文章內(nèi)容

什么是路由器日志？怎樣設(shè)置保存路由器日志

發(fā)布時間: 2012/5/18 17:59:54

日志對于網(wǎng)絡(luò)安全來說非常重要，他記錄了系統(tǒng)每天發(fā)生的各種各樣的事情，你可以通過他來檢查錯誤發(fā)生的原因，或者受到攻擊時攻擊者留下的痕跡。

Cisco是目前使用比較廣泛的一種路由器，在許多行業(yè)系統(tǒng)中有非常普遍的應(yīng)用。以下是在日常工作中積累的一些對Cisco路由器日志設(shè)置方面的經(jīng)驗，這些實(shí)例都在實(shí)際應(yīng)用中調(diào)試通過并投入使用，我們可以利用路由器日志快速定位及排除故障。

路由器是各種信息傳輸?shù)臉屑~，被廣泛用于企事業(yè)單位的網(wǎng)絡(luò)建設(shè)中，承擔(dān)著局域網(wǎng)之間及局域網(wǎng)與廣域網(wǎng)之問連接的重任。

一、什么是路由器日志

路由器的一些重要信息可以通過syslog機(jī)制在內(nèi)部網(wǎng)絡(luò)的Unix主機(jī)上作日志。在路由器運(yùn)行過程中，路由器會向日志主機(jī)發(fā)送包括鏈路建立失敗信息、包過濾信息等等日志信息，通過登錄到日志主機(jī)，網(wǎng)絡(luò)管理員可以了解日志事件，對日志文件進(jìn)行分析，可以幫助管理員進(jìn)行故障定位、故障排除和網(wǎng)絡(luò)安全管理。

二、路由器日志記錄存放的位置

sysloqd提供下列方法供您記錄系統(tǒng)發(fā)生的事件：

(1)指定的遠(yuǎn)端主機(jī)

如果你不將系統(tǒng)信息記錄在本地機(jī)器上，你可以寫下網(wǎng)絡(luò)中另一個主機(jī)的名稱，然后在主機(jī)名稱前面加上"@"符號(例如(@)ccunix1.variox.int，但被你指定的主機(jī)上必須要有sysloqd)。這可以防止由于硬盤錯誤等情況使日志文件丟失。

(2)一般文件

這是最普遍的方式。你可以指定好文件路徑與文件名稱，但是必須以目錄符號"/"開始，系統(tǒng)才會知道這是一個文件。例如/var/adm/maillog表示要記錄到/var/adm下面一個稱為maillog的文件。如果之前沒有這個文件，系統(tǒng)會自動產(chǎn)生一個。

(3)指定的終端機(jī)或其他設(shè)備

你也可以將系統(tǒng)記錄寫到一個終端機(jī)或是設(shè)備上。若將系統(tǒng)記錄寫到終端機(jī)，則目前正在使用該終端機(jī)的使用者就會直接在屏幕上看到系統(tǒng)信息(例如/dev /conso舊或是/dev/tty1，你可以拿一個屏幕專門來顯示系統(tǒng)信息)。若將系統(tǒng)記錄寫到打印機(jī)(例如/dev/!p0)。，則你會有一長條印滿系統(tǒng)記錄的紙，這樣網(wǎng)絡(luò)入侵者就不能修改日志來隱藏入侵痕跡。

以上就是syslog各項記錄程度及記錄方式的寫法，可以依照自己的需求記錄下自己所需要的內(nèi)容。但是這些記錄都是一直追加上去的，除非將文件自行刪除掉，否則這些文件就會越來越大。Syslog設(shè)備是一個網(wǎng)絡(luò)攻擊者的顯著目標(biāo)，通過修改日志來隱藏入侵痕跡，因此我們要特別注意。

養(yǎng)成每周(或更短的時間)定期檢查一次記錄文件的習(xí)慣，并將過期的記錄文件依照流水號或是日期備份，以后查閱時也比較容易。千萬不要記錄下*.*，這樣無論什么都被記錄下來，結(jié)果會導(dǎo)致文件太大，要找資料時根本無法馬上找出來。有人在記錄網(wǎng)絡(luò)日志時，連誰去ping他的主機(jī)都要記錄，這樣不僅降低系統(tǒng)效率而且增加了磁盤用量。
本文出自：億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]