做为专业的网络管理员,经常性的查看网络日志是日常工作中必不可少的一项。因为通过查看日志不仅可以帮助你分析,查找问题的原因,也可能会让你发现一些潜在问题,从而做到防微杜渐。但查看日志往往同时又是一件费时费力的事情,没有经验的管理员可能会把很多时间浪费在查看一些无用的数据上。其实这里也有很多技巧可言,下面我以在Pix/ASA上配置日志为例,来说明如何通过灵活设置来提高工作的效率。

      按照问题的严重性(Severity_Level),Cisco的日志分为8级,0级最高,7级最低。具体划分如下:
Emergency (severity 0)—The system is unusable
Alert (severity 1)—Immediate action is needed
Critical (severity 2)—Critical condition
Error (severity 3)—Error condition
Warning (severity 4)—Warning condition
Notification (severity 5)—Normal but significant condition
Informational (severity 6)—Informational message
Debugging (severity 7)—Debugging message
      在Pix/ASA中有多种记录日志的方法,你可以按照需要把不同的日志发到不同的地方:
Internal Buffer - 发送到Pix/ASA设备中的缓存区。
优点:不需要借助任何软件和硬件,日志就存在设备本身中。
缺点:缓冲区的大小受硬件限制,默认为4K bytes。一旦超过设定大  小就会覆盖之前的日志。(可以把写满的日志发到FTP服务器上来避免被覆盖)
命令:logging buffered [severity_level]

Syslog message server   - 发送到Syslog 服务器
优点:可以存储大量的日志文件,利于翻查历史日志。
缺点:需要syslog服务器来收集syslog message。(可以用免费的Kiwi Syslog Daemon)
命令:logging host [interface_name] [tcp[/port] | udp[/port]]  (默认为UDP 514)
          logging trap [severity_level]

Email   - 发送到指定的邮件地址
优点:及时把日志发送到邮件。如果有黑莓的话,随时随地都可以收到。
缺点:需要SMTP服务器来转发邮件。
命令:logging mail [severity_level]
          logging receipient-address [email_address]
          logging from-address [email_address]
          smtp-server [ip_address]

Console - 发送到 控制台
优点:实时。不需要其他软硬件的支持。
缺点:需要物理上连接到控制口,而且无法保存。当网络流量大的时候,开启这项会影响性能。
命令:logging console [severity_level]

Telnet/SSH Session
  - 发送到Telnet/SSH 虚拟终端
优点:实时。不需物理上连接到设备。
缺点:无法保存。
命令:logging monitor [severity_level]
          terminal monitor

ASDM - 发送到Pix/ASA图形化管理界面
优点:实时。在图像界面下实现过滤等功能更为简便。
缺点:无法保存。
命令:logging asdm [severity_level]

SNMP server - 发送到SNMP服务器
优点:可以存储大量的日志文件,利于翻查历史日志。
缺点:需要SNMP服务器来收集snmp trap。
命令:logging history [severity_level]
          snmp-server host [if_name] [ip_address]
          snmp-server location [text]
          snmp-server contact [text]
          snmp-server community [key]
          snmp-server enable traps
      根据各种日志发送方式的优缺点,你可以灵活搭配。比如说,用Email方式发送严重等级比较高的日志,不至于让无用的日志堆满邮箱;在调试设备排错时可以用console,Telnet/SSH或ASDM方式;用syslog、SNMP server方式来存储大量的各个级别的日志,方便查看历史日志;用Internal buffer方式来防止设备和syslog,SNMP server出现连接问题时而丢失日志。

      配置完日志发送方式后,千万别忘了启用日志 - logging enable,还可以查看日志的配置 - show logging。