |
HTTPD |
HTTP服务器模块 |
HWCM |
华为配置管理(Huawei Configuration Management)私有MIB模块 |
HWP |
HWPing模块 |
IFNET |
接口管理模块 |
IGSP |
IGMP snooping模块 |
IP |
互联网协议(Internet Protocol)模块 |
LAGG |
链路聚合模块 |
LINE |
终端线模块 |
MSTP |
多生成树协议(Multiple Spanning Tree Protocol)模块 |
NAT |
网络地址转换(Network Address Translation)模块 |
NDP |
邻居发现协议(Neighbor Discovery Protocol)模块 |
NTDP |
网络拓扑发现协议(Network Topology Discovery Protocol)模块 |
NTP |
网络时间协议(Network Time Protocol)模块 |
RDS |
Radius模块 |
RMON |
远程监控(Remote monitor)模块 |
RSA |
RSA加密系统(Revest,Shamir and Adleman)模块 |
SHELL |
用户界面模块 |
SNMP |
简单网络管理协议(Simple Network Management Protocol)模块 |
SOCKET |
套接字模块 |
SSH |
安全用户界面(Secure Shell)模块 |
SYSMIB |
系统管理MIB模块 |
TAC |
HWTACACS模块 |
TELNET |
远程登录Telnet模块 |
TFTPC |
TFTP Client模块 |
VLAN |
虚拟局域网(Virtual Local Area Network)模块 |
VTY |
虚拟类型终端(Virtual Type Terminal)模块 |
XM |
Xmodem模块 |
default |
所有模块的缺省设置 |
总之,信息中心的主要工作就是将各种模块的三种类型的信息,按照八种信息级别,通过用户选择的信息通道,将系统信息定位到六个输出方向发送出去。
l 当输出方向为控制台、监视终端、日志缓冲区、告警缓冲区或SNMP时,系统信息的格式如下:
timestamp sysname module/level/digest: - unitid -content
对应的中文格式为:
时间戳 主机名 模块名/信息级别/信息摘要:信息文本
l 以上格式中空格、斜杠(/)、冒号(:)是必须的。
l 时间戳前面会有百分号(%)或井字符号(#)或米字符号(*),分别代表该条信息是日志信息或告警信息或调试信息。
以输出到监视终端的日志信息为例,显示格式如下:
%Dec 6 10:44:55:283 2006 Sysname NTP/5/NTP_LOG:- 1 - NTP service enable
(其中,“- 1 -”表示设备的Unit编号为1。)
l 当输出方向为日志主机时,交换机与日志主机之间遵循syslog协议,根据RFC3164(The BSD syslog Protocol)规定,系统信息遵循如下格式:
<Int_16>timestamp sysname %%nnmodule/level/digest: source content
l 如果在交换机的信息中心中指定了日志主机的地址,当日志信息产生时,交换机会按上述格式将日志信息发往日志主机,具体配置可参考1.2.6 配置信息发送到日志主机。
l 在Unix,Linux平台上有syslog进程,只要开启此进程就能够接收交换机发出的日志信息;在Windows平台下可以安装特定软件来作为syslog主机。
l 需要注意的是:一些日志主机软件会对收到的信息进行解析,并修改信息格式,造成用户在日志主机上查看到的日志格式与上述描述有差异,请用户以实际情况为准。
下面对信息的每一个字段做详细说明。
优先级的计算按如下公式:facility*8+severity-1。
l facility(工具名称)默认为local7,值为23(local6为22,依此类推);
l severity(信息级别)的取值范围为1~8,信息级别具体含义请参见表1-1。
优先级字段只有在信息发往日志主机上时才会出现。
时间戳记录了系统信息产生的时间,方便用户查看和定位系统事件。
时间戳与主机名之间以一个空格隔开。
时间戳格式分为两种:
(1) 在时间戳中不带UTC(Universal Time Coordinated,通用协调时间)时间时的格式为“Mmm dd hh:mm:ss:ms yyyy”。
(2) 在时间戳中带UTC时间时的格式为“Mmm dd hh:mm:ss:ms yyyy [GMT +|- hh:mm:ss]”。
各字段解释如下:
l “Mmm”为月份的英文缩写,即为如下的值:Jan、Feb,Mar、Apr、May、Jun、Jul、Aug、Sep、Oct、Nov和Dec。
l “dd”为日期,如果日期的值小于10,则必须写为“空格+日期”,如“ 7”。
l “hh:mm:ss:ms”为本地时间。hh采用24小时制,从00到23;分钟和秒的值均从00到59;毫秒取值为000到999。(需要注意的是:信息中心发往日志主机的系统信息的时间戳不带毫秒信息;发往控制台、监视终端、日志缓冲区、告警缓冲区或SNMP的系统信息会精确到毫秒)
l “yyyy”为年份。
l “[GMT +|- hh:mm:ss]”为UTC时间,表示和格林尼治标准时间的时差值。
由于网络中交换机可能分布在不同时区,此时各交换机信息中心输出信息的时间戳显示的均为当地时间,不便于用户全面定位处理问题。当配置信息中心发往各输出方向的信息时间戳中带有UTC时间时,用户可以根据该时间戳了解信息中心处理信息的时间。即,在输出信息中加入UTC时间后,用户可根据时间戳中的UTC记录,得知网络中各交换机信息所对应的格林尼治标准时间。
要使信息中心输出信息的时间戳中显示UTC时间,需同时满足以下三个条件:
l 配置本地时区信息;
l 配置信息中心输出方向的时间戳格式时间戳为date类型;
l 配置信息中心输出信息中显示UTC时间。
满足以上条件后,在信息中心输出的信息中可以显示UTC时间。例如:
%Dec 8 10:12:21:708 2006 [GMT+08:00:00] Sysname SHELL/5/LOGIN:- 1 - VTY(1.1.0.2) in unit1 login
主机名是本地交换机的系统名,默认为“H3C”。
用户可以使用sysname命令修改主机名,具体操作请参见本手册“系统维护与调试”部分的介绍。
主机名与模块名之间以一个空格隔开。
该字段为标志厂商的前导字符,只有在信息发往日志主机上时才出现。
该字段为syslog的版本标识,只有在信息发往日志主机上时才出现。
该字段表示产生信息的功能模块的名称。模块列表可以通过在系统视图下输入命令info-center source ?查看到。信息来源模块的名称及说明请参见表1-3。模块名与信息级别之间以一个斜杠(/)隔开。
系统信息的级别共分为8级,从1~8,它们的定义和说明请参见表1-1。信息级别与信息摘要之间以一个斜杠(/)隔开。
信息摘要是一个不超过32个字符的字符串,表示该信息的内容大意。
信息摘要与信息文本之间以一个冒号(:)隔开。
输出方向为日志主机的系统信息,如果该字符串以“(l)”结尾则表示该信息为Log信息,如果该字符串以“(t)”结尾则表示该信息为Trap信息,如果该字符串以“(d)”结尾则表示该信息为Debug信息。
该字段表示信息的产生者,比如日志发送者的源IP地址,该字段可选,且只有在信息发往日志主机上时才有效。
信息文本表示了该条系统信息的具体内容。
表1-4 信息中心配置任务简介
配置任务 |
说明 |
详细配置 |
配置同步信息输出功能 |
可选 |
|
配置带UTC的时间戳显示功能 |
可选 |
|
配置信息发送到控制台 |
可选 |
|
配置信息发送到监视终端 |
可选 |
|
配置信息发送到日志主机 |
可选 |
|
配置信息发送到告警缓冲区 |
可选 |
|
配置信息发送到日志缓冲区 |
可选 |
|
配置信息发送到SNMP网络管理工作站 |
可选 |
同步信息输出是指当用户在输入命令时有日志、告警或调试信息输出,则在系统信息输出后会回显命令行提示符(在命令编辑状态回显提示符,交互状态回显“[Y/N]”字符串)和用户已有的输入。
此功能用于用户在进行操作(操作还没有完成)却被大量的系统信息打断时,回显用户的上一步操作,用户可以接着执行上一步的操作。
表1-5 配置同步信息输出功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启同步信息输出功能 |
info-center synchronous |
必选 缺省情况下,同步信息输出功能处于关闭状态 |
l 在当前命令行提示符下,如果用户没有任何输入,此时若有日志等系统信息输出,输出后将不会回显命令行提示符;
l 当处在交互状态,需要用户输入一些交互信息时(非Y/N确认信息),因为情况各异,所以若有系统信息输出,输出后不再回显提示信息,而只是将用户已有的输入换行打印出来。
要使信息中心输出信息的时间戳中显示UTC时间,需同时满足以下三个条件:
l 配置本地时区信息;
l 配置信息中心输出方向的时间戳格式时间戳为date类型;
l 配置信息中心输出信息中显示UTC时间。
表1-6 配置带UTC的时间戳显示功能
操作 |
命令 |
说明 |
|
设置系统所在的时区 |
clock timezone zone-name { add | minus } time |
必选 缺省情况下,系统时区为UTC时区 |
|
进入系统视图 |
system-view |
- |
|
设置信息中心输出方向的时间戳格式时间戳为date类型 |
日志主机方向 |
info-center timestamp loghost date |
必选 二选一 |
非日志主机方向 |
info-center timestamp { log | trap | debugging } date |
||
设置信息中心输出信息中显示UTC时间 |
info-center timestamp utc |
必选 缺省情况下,输出信息中不显示UTC时间 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向控制台方向输出系统信息 |
info-center console channel { channel-number | channel-name } |
可选 缺省情况下,交换机使用0号通道向控制台输出日志/调试/告警信息 |
设置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置输出信息的时间戳格式 |
info-center timestamp { log | trap | debugging } { boot | date | none } |
可选 缺省情况下,输出日志和告警信息的时间戳格式为date;调试信息的时间戳格式为boot |
当用户需要查看交换机某些模块的调试信息时,需要在设置系统信息的输出规则时将信息类别选择为debug,并使用debugging命令开启相应模块的调试开关。
输出方向 |
允许输出的模块 |
LOG |
TRAP |
DEBUG |
|||
开关 |
级别 |
开关 |
级别 |
开关 |
级别 |
||
控制台 |
default(所有模块) |
开 |
warnings |
开 |
debugging |
开 |
debugging |
监视终端 |
default(所有模块) |
开 |
warnings |
开 |
debugging |
开 |
debugging |
日志主机 |
default(所有模块) |
开 |
informational |
开 |
debugging |
关 |
debugging |
告警缓冲区 |
default(所有模块) |
关 |
informational |
开 |
warnings |
关 |
debugging |
日志缓冲区 |
default(所有模块) |
开 |
warnings |
关 |
debugging |
关 |
debugging |
SNMP网络管理站 |
default(所有模块) |
关 |
debugging |
开 |
warnings |
关 |
debugging |
在配置将系统信息发送到控制台后,为了能在控制台上观察到输出的信息,还要开启控制台对相应信息的显示功能。请在用户视图下进行以下操作。
操作 |
命令 |
说明 |
开启终端调试/日志/告警信息显示功能 |
terminal monitor |
可选 缺省情况下,终端调试/日志/告警信息显示功能处于开启状态 |
开启终端调试信息显示功能 |
terminal debugging |
可选 缺省情况下,终端调试信息显示功能处于关闭状态 |
开启终端日志信息显示功能 |
terminal logging |
可选 缺省情况下,终端调试信息显示功能处于开启状态 |
开启终端告警信息显示功能 |
terminal trapping |
可选 缺省情况下,终端调试信息显示功能处于开启状态 |
当使用terminal debugging、terminal logging、terminal trapping三条命令用于开启相应系统信息的显示功能时,请确定终端调试/日志/告警信息显示功能(terminal monitor)处于开启状态。
系统信息可以发往控制台,也可以发往监视终端。监视终端是指以AUX、VTY、TTY类型用户界面登录的用户终端。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向Telnet终端或哑终端输出系统信息 |
info-center monitor channel { channel-number | channel-name } |
可选 缺省情况下,交换机使用1号通道向用户终端输出日志/调试/告警信息 |
配置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置输出信息的时间戳格式 |
info-center timestamp { log | trap | debugging } { boot | date | none } |
可选 缺省情况下,输出日志和告警信息的时间戳格式为date;调试信息的时间戳格式为boot |
l 同时有多个Telnet用户或哑终端用户时,各个用户之间共享一些配置参数,其中包括按模块过滤设置,严重等级阈值,某一个用户改变这些设置时,在别的用户端也有所反映。
l 当用户需要查看交换机某些模块的调试信息时,需要在设置系统信息的输出规则时将信息类别选择为debug,并使用debugging命令开启相应模块的调试开关。
在配置将系统信息发送到监视终端后,为了能在监视终端上观察到输出的信息,还要开启监视终端对相应信息的显示功能。
操作 |
命令 |
说明 |
开启调试/日志/告警信息显示功能 |
terminal monitor |
可选 缺省情况下,终端调试/日志/告警信息显示功能处于开启状态 |
开启终端调试信息显示功能 |
terminal debugging |
可选 缺省情况下,终端调试信息显示功能处于关闭状态 |
开启终端显示日志信息功能 |
terminal logging |
可选 缺省情况下,终端调试信息显示功能处于开启状态 |
开启终端告警信息显示功能 |
terminal trapping |
可选 缺省情况下,终端调试信息显示功能处于开启状态 |
当使用terminal debugging、terminal logging、terminal trapping三条命令用于开启相应系统信息的显示功能时,请确定终端调试/日志/告警信息显示功能(terminal monitor)处于开启状态。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向日志主机输出系统信息 |
info-center loghost host-ip-addr [ channel { channel-number | channel-name } | facility local-number ]* |
必选 缺省情况下,交换机不向日志主机输出信息 配置交换机向日志主机输出信息后,缺省使用2号通道 |
设置系统向日志主机发送日志信息的源接口 |
info-center loghost source interface-type interface-number |
可选 缺省情况下,没有配置向日志主机发送日志信息的源接口,系统会自动选择一个接口作为源接口 |
配置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置发往日志主机的时间戳格式 |
info-center timestamp loghost { date | no-year-date | none } |
可选 缺省情况下,发往日志主机的信息的时间戳格式为date |
使用命令info-center loghost配置日志主机的IP地址时,请输入正确的IP地址。如果用户输入的是环回地址,系统将提示此地址无效。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向告警缓冲区输出系统信息 |
info-center trapbuffer [ channel { channel-number | channel-name } | size buffersize ]* |
可选 缺省情况下,交换机使用3号通道向告警缓冲区输出告警信息,缓冲区默认可以存储256条 |
配置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置输出信息的时间戳格式 |
info-center timestamp { log | trap | debugging } { boot | date | none } |
可选 缺省情况下,输出告警信息的时间戳格式为date |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向日志缓冲区输出信息 |
info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ]* |
可选 缺省情况下,交换机使用4号通道向日志缓冲区输出日志信息,缓冲区默认可以存储512条 |
设置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置输出信息的时间戳格式 |
info-center timestamp { log | trap | debugging } { boot | date | none } |
可选 缺省情况下,输出日志信息的时间戳格式为date |
表1-15 配置信息发送到SNMP网络管理工作站
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
设置系统向SNMP工作站输出信息 |
info-center snmp channel { channel-number | channel-name } |
可选 缺省情况下,交换机使用5号通道向SNMP输出告警信息 |
设置系统信息的输出规则 |
info-center source { modu-name | default } channel { channel-number | channel-name } [ { log | trap | debug } { level severity | state state } ]* |
可选 缺省情况下,系统信息的输出规则参见表1-8 |
设置输出信息的时间戳格式 |
info-center timestamp { log | trap | debugging } { boot | date | none } |
可选 缺省情况下,发送到SNMP的信息的时间戳格式为date |
为了使信息可以正确发送到SNMP工作站,交换机上还需要对SNMP进行配置,同时在远端的网管工作站上也需要作相应的配置。这样才能在网管工作站上获得正确的信息。
在完成上述配置后,在任意视图下执行display命令可以显示配置后信息中心的运行情况。用户可以通过查看显示信息验证配置的效果。在用户视图下执行reset命令可以清除日志缓冲区和告警缓冲区内的信息。
操作 |
命令 |
说明 |
显示信息通道的内容 |
display channel [ channel-number | channel-name ] |
display命令可以在任意视图下执行 |
显示信息中心工作状态、各信息输出通道的配置、时间戳格式 |
display info-center [ unit unit-id ] |
|
显示交换机日志缓冲区的状态和缓冲区记录的日志信息 |
display logbuffer [ unit unit-id ] [ level severity | size buffersize ]* [ | { begin | exclude | include } regular-expression ] |
|
显示交换机日志缓冲区的概要信息 |
display logbuffer summary [ level severity ] |
|
显示交换机告警缓冲区的状态和缓冲区记录的告警信息 |
display trapbuffer [ unit unit-id ] [ size buffersize ] |
|
清除日志缓冲区内的信息 |
reset logbuffer [ unit unit-id ] |
reset命令在用户视图下执行 |
清除告警缓冲区内的信息 |
reset trapbuffer [ unit unit-id ] |
交换机的日志信息发送到Unix日志主机上,日志主机的IP地址为202.38.1.10,只允许严重性高于informational的日志信息发送到日志主机上,允许输出信息的模块为ARP和IP。
图1-1 组网示意图(Unix日志主机)
(1) 交换机上的配置。
# 开启信息中心。
<Switch> system-view
[Switch] info-center enable
# 关闭所有模块向日志主机通道输出信息的功能。
[Switch] undo info-center source default channel loghost
# 将IP地址为202.38.1.10的主机用作日志主机,只允许严重等级高于informational的日志信息输出至日志主机,允许输出信息的模块为ARP和IP。
[Switch] info-center loghost 202.38.1.10 facility local4
[Switch] info-center source arp channel loghost log level informational debug state off trap state off
[Switch] info-center source ip channel loghost log level informational debug state off trap state off
(2) 日志主机上的配置。
下面的配置示例是在SunOS 4.0上完成的,在其它厂商的Unix操作系统上的配置操作基本与之相似。
第一步:以超级用户(root)的身份执行以下命令。
# mkdir /var/log/Switch
# touch /var/log/Switch/information
第二步:以超级用户(root)的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action pairs)。
# Switch configuration messages
local4.info /var/log/Switch/information
在编辑/etc/syslog.conf时应注意以下问题:
l 注释只允许独立成行,并以字符# 开头。
l 选择/动作组合之间必须以一个制表符分隔,而不能输入空格。
l 在文件名之后不得有多余的空格。
l /etc/syslog.conf中指定的设备名及接受的日志信息级别与交换机上配置的info-center loghost和info-center source命令中的相应参数应保持一致,否则日志信息可能无法正确输出到日志主机上。
第三步:当日志文件information建立且/etc/syslog.conf文件被修改了之后,应通过执行以下命令给系统守护进程syslogd一个HUP信号来使syslogd重新读取它的配置文件/etc/syslog.conf。
# ps -ae | grep syslogd
147
# kill -HUP 147
进行以上操作之后,交换机系统就可以在相应的日志文件中记录信息了。
综合配置设备名称(facility)、严重等级阈值(severity)、模块名称(filter)以及syslog.conf文件,可以进行相当细致的分类,达到信息筛选的目的。
交换机的日志信息发送到Linux日志主机上,日志主机的IP地址为202.38.1.10,只允许严重性高于errors的日志信息发送到日志主机上,允许输出信息的模块为所有模块。
图1-2 组网示意图(Linux日志主机)
(1) 交换机上的配置。
# 开启信息中心。
<Switch> system-view
[Switch] info-center enable
# 将IP地址为202.38.1.10的主机用作日志主机,只允许严重等级高于errors的日志信息输出至日志主机,允许输出信息的模块为所有模块。
[Switch] info-center loghost 202.38.1.10 facility local7
[Switch] info-center source default channel loghost log level errors debug state off trap state off
(2) 日志主机上的配置。
第一步:以超级用户(root)的身份执行以下命令。
# mkdir /var/log/Switch
# touch /var/log/Switch/information
第二步:以超级用户(root)的身份编辑文件/etc/syslog.conf,加入以下选择/动作组合(selector/action pairs)。
# Switch configuration messages
local7.info /var/log/Switch/information
在编辑/etc/syslog.conf时应注意以下问题:
l 注释只允许独立成行,并以字符# 开头。
l 选择/动作组合之间必须以一个制表符分隔,而不能输入空格。
l 在文件名之后不得有多余的空格。
l /etc/syslog.conf中指定的设备名及接受的日志信息级别与交换机上配置的info-center loghost和info-center source命令中的相应参数应保持一致,否则日志信息可能无法正确输出到日志主机上。
第三步:当日志文件information建立且/etc/syslog.conf文件被修改了之后,应通过执行以下命令查看系统守护进程syslogd的进程号,杀死syslogd进程,并重新用-r选项在后台启动syslogd。
# ps -ae | grep syslogd
147
# kill -9 147
# syslogd -r &
对于Linux日志主机,必须保证syslogd进程是以-r选项启动。
进行以上操作之后,交换机系统就可以在相应的日志文件中记录信息了。
综合配置设备名称(facility)、严重等级阈值(severity)、模块名称(filter)以及syslog.conf文件,可以进行细致的分类,达到信息筛选的目的。
交换机的严重性高于informational的日志信息将会发送到控制台上,允许输出信息的模块为ARP和IP。
# 开启信息中心。
<Switch> system-view
[Switch] info-center enable
# 关闭所有模块向控制台通道输出信息的功能。
[Switch] undo info-center source default channel console
# 配置向控制台方向输出日志信息,只允许严重等级高于informational的日志信息输出至控制台,允许输出信息的模块为ARP和IP。
[Switch] info-center console channel console
[Switch] info-center source arp channel console log level informational debug state off trap state off
[Switch] info-center source ip channel console log level informational debug state off trap state off
# 开启终端显示功能。
<Switch> terminal monitor
<Switch> terminal logging
l 交换机本地时区为GMT+ 08:00:00;
l 日志信息的时间戳输出格式为date类型;
l 信息中心输出信息中显示UTC时间。
图1-4 组网示意图
# 配置本地时区名称为z8,比UTC标准时间增加8小时。
<Switch> clock timezone z8 add 08:00:00
# 配置日志信息的时间戳输出格式为date类型。
<Switch> system-view
System View: return to User View with Ctrl+Z.
[Switch] info-center timestamp loghost date
# 配置信息中心输出信息中显示UTC时间。
[Switch] info-center timestamp utc
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!