- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-信息中心配置
本章節下載: 03-信息中心配置 (408.43 KB)
信息中心是係統的信息樞紐,它能夠對所有的係統信息進行分類、管理,為網絡管理員和開發人員監控網絡運行情況和診斷網絡故障提供了強有力的支持。
信息中心的工作過程如下:
· 接收各模塊生成的日誌信息(log)、告警信息(trap)和調試信息(debug)。
· 根據用戶設置的輸出規則,將信息輸出到信息通道。
· 根據信息通道和輸出方向的關聯,將信息輸出到不同方向。
概括來說,信息中心的主要工作就是將三種信息,按照八個嚴重等級,分配到十個信息通道中,再輸出到多個方向,描述了缺省情況下,三種信息分別可以分配到哪些信息通道,每個信息通道對應哪個輸出方向。下麵將進行詳細介紹。
圖1-1 信息中心功能示意圖(缺省情況下)
信息中心缺省情況下處於開啟狀態。在信息中心開啟時,特別是在處理信息較多時,由於信息分類、輸出的原因,對係統性能有一定的影響。
信息中心的係統信息共分為三類:
· log類,日誌類信息
· trap類,告警類信息
· debug類,調試類信息
信息按嚴重性劃分為八個等級,嚴重性由高到底的順序依次為:emergencies、alerts、critical、errors、warnings、notifications、informational和debugging。根據信息級別輸出信息時,將會輸出信息級別高於或等於所設置級別的信息。比如,輸出規則中指定允許級別為informational的信息輸出,則級別為emergencies~informational的信息均會輸出。
|
信息級別 |
數值 |
描述 |
|
emergencies |
0 |
係統不可用信息 |
|
alerts |
1 |
需要立刻做出反應的信息 |
|
critical |
2 |
嚴重信息 |
|
errors |
3 |
錯誤信息 |
|
warnings |
4 |
警告信息 |
|
notifications |
5 |
正常出現但是重要的信息 |
|
informational |
6 |
需要記錄的通知信息 |
|
debugging |
7 |
調試過程產生的信息 |
係統支持十個通道,缺省情況下,通道0~6和通道9已經定義了通道名、輸出規則和輸出方向。可以通過命令改變通道名、輸出規則和輸出方向,用戶還可以在不改變通道0~6和通道9缺省配置的情況下,配置通道7和通道8,將他們與輸出方向關聯,以便對輸出的係統信息實施配置的過濾規則。
|
通道編號 |
通道的缺省名稱 |
通道的缺省輸出方向 |
說明 |
|
0 |
console |
控製台 |
可以接收log、trap、debug信息 |
|
1 |
monitor |
監視終端 |
可以接收log、trap、debug信息,方便遠程維護 |
|
2 |
loghost |
日誌主機 |
可以接收log、trap、debug信息,通常係統信息在日誌主機以文件的方式存儲,以便查詢 |
|
3 |
trapbuffer |
告警緩衝區 |
可以接收trap信息,是設備內部的一塊緩存,用於記錄信息 |
|
4 |
logbuffer |
日誌緩衝區 |
可以接收log信息,是設備內部的一塊緩存,用於記錄信息 |
|
5 |
snmpagent |
SNMP模塊 |
可以接收trap信息 |
|
6 |
channel6 |
Web頁麵 |
可以接收log信息 |
|
7 |
channel7 |
未指定 |
可以接收log、trap、debug信息 |
|
8 |
channel8 |
未指定 |
可以接收log、trap、debug信息 |
|
9 |
channel9 |
未指定 |
可以接收log、trap、debug信息 |
係統由眾多的協議模塊、配置模塊構成,係統信息可按來源模塊進行劃分,並過濾輸出。係統支持的來源模塊可以通過info-center source ?命令的幫助信息獲取。
缺省輸出規則規定了各個輸出方向可以輸出的信息模塊、輸出的信息類型以及輸出的信息級別,如表1-3所示。該表表明,缺省情況下:
· 允許所有模塊的所有log信息發往Web頁麵;允許所有模塊的高於或等於informational級別的log信息發往日誌主機;允許所有模塊的高於或等於informational級別的log信息發往控製台、監視終端和日誌緩衝區;所有模塊的所有log信息不允許發往告警緩衝區和SNMP模塊方向。
· 允許所有模塊的所有Trap信息發往控製台、監視終端、日誌主機、Web頁麵;允許所有模塊的高於或等於informational級別的Trap信息發往告警緩衝區和SNMP模塊;所有模塊的所有Trap信息不允許發往日誌緩衝區方向。
· 允許所有模塊的所有debug信息發往控製台和監視終端;所有模塊的所有debug信息不允許發往日誌主機、告警緩衝區、日誌緩衝區、SNMP模塊、Web頁麵。
|
輸出方向 |
允許輸出的模塊 |
LOG |
TRAP |
DEBUG |
|||
|
開關 |
級別 |
開關 |
級別 |
開關 |
級別 |
||
|
控製台 |
default(所有模塊) |
開 |
informational |
開 |
debugging |
開 |
debugging |
|
監視終端 |
default(所有模塊) |
開 |
informational |
開 |
debugging |
開 |
debugging |
|
日誌主機 |
default(所有模塊) |
開 |
informational |
開 |
debugging |
關 |
debugging |
|
告警緩衝區 |
default(所有模塊) |
關 |
informational |
開 |
informational |
關 |
debugging |
|
日誌緩衝區 |
default(所有模塊) |
開 |
informational |
關 |
debugging |
關 |
debugging |
|
SNMP模塊 |
default(所有模塊) |
關 |
debugging |
開 |
informational |
關 |
debugging |
|
Web頁麵 |
default(所有模塊) |
開 |
debugging |
開 |
debugging |
關 |
debugging |
按照係統信息的輸出方向不同,係統信息可能有不同格式。
(1) 當輸出方向為非日誌主機(控製台、監視終端、日誌緩衝區、告警緩衝區、SNMP模塊)時
係統信息格式大致為:
timestamp sysname module/level/digest:content
對應的中文格式為:
時間戳 主機名 模塊名/信息級別/信息摘要:信息文本
比如,監視終端與設備相連,當有終端登錄設備時,在監視終端可以看到格式如下的日誌信息:
%Jan 26 17:08:35:809 2011 Sysname SHELL/4/LOGIN: VTY login from 1.1.1.1
(2) 當輸出方向為日誌主機時,支持兩種輸出格式:
· H3C格式
係統信息格式為:
<PRI>timestamp sysname %%vvmodule/level/digest: source content
比如,日誌主機與設備相連,當有終端登錄設備時,在日誌主機可以看到格式如下的日誌信息:
<189>Jan 9 14:59:04 2011 MyDevice %%10SHELL/5/SHELL_LOGIN(l):VTY logged in from 192.168.1.21.
· UNICOM格式
係統信息格式為:
<PRI>timestamp sysname vvmodule/level/serial_number: content
比如,日誌主機與設備相連,當設備端口Link down時,在日誌主機可以看到格式如下的日誌信息:
<186>Jan 13 16:48:08 2011 H3C 10IFNET/2/210231a64jx073000020: log_type=port;content=Vlan-interface1 link status is DOWN.
<186>Jan 13 16:48:08 2011 H3C 10IFNET/2/210231a64jx073000020: log_type=port;content=Line protocol on the interface Vlan-interface1 is DOWN.
· 以上格式中的尖括號(< >)、空格、斜杠(/)、冒號(:)是必須的。
· 以上格式是設備給各個輸出方向發送的原始信息的格式,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
下麵對每一個字段做詳細說明。
優先級的計算按如下公式:facility*8+severity。Facility表示工具名稱,在設置日誌主機相關參數的時候可以設置,參數取值為local0~local7,對應的十進製數值為16~23,缺省取值為local7。主要用於在日誌主機端標誌不同的日誌來源,查找、過濾對應日誌源的日誌。severity(信息級別)的取值範圍為0~7,信息級別具體含義請參見表1-1。
本字段隻有在信息發往日誌主機時才有效。
時間戳記錄了係統信息產生的時間,方便用戶查看和定位係統事件。發往日誌主機的係統信息的時間戳不帶毫秒信息,發送到其它方向的係統信息會精確到毫秒;發往日誌主機的係統信息的時間戳格式由info-center timestamp loghost命令設置,發送到其它方向的時間戳格式由info-center timestamp命令統一設置。(各時間戳參數的詳細描述請見表1-4。)
|
時間戳參數 |
說明 |
舉例 |
|
boot |
係統啟動後經曆的時間(即設備的本次運行的持續時間),格式為:xxxxxx.yyyyyy,其中xxxxxx是係統自啟動後經曆時間的毫秒數高32位,yyyyyy是低32位 除日誌主機方向外發往其它方向的係統信息均支持該參數 |
%0.109391473 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中0.109391473即為boot格式的時間戳 |
|
date |
係統當前的日期和時間,格式為“Mmm dd hh:mm:ss:sss yyyy” 發往所有方向的係統信息均支持該參數 |
%Jan 30 05:36:29:579 2011 Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中Jan 30 05:36:29:579 2011即為date格式的時間戳 |
|
iso |
ISO 8601中規定的時間戳的格式 隻有發往日誌主機方向的係統信息支持該參數 |
<189>2011-05-30T06:42:44 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully. 其中2011-05-30T06:42:44即為iso格式的時間戳 |
|
none |
不帶時間信息 發往所有方向的係統信息均支持該參數 |
% Sysname FTPD/5/FTPD_LOGIN: User ftp (192.168.1.23) has logged in successfully. 其中沒有包含時間戳 |
|
no-year-date |
係統當前日期和時間,但不包含年份信息 隻有發往日誌主機方向的係統信息支持該參數 |
<189>Jan 30 06:44:22 Sysname %%10FTPD/5/FTPD_LOGIN(l): User ftp (192.168.1.23) has logged in successfully. 其中Jan 30 06:44:22即為no-year-date格式的時間戳 |
· 當使用UNICOM格式將係統信息發送到日誌主機,並配置了info-center loghost source或者在info-center loghost命令中指定了vpn-instance vpn-instance-name時,該字段會顯示為生成該日誌的設備的IP地址。
· 其它情況下(當使用H3C格式將係統信息發送到日誌主機或者發往別的方向),該字段均會顯示為生成該日誌的設備的名稱,即本機的係統名。用戶可使用sysname命令修改主機名(具體配置請參見“基礎配置命令參考”中的“設備管理”)。
該字段表示本信息由H3C設備生成。
本字段隻有在使用H3C格式將係統信息發往日誌主機時才出現。
該字段表示syslog的版本標識,取值為10。
本字段隻有在信息發往日誌主機時才出現。
該字段表示產生信息的功能模塊的名稱。模塊列表可以通過在係統視圖下輸入命令info-center source ?查看到。
係統信息的級別共分為8級,從0~7,它們的定義和說明請參見表1-1。各模塊生成的係統信息的級別在開發階段已經確定,用戶不能更改,但可以使用info-center source命令讓指定級別的信息輸出,低於該級別的信息不輸出。
信息摘要是一個不超過32個字符的字符串,表示該信息的內容大意。
· 對於輸出方向為日誌主機的係統信息,如果該字符串以“(l)”結尾則表示該信息為Log信息,如果該字符串以“(t)”結尾則表示該信息為Trap信息,如果該字符串以“(d)”結尾則表示該信息為Debug信息。
· 對於輸出方向為非日誌主機的係統信息,時間戳前麵會有百分號(%)或井字符號(#)或米字符號(*),分別代表該條信息是日誌信息或告警信息或調試信息。
表示生成該日誌的設備的序列號。
該信息隻有在使用UNICOM格式將係統信息發往日誌主機時才出現。
該字段為可選字段,表示該信息的產生者,隻有在使用H3C格式將係統信息發往日誌主機時才出現。該字段的具體內容可能為下麵的一種:
· IRF的成員設備編號;
· 日誌發送者的源IP。
該字段表示了該條係統信息的具體內容。
表1-5 信息中心配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置信息發送到控製台 |
可選 |
|
|
配置信息發送到監視終端 |
可選 |
|
|
配置信息發送到日誌主機 |
可選 |
|
|
配置信息發送到告警緩衝區 |
可選 |
|
|
配置信息發送到日誌緩衝區 |
可選 |
|
|
配置信息發送到SNMP模塊 |
可選 |
|
|
配置信息發送到Web頁麵 |
可選 |
|
|
配置安全日誌同步保存和管理功能 |
可選 |
|
|
配置同步信息輸出功能 |
可選 |
|
|
禁止端口生成Link up/Link down日誌信息 |
可選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向控製台輸出信息的通道 |
info-center console channel { channel-number | channel-name } |
可選 缺省情況下,係統使用0號(console)通道向控製台輸出信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
在配置將係統信息發送到控製台後,為了能在控製台上觀察到輸出的信息,還要開啟控製台對相應信息的顯示功能。請在用戶視圖下進行以下操作。
|
操作 |
命令 |
說明 |
|
開啟控製台對係統信息的監視功能 |
terminal monitor |
可選 缺省情況下,控製台的監視功能處於開啟狀態,監視終端的監視功能處於關閉狀態 |
|
開啟控製台對調試信息的顯示功能 |
terminal debugging |
必選 缺省情況下,控製台對調試信息的顯示功能處於關閉狀態 |
|
開啟控製台對日誌信息的顯示功能 |
terminal logging |
可選 缺省情況下,控製台對日誌信息的顯示功能處於開啟狀態 |
|
開啟控製台對告警信息的顯示功能 |
terminal trapping |
可選 缺省情況下,控製台對告警信息的顯示功能處於開啟狀態 |
係統信息可以發往控製台,也可以發往監視終端。監視終端是指以VTY類型用戶界麵登錄的用戶終端。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向監視終端輸出係統信息的通道 |
info-center monitor channel { channel-number | channel-name } |
可選 缺省情況下,係統使用1號(monitor)通道向監視終端輸出係統信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
在配置將係統信息發送到監視終端後,為了能在監視終端上觀察到輸出的信息,還要開啟監視終端對相應信息的顯示功能。
|
操作 |
命令 |
說明 |
|
開啟監視終端對係統信息的監視功能 |
terminal monitor |
必選 缺省情況下,控製台的監視功能處於開啟狀態,監視終端的監視功能處於關閉狀態 |
|
開啟監視終端對調試信息的顯示功能 |
terminal debugging |
必選 缺省情況下,監視終端對調試信息的顯示功能處於關閉狀態 |
|
開啟監視終端對日誌信息的顯示功能 |
terminal logging |
可選 缺省情況下,監視終端對日誌信息的顯示功能處於開啟狀態 |
|
開啟監視終端對告警信息的顯示功能 |
terminal trapping |
可選 缺省情況下,監視終端對告警信息的顯示功能處於開啟狀態 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
配置發送的日誌信息的源IP地址 |
info-center loghost source interface-type interface-number |
可選 缺省情況下,將根據路由來確定發送日誌信息的出接口,使用該接口的主IP地址作為發送的日誌信息的源IP地址 |
|
設置發往日誌主機的係統信息的時間戳輸出格式 |
info-center timestamp loghost { date | iso | no-year-date | none } |
可選 缺省情況下,發往日誌主機的係統信息的時間戳輸出格式為date格式 |
|
設置發往日誌主機的係統信息的輸出格式為UNICOM格式 |
info-center format unicom |
可選 缺省情況下,發往日誌主機的係統信息的格式為H3C格式 |
|
指定日誌主機並設置相關輸出參數 |
info-center loghost [ vpn-instance vpn-instance-name ] { host-ipv4-address | ipv6 host-ipv6-address } [ port port-number ] [ dscp dscp-value ] [ channel { channel-number | channel-name } | facility local-number ] * |
必選 缺省情況下,係統不向日誌主機輸出信息。如果使能係統向日誌主機輸出信息,則係統默認使用2號(loghost)通道 port-number參數的值需要和日誌主機側的設置一致,否則,日誌主機接收不到係統信息 僅S5500-EI係列交換機支持vpn-instance參數 |
用戶可以設置將log、trap和debug三種類型的信息發送給告警緩衝區,但告警緩衝區隻接收trap信息,其它類型的信息將被丟棄。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向告警緩衝區輸出信息以及相關參數 |
info-center trapbuffer [ channel { channel-number | channel-name } | size buffersize ] * |
可選 缺省情況下,係統使用3號(trapbuffer)通道向告警緩衝區輸出信息,緩衝區可存儲256條信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
用戶可以設置將log、trap和debug三種類型的信息發送給日誌緩衝區,但日誌緩衝區隻能接收log信息,trap和debug信息將被丟棄。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
- |
|
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向日誌緩衝區輸出信息以及相關參數 |
info-center logbuffer [ channel { channel-number | channel-name } | size buffersize ] * |
可選 缺省情況下,係統使用4號(logbuffer)通道向日誌緩衝區輸出信息,緩衝區可存儲512條信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state } * | log { level severity | state state } * | trap { level severity | state state } * ] * |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
用戶可以設置將log、trap和debug三種類型的信息發送給SNMP模塊,但SNMP模塊隻接收trap信息,其它類型的信息將被丟棄。
為了監控設備的運行狀況,通常會將Trap信息發送到SNMP NMS(Network Management System,網絡管理係統)。此時,首先需要將信息發送給SNMP模塊,再設置SNMP模塊Trap發送參數,對Trap報文進行進一步的處理(詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP”)。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向SNMP模塊輸出信息的通道 |
info-center snmp channel { channel-number | channel-name } |
可選 缺省情況下,係統使用5號(snmpagent)通道向SNMP模塊送係統信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]* |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
本特性用於控製是否將係統信息發送到Web頁麵以及哪些係統信息可以發送到Web頁麵。因為Web頁麵提供了豐富的搜索和排序功能,所以,配置該輸出方向後,用戶通過Web頁麵登錄設備,點擊相應的頁簽就可以方便快捷地查看設備的係統信息。
表1-14 配置信息發送到Web頁麵
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
為指定編號的信息通道命名 |
info-center channel channel-number name channel-name |
可選 通道的缺省名稱請參見表1-2 |
|
設置係統向Web頁麵輸出信息的通道 |
info-center syslog channel { channel-number | channel-name } |
可選 缺省情況下,係統使用6號通道向Web頁麵發送係統信息 |
|
配置係統信息的輸出規則 |
info-center source { module-name | default } channel { channel-number | channel-name } [ debug { level severity | state state }* | log { level severity | state state }* | trap { level severity | state state }* ]* |
可選 缺省情況下,係統信息的輸出規則請參見1.1.6 |
|
設置時間戳輸出格式 |
info-center timestamp { debugging | log | trap } { boot | date | none } |
可選 缺省情況下,log、trap和debug信息的時間戳輸出格式均為date格式 |
用戶可以配置將log、trap、debug信息輸出到某個通道,但當該通道和Web頁麵輸出方向綁定時,用戶登錄Web頁麵時,隻能顯示特定類型的日誌信息,其它類型的信息均會被過濾掉。
查看係統日誌是了解設備狀態、定位和排除網絡問題的一個重要方法,而安全日誌是係統日誌中與設備安全相關的部分,更是重中之重。但通常情況下,安全日誌與其它日誌一同輸出,被埋沒在大量的係統日誌中,很難識別、不便於查看。針對這個問題,係統提供了安全日誌同步保存功能。使能該功能後,係統將進行如下處理:
· 將安全日誌進行集中輸出:當生成的係統信息中有安全日誌,在不影響係統消息現有輸出規則的前提下,係統會將安全日誌複製一份同步保存到專用的安全日誌文件。這樣既實現了安全日誌的集中管理,又有利於用戶隨時快捷地查看安全日誌,了解設備狀態。
· 安全日誌同步保存功能的配置和安全日誌文件的管理相互分離,安全日誌文件實行專人專管。設備管理員登錄設備後可以配置安全日誌同步保存功能,執行表1-15所示的命令;隻有安全日誌管理員通過AAA本地認證登錄設備後才能對安全日誌文件進行操作(具體操作請參見表1-16),其它用戶(包括設備管理員)均不能對安全日誌文件進行這些操作。
· 本特性中的“安全日誌管理員”指的是配置了authorization-attribute user-role security-audit的本地用戶。
· 設備管理員不能對安全日誌文件進行查看、拷貝、重命名等文件類操作,操作時會提示“% Execution error”,但可以對除安全日誌文件之外的其他文件進行這些操作。
· 本地用戶以及AAA本地認證的介紹和配置請參見“安全配置指導”中的“AAA”。
安全日誌和其它日誌一起被發送到控製台等輸出方向時,會被複製一份同步保存在安全日誌文件緩衝區(security-logfile buffer)。係統會按照指定的頻率(freq-sec)將緩衝區的內容寫入安全日誌文件(安全日誌管理員也可以手工觸發保存)。安全日誌文件緩衝區裏的內容成功保存到安全日誌文件後,會被立即清空。
安全日誌文件有大小限製,當安全日誌文件的大小達到最大值(size)時,係統會將安全日誌文件中最舊的信息刪除,再寫入新的信息。為了防止安全日誌的丟失,用戶可以設置安全日誌文件使用率告警上限(usage)。當達到上限時,係統會輸出日誌信息提醒管理員,此時,管理員可以使用“安全日誌管理員”身份登錄設備,將安全日誌文件進行備份,以防重要曆史數據丟失。
缺省情況下,安全日誌同步保存功能沒有使能,freq-sec、size和usage參數也有缺省值。如果用戶要對這些參數進行修改,請以設備管理員身份登錄,使用表1-15所示的命令進行配置。
表1-15 配置安全日誌同步保存功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟信息中心 |
info-center enable |
可選 缺省情況下,信息中心處於開啟狀態 |
|
使能安全日誌同步保存功能 |
info-center security-logfile enable |
必選 缺省情況下,安全日誌同步保存功能沒有使能 |
|
設置設備自動保存安全日誌文件的頻率 |
info-center security-logfile frequency freq-sec |
可選 缺省情況下,設備自動保存日誌文件的頻率缺省值為600秒 |
|
設置單個安全日誌文件最大能占用的存儲空間的大小 |
info-center security-logfile size-quota size |
可選 缺省值為1MB |
|
設置安全日誌文件使用率的告警上限 |
info-center security-logfile alarm-threshold usage |
可選 缺省情況下,安全日誌文件使用率的告警門限是80(即當安全日誌文件使用率達到80%時,係統會發出日誌提醒用戶) |
安全日誌管理員通過AAA本地認證登錄設備後能進行如下操作:
|
操作 |
命令 |
說明 |
|
|
顯示安全日誌文件摘要信息 |
display security-logfile summary [ | { begin | exclude | include } regular-expression ] |
可選 |
|
|
修改存儲安全日誌文件的路徑 |
info-center security-logfile switch-directory dir-name |
可選 缺省情況下,存儲安全日誌文件路徑為存儲設備根目錄下的seclog文件夾。 本命令在用戶視圖下執行 |
|
|
顯示安全日誌文件緩衝區的內容 |
display security-logfile buffer [ | { begin | exclude | include } regular-expression ] |
可選 |
|
|
手動將安全日誌文件緩衝區中的內容全部保存到安全日誌文件 |
security-logfile save |
可選 缺省情況下,係統將按照info-center security-logfile frequency命令所設置的頻率自動保存安全日誌文件,保存的路徑可以通過info-center security-logfile switch-directory命令設置 本命令在用戶視圖下執行 |
|
|
對安全日誌文件進行操作 |
顯示指定文件的內容 |
more file-url |
可選 這些命令均在用戶視圖下執行 關於命令的詳細描述請參見“基礎配置命令參考”中的“文件係統管理” |
|
顯示文件及文件夾的信息 |
dir [ /all ] [ file-url ] |
||
|
在存儲設備的指定目錄下創建文件夾 |
mkdir directory |
||
|
修改當前的工作路徑 |
cd { directory | .. | / } |
||
|
顯示當前路徑 |
pwd |
||
|
刪除設備中的指定文件 |
delete [ /unreserved ] file-url |
||
|
刪除指定文件夾 |
rmdir directory |
||
|
格式化存儲設備 |
format device |
||
|
恢複未被徹底刪除(即存放在回收站裏)的文件 |
undelete file-url |
||
|
將安全日誌文件上傳到SFTP服務器 |
在IPv4網絡環境建立SFTP連接 |
sftp server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
可選 sftp命令均在用戶視圖下執行,其它命令在SFTP客戶端視圖下執行 關於這些命令的詳細介紹請參見“安全命令參考”中的“SSH2.0” 僅S5500-EI係列交換機支持vpn-instance參數 |
|
在IPv6網絡環境建立SFTP連接 |
sftp ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
||
|
上傳本地文件到遠程SFTP服務器 |
put localfile [ remotefile ] |
||
|
下載SFTP服務器上的文件 |
get remotefile [ localfile ] |
||
|
設備作為SFTP客戶端支持的其它操作 |
請參見“安全配置指導/SSH2.0”中的“配置設備作為SFTP客戶端”章節 |
||
同步信息輸出是指當用戶在輸入時有日誌、告警、調試等係統信息輸出,則在輸出後會回顯命令行提示符(在命令編輯狀態回顯提示符,交互狀態回顯“[Y/N]”字符串)和用戶已有的輸入。
此功能用於用戶在進行操作(操作還沒有完成)卻被大量的係統信息打斷時,回顯用戶的上一步操作,用戶可以接著執行上一步的操作。
表1-17 配置同步信息輸出功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
打開同步信息輸出功能 |
info-center synchronous |
必選 缺省情況下,同步信息輸出功能處於關閉狀態 |
· 在當前命令行提示符下,如果用戶沒有任何輸入,此時若有日誌等係統信息輸出,輸出後將不會回顯命令行提示符;
· 當處在交互狀態,需要用戶輸入一些交互信息時(非Y/N確認信息),因為情況各異,所以若有係統信息輸出,輸出後不再回顯提示信息,而隻是將用戶已有的輸入換行打印出來。
缺省情況下,設備的所有端口在端口狀態改變時都會生成端口Link up和Link down的日誌信息。如果用戶隻關心某個或某些端口的狀態,這時可以使用該功能,禁止其它端口生成Link up/Link down日誌信息;或者某個接口的狀態不穩定,總在頻繁地改變,這時,會生成大量的Link up/Link down日誌信息,為了屏蔽這些冗餘信息,可以使用該功能禁止該端口生成Link up/Link down日誌信息。
表1-18 禁止端口生成Link up/Link down日誌信息
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
- |
|
禁止端口生成Link up/Link down日誌信息 |
undo enable log updown |
必選 缺省情況下,允許所有端口在狀態發生改變時生成端口Link up和Link down的日誌信息 |
使用本特性後,如果端口狀態改變,將不再生成端口Link up和Link down的日誌信息。這樣,可能會影響用戶監控端口狀態,所以,一般情況下,建議采用缺省配置。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後信息中心的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset logbuffer、reset trapbuffer命令可以分別將日誌緩衝區和告警緩衝區的統計信息清除。
|
操作 |
命令 |
|
顯示信息通道的信息 |
display channel [ channel-number | channel-name ] [ | { begin | exclude | include } regular-expression ] |
|
顯示各個輸出方向的信息 |
display info-center [ | { begin | exclude | include } regular-expression ] |
|
顯示係統日誌緩衝區的狀態和緩衝區記錄的日誌信息 |
display logbuffer [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ | { begin | exclude | include } regular-expression ] |
|
顯示係統日誌緩衝區的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * [ | { begin | exclude | include } regular-expression ] |
|
顯示係統告警緩衝區的狀態和緩衝區記錄的告警信息 |
display trapbuffer [ reverse ] [ size buffersize ] [ | { begin | exclude | include } regular-expression ] |
|
清除日誌緩衝區內的信息 |
reset logbuffer |
|
清除告警緩衝區內的信息 |
reset trapbuffer |
· 將係統的日誌信息發送到Unix日誌主機;
· 日誌主機的IP地址為1.2.0.1/16;
· 信息級別高於等於informational的日誌信息將會發送到日誌主機上;
· 允許輸出日誌信息的模塊為ARP和IP。
圖1-2 配置信息中心組網圖(Unix日誌主機)
配置前請確保Device和PC之間路由可達,具體配置步驟略。
(1) 設備上的配置
# 開啟信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 將IP地址為1.2.0.1/16的主機用作日誌主機,使用loghost通道發送信息(可選,係統缺省為loghost通道),使用local4作為日誌主機記錄工具。
[Sysname] info-center loghost 1.2.0.1 channel loghost facility local4
# 關閉loghost通道所有模塊log、trap、debug信息的輸出開關。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
由於係統對各通道允許輸出的係統信息的缺省情況不一樣,所以配置前必須將所有模塊的需求通道(本例為loghost)上log、trap、debug信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許ARP和IP模塊的、級別高於等於informational的日誌信息輸出到日誌主機(注意:允許輸出信息的模塊由產品決定)。
[Sysname] info-center source arp channel loghost log level informational state on
[Sysname] info-center source ip channel loghost log level informational state on
(2) 日誌主機上的配置
下麵的配置示例是在Solaris上完成的,在其它廠商的Unix操作係統上的配置操作基本類似。
第一步:以超級用戶(root)的身份登錄日誌主機。
第二步:在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:編輯文件/etc/syslog.conf,添加以下內容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日誌主機接收日誌的工具名稱,info表示信息級別。Unix係統會把級別高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息級別與設備上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
第四步:當日誌文件info.log建立且/etc/syslog.conf文件被修改之後,應通過執行以下命令查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
進行以上操作之後,係統就可以在相應的文件中記錄日誌信息了。
· 係統的日誌信息發送到Linux日誌主機上,日誌主機的IP地址為1.2.0.1/16;
· 信息級別高於等於informational的日誌信息將會發送到日誌主機上;
· 所有模塊均允許輸出日誌信息。
圖1-3 配置信息中心組網圖(Linux日誌主機)
配置前請確保Device和PC之間路由可達,具體配置步驟略。
(1) 設備上的配置
# 開啟信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 將IP地址為1.2.0.1/16的主機用作日誌主機,使用loghost通道發送信息(可選,係統缺省為loghost通道),使用local5作為日誌主機記錄工具。
[Sysname] info-center loghost 1.2.0.1 channel loghost facility local5
# 關閉loghost通道所有模塊log、trap、debug信息的輸出開關。
[Sysname] info-center source default channel loghost debug state off log state off trap state off
由於係統對各通道允許輸出的係統信息的缺省情況不一樣,所以配置前必須將所有模塊的需求通道(本例為loghost)上log、trap、debug信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許所有模塊、級別高於等於informational的日誌信息輸出到日誌主機。
[Sysname] info-center source default channel loghost log level informational state on
(2) 日誌主機上的配置
第一步:以超級用戶(root)的身份登錄日誌主機。
第二步:在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
第三步:編輯文件/etc/syslog.conf,添加以下內容。
# Device configuration messages
local5.info /var/log/Device/info.log
以上配置中,local5表示日誌主機接收日誌的工具名稱,info表示信息級別。Linux係統會把級別高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息級別與設備上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
第四步:當日誌文件info.log建立且/etc/syslog.conf文件被修改之後,應通過執行以下命令查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。
# ps -ae | grep syslogd
147
# kill -9 147
# syslogd -r &
對Linux日誌主機,必須保證syslogd進程是以-r選項啟動。
進行以上操作之後,係統就可以在相應的文件中記錄日誌信息了。
· 將信息級別高於等於informational的日誌信息發送到控製台上;
· 允許輸出日誌信息的模塊為ARP和IP。
# 開啟信息中心。
<Sysname> system-view
[Sysname] info-center enable
# 使用console通道向控製台輸出日誌信息(可選,缺省情況下係統向控製台輸出信息的通道就為console通道)。
[Sysname] info-center console channel console
# 關閉控製台通道所有模塊log、trap、debug信息的輸出開關。
[Sysname] info-center source default channel console debug state off log state off trap state off
由於係統對各通道允許輸出的係統信息的缺省情況不一樣,所以配置前必須將所有模塊的需求通道(本例為console)上log、trap、debug信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許ARP和IP模塊的、級別高於等於informational的日誌信息輸出(注意:允許輸出的信息模塊由產品決定)。
[Sysname] info-center source arp channel console log level informational state on
[Sysname] info-center source ip channel console log level informational state on
[Sysname] quit
# 打開終端顯示功能(可選,缺省已經打開了該功能)。
<Sysname> terminal monitor
Info: Current terminal monitor is on.
<Sysname> terminal logging
Info: Current terminal logging is on.
以上命令配置成功後,如果指定的模塊產生了日誌信息,信息中心會自動把這些日誌發送到控製台,在控製台的屏幕上顯示。
為了高效、便捷的查看設備上發生的與安全相關的事件,及時了解設備的安全狀態,要求:
· 將安全日誌保存到專門的安全日誌文件Flash:/securitylog/seclog.log,保存頻率為每小時一次;
· 隻有安全日誌審計員能夠查看安全日誌文件內容,其它用戶登錄設備後都不能對安全日誌文件查看、拷貝、重命名等操作。
圖1-5 安全日誌功能組網圖
針對本舉例,配置分兩大部分:
(1) 以係統管理員身份登錄設備
· 使能安全日誌同步保存功能,並設置安全日誌文件的自動保存頻率為1小時。
· 創建一個本地用戶seclog,密碼為123123123123。授權用戶可以管理安全日誌文件,即使用authorization-attribute命令配置兩個授權屬性:level為3以及user-role為security-audit;使用service-type命令配置用戶可以使用的登錄方式;
· 配置用戶界麵的認證方式為scheme,保證隻有通過AAA本地認證的用戶才能查看、操作安全日誌文件。
(2) 以安全日誌管理員身份登錄設備
· 設置安全日誌文件的保存路徑為Flash:/securitylog/seclog.log。
· 查看安全日誌文件內容,了解設備安全狀態。
(1) 係統管理員需要執行的配置
# 使能安全日誌同步保存功能,並設置安全日誌文件的自動保存頻率為1小時。
<Sysname> system-view
[Sysname] info-center security-logfile enable
[Sysname] info-center security-logfile frequency 3600
# 創建本地用戶seclog,密碼為123123123123。
[Sysname] local-user seclog
New local user added.
[Sysname-luser-seclog] password simple 123123123123
# 授權用戶可以管理安全日誌文件。
[Sysname-luser-seclog] authorization-attribute level 3 user-role security-audit
# 設置用戶可以使用的登錄方式為SSH、Telnet、Terminal。
[Sysname-luser-seclog] service-type ssh telnet terminal
[Sysname-luser-seclog] quit
# 根據組網規劃可以看出,用戶將使用SSH或Telnet登錄設備,所以配置VTY用戶界麵的認證方式為scheme。
[Sysname] display user-interface vty ?
INTEGER<0-15> Specify one user terminal interface
以上信息表明,設備支持16個VTY,編號從0到15。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] authentication-mode scheme
[Sysname-ui-vty0-15] quit
(2) 安全日誌管理員需要執行的配置
# 使用用戶名seclog重新登錄設備。
C:/> telnet 1.1.1.1
******************************************************************************
* Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:seclog
Password:
<Sysname>
# 顯示安全日誌文件摘要信息。
<Sysname> display security-logfile summary
Security-log is enabled.
Security-log file size quota: 1MB
Security-log file directory: flash:/seclog
Alarm-threshold: 80%
Current usage: 0%
Writing frequency: 1 hour 0 min 0 sec
以上信息表明,安全日誌文件當前的存儲路徑為flash:/seclog。
# 設置安全日誌文件的保存路徑為Flash:/securitylog。
<Sysname> mkdir securitylog
.
%Created dir flash:/securitylog.
<Sysname> info-center security-logfile switch-directory flash:/securitylog/
# 查看安全日誌文件緩存區內容。
<Sysname> display security-logfile buffer
%@175 Jan 2 17:02:53:766 2011 Sysname SHELL/4/LOGOUT:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.2<hh3cLogOut>: logout from Console
%@176 Jan 2 17:02:53:766 2009 Sysname SHELL/5/SHELL_LOGOUT:Console logged out from aux0.
……其它日誌略……
以上信息表明,安全日誌文件緩存區中還有最新內容沒有保存到安全日誌文件。
# 手工觸發將安全日誌文件緩存區內容保存到安全日誌文件。
<Sysname> security-logfile save
Info: Save all the contents in the security log buffer into file flash:/securitylog/seclog.log successfully.
# 查看安全日誌文件的內容。
<Sysname> more securitylog/seclog.log
%@157 Jan 2 16:12:01:750 2011 Sysname SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console
%@158 Jan 2 16:12:01:750 2011 Sysname SHELL/5/SHELL_LOGIN:Console logged in from aux0.
……其它日誌略……
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
