03-信息中心配置
本章节下载: 03-信息中心配置 (419.65 KB)
信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。
信息中心的工作过程如下:
· 接收各模块生成的日志信息(log)、告警信息(trap)和调试信息(debug)。
· 根据用户设置的输出规则,将信息输出到信息通道。
· 根据信息通道和输出方向的关联,将信息输出到不同方向。
概括来说,信息中心的主要工作就是将三种信息,按照八个严重等级,分配到十个信息通道中,再输出到多个方向,图1-1描述了缺省情况下,三种信息分别可以分配到哪些信息通道,每个信息通道对应哪个输出方向。下面将进行详细介绍。
信息中心缺省情况下处于开启状态。在信息中心开启时,特别是在处理信息较多时,由于信息分类、输出的原因,对系统性能有一定的影响。
信息中心的系统信息共分为三类:
· log类,日志类信息
· trap类,告警类信息
· debug类,调试类信息
信息按严重性划分为八个等级,严重性由高到底的顺序依次为:emergencies、alerts、critical、errors、warnings、notifications、informational和debugging。根据信息级别输出信息时,将会输出信息级别高于或等于所设置级别的信息。比如,输出规则中指定允许级别为informational的信息输出,则级别为emergencies~informational的信息均会输出。
信息级别 |
数值 |
描述 |
emergencies |
0 |
系统不可用信息 |
alerts |
1 |
需要立刻做出反应的信息 |
critical |
2 |
严重信息 |
errors |
3 |
错误信息 |
warnings |
4 |
警告信息 |
notifications |
5 |
正常出现但是重要的信息 |
informational |
6 |
需要记录的通知信息 |
debugging |
7 |
调试过程产生的信息 |
系统支持十个通道,缺省情况下,通道0~6和通道9已经定义了通道名、输出规则和输出方向。可以通过命令改变通道名、输出规则和输出方向,用户还可以在不改变通道0~6和通道9缺省配置的情况下,配置通道7和通道8,将他们与输出方向关联,以便对输出的系统信息实施配置的过滤规则。
通道编号 |
通道的缺省名称 |
通道的缺省输出方向 |
说明 |
0 |
console |
控制台 |
可以接收log、trap、debug信息 |
1 |
monitor |
监视终端 |
可以接收log、trap、debug信息,方便远程维护 |
2 |
loghost |
日志主机 |
可以接收log、trap、debug信息,通常系统信息在日志主机以文件的方式存储,以便查询 |
3 |
trapbuffer |
告警缓冲区 |
可以接收trap信息,是设备内部的一块缓存,用于记录信息 |
4 |
logbuffer |
日志缓冲区 |
可以接收log信息,是设备内部的一块缓存,用于记录信息 |
5 |
snmpagent |
SNMP模块 |
可以接收trap信息 |
6 |
channel6 |
Web页面 |
可以接收log信息 |
7 |
channel7 |
未指定 |
可以接收log、trap、debug信息 |
8 |
channel8 |
未指定 |
可以接收log、trap、debug信息 |
9 |
channel9 |
日志文件 |
可以接收log、trap、debug信息 |
系统由众多的协议模块、配置模块构成,系统信息可按来源模块进行划分,并过滤输出。系统支持的来源模块可以通过info-center source ?命令的帮助信息获取。
缺省输出规则规定了各个输出方向可以输出的信息模块、输出的信息类型以及输出的信息级别,如表1-3所示。该表表明,缺省情况下:
· 允许所有模块的所有log信息发往Web页面和日志文件;允许所有模块的高于或等于informational级别的log信息发往日志主机;允许所有模块的高于或等于informational级别的log信息发往控制台、监视终端和日志缓冲区;所有模块的所有log信息不允许发往告警缓冲区和SNMP模块方向。
· 允许所有模块的所有Trap信息发往控制台、监视终端、日志主机、Web页面和日志文件;允许所有模块的高于或等于informational级别的Trap信息发往告警缓冲区和SNMP模块;所有模块的所有Trap信息不允许发往日志缓冲区方向。
· 允许所有模块的所有debug信息发往控制台和监视终端;所有模块的所有debug信息不允许发往日志主机、告警缓冲区、日志缓冲区、SNMP模块、Web页面和日志文件。
输出方向 |
允许输出的模块 |
LOG |
TRAP |
DEBUG |
|||
开关 |
级别 |
开关 |
级别 |
开关 |
级别 |
||
控制台 |
default(所有模块) |
开 |
informational |
开 |
debugging |
开 |
debugging |
监视终端 |
default(所有模块) |
开 |
informational |
开 |
debugging |
开 |
debugging |
日志主机 |
default(所有模块) |
开 |
informational |
开 |
debugging |
关 |
debugging |
告警缓冲区 |
default(所有模块) |
关 |
informational |
开 |
informational |
关 |
debugging |
日志缓冲区 |
default(所有模块) |
开 |
informational |
关 |
debugging |
关 |
debugging |
SNMP模块 |
default(所有模块) |
关 |
debugging |
开 |
informational |
关 |
debugging |
Web页面 |
default(所有模块) |
开 |
debugging |
开 |
debugging |
关 |
debugging |
日志文件 |
default(所有模块) |
开 |
debugging |
开 |
debugging |
关 |
debugging |
按照系统信息的输出方向不同,系统信息可能有不同格式。
(1) 当输出方向为非日志主机(控制台、监视终端、日志缓冲区、告警缓冲区、SNMP模块和日志文件)时
系统信息格式大致为:
timestamp sysname module/level/digest:content
对应的中文格式为:
时间戳 主机名 模块名/信息级别/信息摘要:信息文本
比如,监视终端与设备相连,当有终端登录设备时,在监视终端可以看到格式如下的日志信息:
%Jan 26 17:08:35:809 2011 Sysname SHELL/4/LOGIN: VTY login from 1.1.1.1
(2) 当输出方向为日志主机时,支持两种输出格式:
· H3C格式
系统信息格式为:
<PRI>timestamp sysname %%vvmodule/level/digest: source content
比如,日志主机与设备相连,当有终端登录设备时,在日志主机可以看到格式如下的日志信息:
<189>Jan 9 14:59:04 2011 MyDevice %%10SHELL/5/SHELL_LOGIN(l):VTY logged in from 192.168.1.21.
· UNICOM格式
系统信息格式为:
<PRI>timestamp sysname vvmodule/level/serial_number: content
比如,日志主机与设备相连,当设备端口Link down时,在日志主机可以看到格式如下的日志信息:
<186>Jan 13 16:48:08 2011 H3C 10IFNET/2/210231a64jx073000020: log_type=port;content=Vlan-interface1 link status is DOWN.
<186>Jan 13 16:48:08 2011 H3C 10IFNET/2/210231a64jx073000020: log_type=port;content=Line protocol on the interface Vlan-interface1 is DOWN.
· 以上格式中的尖括号(< >)、空格、斜杠(/)、冒号(:)是必须的。
· 以上格式是设备给各个输出方向发送的原始信息的格式,可能与用户最终看到的信息格式有差异,最终显示格式与用户使用的日志解析工具有关,请以实际情况为准。
下面对每一个字段做详细说明。
优先级的计算按如下公式:facility*8+severity。Facility表示工具名称,在设置日志主机相关参数的时候可以设置,参数取值为local0~local7,对应的十进制数值为16~23,缺省取值为local7。主要用于在日志主机端标志不同的日志来源,查找、过滤对应日志源的日志。severity(信息级别)的取值范围为0~7,信息级别具体含义请参见表1-1。
本字段只有在信息发往日志主机时才有效。
时间戳记录了系统信息产生的时间,方便用户查看和定位系统事件。发往日志主机的系统信息的时间戳不带毫秒信息,发送到其它方向的系统信息会精确到毫秒;发往日志主机的系统信息的时间戳格式由info-center timestamp loghost命令设置,发送到其它方向的时间戳格式由info-center timestamp命令统一设置。(各时间戳参数的详细描述请见表1-4。)
时间戳参数 |
说明 |
举例 |
boot |
系统启动后经历的时间(即设备的本次运行的持续时间),格式为:xxxxxx.yyyyyy,其中xxxxxx是系统自启动后经历时间的毫秒数高32位,yyyyyy是低32位 除日志主机方向外发往其它方向的系统信息均支持该参数 |
%0.109391473 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中0.109391473即为boot格式的时间戳 |
date |
系统当前的日期和时间,格式为“Mmm dd hh:mm:ss:sss yyyy” 发往所有方向的系统信息均支持该参数 |
%Jan 30 05:36:29:579 2011 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中Jan 30 05:36:29:579 2011即为date格式的时间戳 |
iso |
ISO 8601中规定的时间戳的格式 只有发往日志主机方向的系统信息支持该参数 |
<189>2011-05-30T06:42:44 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully. 其中2011-05-30T06:42:44即为iso格式的时间戳 |
none |
不带时间信息 发往所有方向的系统信息均支持该参数 |
% Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中没有包含时间戳 |
no-year-date |
系统当前日期和时间,但不包含年份信息 只有发往日志主机方向的系统信息支持该参数 |
<189>Jan 30 06:44:22 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully. 其中Jan 30 06:44:22即为no-year-date格式的时间戳 |
· 当使用UNICOM格式将系统信息发送到日志主机,并配置了info-center loghost source时,该字段会显示为生成该日志的设备的IP地址。
· 其它情况下(当使用H3C格式将系统信息发送到日志主机或者发往别的方向),该字段均会显示为生成该日志的设备的名称,即本机的系统名。用户可使用sysname命令修改主机名(具体配置请参见“基础配置命令参考”中的“设备管理”)。
该字段表示本信息由H3C设备生成。
本字段只有在使用H3C格式将系统信息发往日志主机时才出现。
该字段表示syslog的版本标识,取值为10。
本字段只有在信息发往日志主机时才出现。
该字段表示产生信息的功能模块的名称。模块列表可以通过在系统视图下输入命令info-center source ?查看到。
系统信息的级别共分为8级,从0~7,它们的定义和说明请参见表1-1。各模块生成的系统信息的级别在开发阶段已经确定,用户不能更改,但可以使用info-center source命令让指定级别的信息输出,低于该级别的信息不输出。
信息摘要是一个不超过32个字符的字符串,表示该信息的内容大意。
· 对于输出方向为日志主机的系统信息,如果该字符串以“(l)”结尾则表示该信息为Log信息,如果该字符串以“(t)”结尾则表示该信息为Trap信息,如果该字符串以“(d)”结尾则表示该信息为Debug信息。
· 对于输出方向为非日志主机的系统信息,时间戳前面会有百分号(%)或井字符号(#)或米字符号(*),分别代表该条信息是日志信息或告警信息或调试信息。
表示生成该日志的设备的序列号。
该信息只有在使用UNICOM格式将系统信息发往日志主机时才出现。
该字段为可选字段,表示该信息的产生者,只有在使用H3C格式将系统信息发往日志主机时才出现。该字段的具体内容可能为下面的一种:
· IRF的成员设备编号;
· 日志发送者的源IP。
该字段表示了该条系统信息的具体内容。
表1-5 信息中心配置任务简介
配置任务 |
说明 |
详细配置 |
配置信息发送到控制台 |
可选 |
|
配置信息发送到监视终端 |
可选 |
|
配置信息发送到日志主机 |
可选 |
|
配置信息发送到告警缓冲区 |
可选 |
|
配置信息发送到日志缓冲区 |
可选 |
|
配置信息发送到SNMP模块 |
可选 |
|
配置信息发送到Web页面 |
可选 |
|
配置信息保存到日志文件 |
可选 |
|
配置安全日志同步保存和管理功能 |
可选 |
|
配置同步信息输出功能 |
可选 |
|
禁止端口生成Link up/Link down日志信息 |
可选 |
|
配置日志文件写保护 |
可选 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向控制台输出信息的通道 |
info-center console channel { channel-number | channel-name } |
可选 缺省情况下,系统使用0号(console)通道向控制台输出信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
在配置将系统信息发送到控制台后,为了能在控制台上观察到输出的信息,还要开启控制台对相应信息的显示功能。请在用户视图下进行以下操作。
操作 |
命令 |
说明 |
开启控制台对系统信息的监视功能 |
terminal monitor |
可选 缺省情况下,控制台的监视功能处于开启状态,监视终端的监视功能处于关闭状态 |
开启控制台对调试信息的显示功能 |
terminal debugging |
必选 缺省情况下,控制台对调试信息的显示功能处于关闭状态 |
开启控制台对日志信息的显示功能 |
terminal logging |
可选 缺省情况下,控制台对日志信息的显示功能处于开启状态 |
开启控制台对告警信息的显示功能 |
terminal trapping |
可选 缺省情况下,控制台对告警信息的显示功能处于开启状态 |
系统信息可以发往控制台,也可以发往监视终端。监视终端是指以VTY类型用户界面登录的用户终端。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向监视终端输出系统信息的通道 |
info-center monitor channel { channel-number | channel-name } |
可选 缺省情况下,系统使用1号(monitor)通道向监视终端输出系统信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
在配置将系统信息发送到监视终端后,为了能在监视终端上观察到输出的信息,还要开启监视终端对相应信息的显示功能。
操作 |
命令 |
说明 |
开启监视终端对系统信息的监视功能 |
terminal monitor |
必选 缺省情况下,控制台的监视功能处于开启状态,监视终端的监视功能处于关闭状态 |
开启监视终端对调试信息的显示功能 |
terminal debugging |
必选 缺省情况下,监视终端对调试信息的显示功能处于关闭状态 |
开启监视终端对日志信息的显示功能 |
terminal logging |
可选 缺省情况下,监视终端对日志信息的显示功能处于开启状态 |
开启监视终端对告警信息的显示功能 |
terminal trapping |
可选 缺省情况下,监视终端对告警信息的显示功能处于开启状态 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
配置发送的日志信息的源IP地址 |
info-center loghost source interface-type interface-number |
可选 缺省情况下,将根据路由来确定发送日志信息的出接口,使用该接口的主IP地址作为发送的日志信息的源IP地址 |
设置发往日志主机的系统信息的时间戳输出格式 |
info-center timestamp loghost { date | iso | no-year-date | none } |
可选 缺省情况下,发往日志主机的系统信息的时间戳输出格式为date格式 |
设置发往日志主机的系统信息的输出格式为UNICOM格式 |
info-center format unicom |
可选 缺省情况下,发往日志主机的系统信息的格式为H3C格式 |
指定日志主机并设置相关输出参数 |
info-center loghost { host-ipv4-address | ipv6 host-ipv6-address } [ port port-number ] [ dscp dscp-value ] [ channel { channel-number | channel-name } | facility local-number ] * |
必选 缺省情况下,系统不向日志主机输出信息。如果使能系统向日志主机输出信息,则系统默认使用2号(loghost)通道 port-number参数的值需要和日志主机侧的设置一致,否则,日志主机接收不到系统信息 |
用户可以设置将log、trap和debug三种类型的信息发送给告警缓冲区,但告警缓冲区只接收trap信息,其它类型的信息将被丢弃。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向告警缓冲区输出信息以及相关参数 |
info-center trapbuffer [ channel { channel-number | channel-name } | size buffersize ] * |
可选 缺省情况下,系统使用3号(trapbuffer)通道向告警缓冲区输出信息,缓冲区可存储256条信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
用户可以设置将log、trap和debug三种类型的信息发送给日志缓冲区,但日志缓冲区只能接收log信息,trap和debug信息将被丢弃。
操作 |
命令 |
说明 |
进入系统视图 |
- |
|
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向日志缓冲区输出信息以及相关参数 |
info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ] * |
可选 缺省情况下,系统使用4号(logbuffer)通道向日志缓冲区输出信息,缓冲区可存储512条信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
用户可以设置将log、trap和debug三种类型的信息发送给SNMP模块,但SNMP模块只接收trap信息,其它类型的信息将被丢弃。
为了监控设备的运行状况,通常会将Trap信息发送到SNMP NMS(Network Management System,网络管理系统)。此时,首先需要将信息发送给SNMP模块,再设置SNMP模块Trap发送参数,对Trap报文进行进一步的处理(详细介绍请参见“网络管理和监控配置指导”中的“SNMP”)。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向SNMP模块输出信息的通道 |
info-center snmp channel { channel-number | channel-name } |
可选 缺省情况下,系统使用5号(snmpagent)通道向SNMP模块送系统信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]* |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
本特性用于控制是否将系统信息发送到Web页面以及哪些系统信息可以发送到Web页面。因为Web页面提供了丰富的搜索和排序功能,所以,配置该输出方向后,用户通过Web页面登录设备,点击相应的页签就可以方便快捷地查看设备的系统信息。
表1-14 配置信息发送到Web页面
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
为指定编号的信息通道命名 |
info-center channel channel-number name channel-name |
可选 通道的缺省名称请参见表1-2 |
设置系统向Web页面输出信息的通道 |
info-center syslog channel { channel-number | channel-name } |
可选 缺省情况下,系统使用6号通道向Web页面发送系统信息 |
配置系统信息的输出规则 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]* |
可选 缺省情况下,系统信息的输出规则请参见1.1.6 |
设置时间戳输出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可选 缺省情况下,log、trap和debug信息的时间戳输出格式均为date格式 |
用户可以配置将log、trap、debug信息输出到某个通道,但当该通道和Web页面输出方向绑定时,用户登录Web页面时,只能显示特定类型的日志信息,其它类型的信息均会被过滤掉。
通过配置信息保存到日志文件(logfile),用户可以将系统产生的日志信息,按照指定的频率保存到该设备的指定路径下,便于用户在本地随时查看历史操作,保障设备的正常运行。
日志在保存到日志文件前,先保存在日志文件缓冲区(logfile buffer)。系统会按照指定的频率将缓冲区的内容写入日志文件,频率一般配置为24小时,用户也可以手工触发保存,建议在设备比较空闲的时候进行保存。成功保存后,保存前日志文件缓冲区里的内容会被清空。
日志文件有容量限制,当日志文件的大小达到最大值时,设备会将日志文件中最旧的信息删除,再写入新的信息。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
开启日志文件特性 |
info-center logfile enable |
可选 缺省情况下,日志文件特性处于开启状态 |
设置自动保存日志文件的频率 |
info-center logfile frequency freq-sec |
可选 缺省情况下,设备自动保存日志文件的频率缺省值为86400 |
设置单个日志文件最大能占用的存储空间的大小 |
info-center logfile size-quota size |
可选 缺省情况下,单个日志文件最大能占用的存储空间的大小为10M |
设置存储日志文件的目录 |
info-center logfile switch-directory dir-name |
可选 缺省情况下,存放日志文件的目录为Flash根目录 |
手动将日志文件缓冲区中的内容保存到日志文件 |
logfile save |
可选 缺省情况下,系统将按照info-center logfile frequency命令所设置的频率自动保存日志文件 任意视图均可执行 |
· 为了保证设备的正常运行,info-center logfile size-quota设置的日志文件的大小最小不能低于1MB,最大不能超过10MB。
· info-center logfile switch-directory命令通常用于日志文件的备份或者迁移前的准备工作,其配置会在设备重启或Master和Slave倒换后失效。
查看系统日志是了解设备状态、定位和排除网络问题的一个重要方法,而安全日志是系统日志中与设备安全相关的部分,更是重中之重。但通常情况下,安全日志与其它日志一同输出,被埋没在大量的系统日志中,很难识别、不便于查看。针对这个问题,系统提供了安全日志同步保存功能。使能该功能后,系统将进行如下处理:
· 将安全日志进行集中输出:当生成的系统信息中有安全日志,在不影响系统消息现有输出规则的前提下,系统会将安全日志复制一份同步保存到专用的安全日志文件。这样既实现了安全日志的集中管理,又有利于用户随时快捷地查看安全日志,了解设备状态。
· 安全日志同步保存功能的配置和安全日志文件的管理相互分离,安全日志文件实行专人专管。设备管理员登录设备后可以配置安全日志同步保存功能,执行表1-16所示的命令;只有安全日志管理员通过AAA本地认证登录设备后才能对安全日志文件进行操作(具体操作请参见表1-17),其它用户(包括设备管理员)均不能对安全日志文件进行这些操作。
· 本特性中的“安全日志管理员”指的是配置了authorization-attribute user-role security-audit的本地用户。
· 设备管理员不能对安全日志文件进行查看、拷贝、重命名等文件类操作,操作时会提示“% Execution error”,但可以对除安全日志文件之外的其他文件进行这些操作。
· 本地用户以及AAA本地认证的介绍和配置请参见“安全配置指导”中的“AAA”。
安全日志和其它日志一起被发送到控制台等输出方向时,会被复制一份同步保存在安全日志文件缓冲区(security-logfile buffer)。系统会按照指定的频率(freq-sec)将缓冲区的内容写入安全日志文件(安全日志管理员也可以手工触发保存)。安全日志文件缓冲区里的内容成功保存到安全日志文件后,会被立即清空。
安全日志文件有大小限制,当安全日志文件的大小达到最大值(size)时,系统会将安全日志文件中最旧的信息删除,再写入新的信息。为了防止安全日志的丢失,用户可以设置安全日志文件使用率告警上限(usage)。当达到上限时,系统会输出日志信息提醒管理员,此时,管理员可以使用“安全日志管理员”身份登录设备,将安全日志文件进行备份,以防重要历史数据丢失。
缺省情况下,安全日志同步保存功能没有使能,freq-sec、size和usage参数也有缺省值。如果用户要对这些参数进行修改,请以设备管理员身份登录,使用表1-16所示的命令进行配置。
表1-16 配置安全日志同步保存功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启信息中心 |
info-center enable |
可选 缺省情况下,信息中心处于开启状态 |
使能安全日志同步保存功能 |
info-center security-logfile enable |
必选 缺省情况下,安全日志同步保存功能没有使能 |
设置设备自动保存安全日志文件的频率 |
info-center security-logfile frequency freq-sec |
可选 缺省情况下,设备自动保存日志文件的频率缺省值为600秒 |
设置单个安全日志文件最大能占用的存储空间的大小 |
info-center security-logfile size-quota size |
可选 缺省值为1MB |
设置安全日志文件使用率的告警上限 |
info-center security-logfile alarm-threshold usage |
可选 缺省情况下,安全日志文件使用率的告警门限是80(即当安全日志文件使用率达到80%时,系统会发出日志提醒用户) |
安全日志管理员通过AAA本地认证登录设备后能进行如下操作:
操作 |
命令 |
说明 |
|
显示安全日志文件摘要信息 |
display security-logfile summary [ | { begin | exclude | include } regular-expression ] |
可选 |
|
修改存储安全日志文件的路径 |
info-center security-logfile switch-directory dir-name |
可选 缺省情况下,存储安全日志文件路径为存储设备根目录下的seclog文件夹。 本命令在用户视图下执行 |
|
显示安全日志文件缓冲区的内容 |
display security-logfile buffer [ | { begin | exclude | include } regular-expression ] |
可选 |
|
手动将安全日志文件缓冲区中的内容全部保存到安全日志文件 |
security-logfile save |
可选 缺省情况下,系统将按照info-center security-logfile frequency命令所设置的频率自动保存安全日志文件,保存的路径可以通过info-center security-logfile switch-directory命令设置 本命令在用户视图下执行 |
|
对安全日志文件进行操作 |
显示指定文件的内容 |
more file-url |
可选 这些命令均在用户视图下执行 关于命令的详细描述请参见“基础配置命令参考”中的“文件系统管理” |
显示文件及文件夹的信息 |
dir [ /all ] [ file-url ] |
||
在存储设备的指定目录下创建文件夹 |
mkdir directory |
||
修改当前的工作路径 |
cd { directory | .. | / } |
||
显示当前路径 |
pwd |
||
删除设备中的指定文件 |
delete [ /unreserved ] file-url |
||
删除指定文件夹 |
rmdir directory |
||
格式化存储设备 |
format device |
||
恢复未被彻底删除(即存放在回收站里)的文件 |
undelete file-url |
||
将安全日志文件上传到SFTP服务器 |
在IPv4网络环境建立SFTP连接 |
sftp server [ port-number ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
可选 sftp命令均在用户视图下执行,其它命令在SFTP客户端视图下执行 关于这些命令的详细介绍请参见“安全命令参考”中的“SSH2.0” |
在IPv6网络环境建立SFTP连接 |
sftp ipv6 server [ port-number ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
||
上传本地文件到远程SFTP服务器 |
put localfile [ remotefile ] |
||
下载SFTP服务器上的文件 |
get remotefile [ localfile ] |
||
设备作为SFTP客户端支持的其它操作 |
请参见“安全配置指导/SSH2.0”中的“配置设备作为SFTP客户端”章节 |
同步信息输出是指当用户在输入时有日志、告警、调试等系统信息输出,则在输出后会回显命令行提示符(在命令编辑状态回显提示符,交互状态回显“[Y/N]”字符串)和用户已有的输入。
此功能用于用户在进行操作(操作还没有完成)却被大量的系统信息打断时,回显用户的上一步操作,用户可以接着执行上一步的操作。
表1-18 配置同步信息输出功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
打开同步信息输出功能 |
info-center synchronous |
必选 缺省情况下,同步信息输出功能处于关闭状态 |
· 在当前命令行提示符下,如果用户没有任何输入,此时若有日志等系统信息输出,输出后将不会回显命令行提示符;
· 当处在交互状态,需要用户输入一些交互信息时(非Y/N确认信息),因为情况各异,所以若有系统信息输出,输出后不再回显提示信息,而只是将用户已有的输入换行打印出来。
缺省情况下,设备的所有端口在端口状态改变时都会生成端口Link up和Link down的日志信息。如果用户只关心某个或某些端口的状态,这时可以使用该功能,禁止其它端口生成Link up/Link down日志信息;或者某个接口的状态不稳定,总在频繁地改变,这时,会生成大量的Link up/Link down日志信息,为了屏蔽这些冗余信息,可以使用该功能禁止该端口生成Link up/Link down日志信息。
表1-19 禁止端口生成Link up/Link down日志信息
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图或者VLAN接口视图 |
interface interface-type interface-number |
- |
禁止端口生成Link up/Link down日志信息 |
undo enable log updown |
必选 缺省情况下,允许所有端口在状态发生改变时生成端口Link up和Link down的日志信息 |
使用本特性后,如果端口状态改变,将不再生成端口Link up和Link down的日志信息。这样,可能会影响用户监控端口状态,所以,一般情况下,建议采用缺省配置。
使能日志文件写保护功能后,当日志文件达到限额或存储空间不足时,不允许向日志文件中写入新的日志信息。
表1-20 配置日志文件写保护
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置日志文件写保护功能 |
info-center logfile overwrite-protection [ all-port-powerdown ] |
必选 缺省情况下,没有配置日志文件写保护功能 |
· 配置all-port-powerdown参数时,设备将关闭所有物理以太网端口,管理以太网口、及配置了IRF的端口除外。
· 仅FIPS模式下支持日志文件写保护功能。
在完成上述配置后,在任意视图下执行display命令可以显示配置后信息中心的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset logbuffer、reset trapbuffer命令可以分别将日志缓冲区和告警缓冲区的统计信息清除。
操作 |
命令 |
显示信息通道的信息 |
display channel [ channel-number | channel-name ] [ | { begin | exclude | include } regular-expression ] |
显示各个输出方向的信息 |
display info-center [ | { begin | exclude | include } regular-expression ] |
显示系统日志缓冲区的状态和缓冲区记录的日志信息 |
display logbuffer [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ | { begin | exclude | include } regular-expression ] |
显示系统日志缓冲区的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * [ | { begin | exclude | include } regular-expression ] |
显示日志文件缓冲区内容 |
display logfile buffer [ | { begin | exclude | include } regular-expression ] |
显示日志文件配置 |
display logfile summary [ | { begin | exclude | include } regular-expression ] |
显示系统告警缓冲区的状态和缓冲区记录的告警信息 |
display trapbuffer [ reverse ] [ size buffersize ] [ | { begin | exclude | include } regular-expression ] |
清除日志缓冲区内的信息 |
reset logbuffer |
清除告警缓冲区内的信息 |
reset trapbuffer |
· 将系统的日志信息发送到Unix日志主机;
· 日志主机的IP地址为1.2.0.1/16;
· 信息级别高于等于informational的日志信息将会发送到日志主机上;
· 允许输出日志信息的模块为ARP和IP。
图1-2 配置信息中心组网图(Unix日志主机)
配置前请确保Device和PC之间路由可达,具体配置步骤略。
(1) 设备上的配置
# 开启信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 将IP地址为1.2.0.1/16的主机用作日志主机,使用loghost通道发送信息(可选,系统缺省为loghost通道),使用local4作为日志主机记录工具。
[Sysname] info-center loghost 1.2.0.1 channel loghost facility local4
# 关闭loghost通道所有模块log、trap、debug信息的输出开关。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为loghost)上log、trap、debug信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。
# 配置输出规则:允许ARP和IP模块的、级别高于等于informational的日志信息输出到日志主机(注意:允许输出信息的模块由产品决定)。
[Sysname] info-center source arp channel loghost log level informational state on
[Sysname] info-center source ip channel loghost log level informational state on
(2) 日志主机上的配置
下面的配置示例是在Solaris上完成的,在其它厂商的Unix操作系统上的配置操作基本类似。
第一步:以超级用户(root)的身份登录日志主机。
第二步:在/var/log/路径下为Device创建同名日志文件夹Device,在该文件夹创建文件info.log,用来存储来自Device的日志。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:编辑文件/etc/syslog.conf,添加以下内容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日志主机接收日志的工具名称,info表示信息级别。Unix系统会把级别高于等于informational的日志记录到/var/log/Device/info.log文件中。
在编辑/etc/syslog.conf时应注意以下问题:
· 注释必须独立成行,并以字符#开头。
· 在文件名之后不得有多余的空格。
· /etc/syslog.conf中指定的工具名称及信息级别与设备上info-center loghost和info-center source命令的相应参数的指定值要保持一致,否则日志信息可能无法正确输出到日志主机上。
第四步:当日志文件info.log建立且/etc/syslog.conf文件被修改之后,应通过执行以下命令查看系统守护进程syslogd的进程号,中止syslogd进程,并重新用-r选项在后台启动syslogd,使修改后配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
进行以上操作之后,系统就可以在相应的文件中记录日志信息了。
· 系统的日志信息发送到Linux日志主机上,日志主机的IP地址为1.2.0.1/16;
· 信息级别高于等于informational的日志信息将会发送到日志主机上;
· 所有模块均允许输出日志信息。
图1-3 配置信息中心组网图(Linux日志主机)
配置前请确保Device和PC之间路由可达,具体配置步骤略。
(1) 设备上的配置
# 开启信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 将IP地址为1.2.0.1/16的主机用作日志主机,使用loghost通道发送信息(可选,系统缺省为loghost通道),使用local5作为日志主机记录工具。
[Sysname] info-center loghost 1.2.0.1 channel loghost facility local5
# 关闭loghost通道所有模块log、trap、debug信息的输出开关。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为loghost)上log、trap、debug信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。
# 配置输出规则:允许所有模块、级别高于等于informational的日志信息输出到日志主机。
[Sysname] info-center source default channel loghost log level informational state on
(2) 日志主机上的配置
第一步:以超级用户(root)的身份登录日志主机。
第二步:在/var/log/路径下为Device创建同名日志文件夹Device,在该文件夹创建文件info.log,用来存储来自Device的日志。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:编辑文件/etc/syslog.conf,添加以下内容。
# Device configuration messages
local5.info /var/log/Device/info.log
以上配置中,local5表示日志主机接收日志的工具名称,info表示信息级别。Linux系统会把级别高于等于informational的日志记录到/var/log/Device/info.log文件中。
在编辑/etc/syslog.conf时应注意以下问题:
· 注释必须独立成行,并以字符#开头。
· 在文件名之后不得有多余的空格。
· /etc/syslog.conf中指定的工具名称及信息级别与设备上info-center loghost和info-center source命令的相应参数的指定值要保持一致,否则日志信息可能无法正确输出到日志主机上。
第四步:当日志文件info.log建立且/etc/syslog.conf文件被修改之后,应通过执行以下命令查看系统守护进程syslogd的进程号,中止syslogd进程,并重新用-r选项在后台启动syslogd,使修改后配置生效。
# ps -ae | grep syslogd
147
# kill -9 147
# syslogd -r &
对Linux日志主机,必须保证syslogd进程是以-r选项启动。
进行以上操作之后,系统就可以在相应的文件中记录日志信息了。
· 将信息级别高于等于informational的日志信息发送到控制台上;
· 允许输出日志信息的模块为ARP和IP。
# 开启信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 使用console通道向控制台输出日志信息(可选,缺省情况下系统向控制台输出信息的通道就为console通道)。
[Sysname] info-center console channel console
# 关闭控制台通道所有模块log、trap、debug信息的输出开关。
[Sysname] info-center source default channel console debug state off log state off trap state off
由于系统对各通道允许输出的系统信息的缺省情况不一样,所以配置前必须将所有模块的需求通道(本例为console)上log、trap、debug信息的输出开关关闭,再根据当前的需求配置输出规则,以免输出太多不需要的信息。
# 配置输出规则:允许ARP和IP模块的、级别高于等于informational的日志信息输出(注意:允许输出的信息模块由产品决定)。
[Sysname] info-center source arp channel console log level informational state on
[Sysname] info-center source ip channel console log level informational state on
[Sysname] quit
# 打开终端显示功能(可选,缺省已经打开了该功能)。
<Sysname> terminal monitor
Info: Current terminal monitor is on.
<Sysname> terminal logging
Info: Current terminal logging is on.
以上命令配置成功后,如果指定的模块产生了日志信息,信息中心会自动把这些日志发送到控制台,在控制台的屏幕上显示。
为了高效、便捷的查看设备上发生的与安全相关的事件,及时了解设备的安全状态,要求:
· 将安全日志保存到专门的安全日志文件Flash:/securitylog/seclog.log,保存频率为每小时一次;
· 只有安全日志审计员能够查看安全日志文件内容,其它用户登录设备后都不能对安全日志文件查看、拷贝、重命名等操作。
图1-5 安全日志功能组网图
针对本举例,配置分两大部分:
(1) 以系统管理员身份登录设备
· 使能安全日志同步保存功能,并设置安全日志文件的自动保存频率为1小时。
· 创建一个本地用户seclog,密码为123123123123。授权用户可以管理安全日志文件,即使用authorization-attribute命令配置两个授权属性:level为3以及user-role为security-audit;使用service-type命令配置用户可以使用的登录方式;
· 配置用户界面的认证方式为scheme,保证只有通过AAA本地认证的用户才能查看、操作安全日志文件。
(2) 以安全日志管理员身份登录设备
· 设置安全日志文件的保存路径为Flash:/securitylog/seclog.log。
· 查看安全日志文件内容,了解设备安全状态。
(1) 系统管理员需要执行的配置
# 使能安全日志同步保存功能,并设置安全日志文件的自动保存频率为1小时。
<Sysname> system-view
[Sysname] info-center security-logfile enable
[Sysname] info-center security-logfile frequency 3600
# 创建本地用户seclog,密码为123123123123。
[Sysname] local-user seclog
New local user added.
[Sysname-luser-seclog] password simple 123123123123
# 授权用户可以管理安全日志文件。
[Sysname-luser-seclog] authorization-attribute level 3 user-role security-audit
# 设置用户可以使用的登录方式为SSH、Telnet、Terminal。
[Sysname-luser-seclog] service-type ssh telnet terminal
[Sysname-luser-seclog] quit
# 根据组网规划可以看出,用户将使用SSH或Telnet登录设备,所以配置VTY用户界面的认证方式为scheme。
[Sysname] display user-interface vty ?
INTEGER<0-15> Specify one user terminal interface
以上信息表明,设备支持16个VTY,编号从0到15。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] authentication-mode scheme
[Sysname-ui-vty0-15] quit
(2) 安全日志管理员需要执行的配置
# 使用用户名seclog重新登录设备。
C:/> telnet 1.1.1.1
******************************************************************************
* Copyright (c) 2004-2012 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:seclog
Password:
<Sysname>
# 显示安全日志文件摘要信息。
<Sysname> display security-logfile summary
Security-log is enabled.
Security-log file size quota: 1MB
Security-log file directory: flash:/seclog
Alarm-threshold: 80%
Current usage: 0%
Writing frequency: 1 hour 0 min 0 sec
以上信息表明,安全日志文件当前的存储路径为flash:/seclog。
# 设置安全日志文件的保存路径为Flash:/securitylog。
<Sysname> mkdir securitylog
.
%Created dir flash:/securitylog.
<Sysname> info-center security-logfile switch-directory flash:/securitylog/
# 查看安全日志文件缓存区内容。
<Sysname> display security-logfile buffer
%@175 Jan 2 17:02:53:766 2011 Sysname SHELL/4/LOGOUT:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.2<hh3cLogOut>: logout from Console
%@176 Jan 2 17:02:53:766 2009 Sysname SHELL/5/SHELL_LOGOUT:Console logged out from aux0.
……其它日志略……
以上信息表明,安全日志文件缓存区中还有最新内容没有保存到安全日志文件。
# 手工触发将安全日志文件缓存区内容保存到安全日志文件。
<Sysname> security-logfile save
Info: Save all the contents in the security log buffer into file flash:/securitylog/seclog.log successfully.
# 查看安全日志文件的内容。
<Sysname> more securitylog/seclog.log
%@157 Jan 2 16:12:01:750 2011 Sysname SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console
%@158 Jan 2 16:12:01:750 2011 Sysname SHELL/5/SHELL_LOGIN:Console logged in from aux0.
……其它日志略……
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!