- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-信息中心配置
本章節下載: 16-信息中心配置 (559.38 KB)
信息中心是設備的信息樞紐,它接收各模塊生成的日誌信息,能夠按模塊和等級將收到的日誌信息輸出到控製台、監視終端、日誌主機等方向,為管理員監控設備運行情況和診斷網絡故障提供了有力的支持。
係統產生的日誌信息共分為:
· 普通日誌:用於記錄日常信息。除特殊說明外,下文中的日誌均指普通日誌。
· 診斷日誌:用於記錄調試信息。
· 安全日誌:用於記錄與認證、授權等安全相關的信息。
· 隱藏日誌:用於記錄需要以日誌的方式記錄下來但不需要在終端上顯示的信息(如用戶通過命令行輸入命令的記錄信息等)。
· 調試跟蹤日誌:用於記錄係統跟蹤調試信息,調試跟蹤日誌信息,必須加載devkit包後才可以查看,普通用戶無需關注,主要提供給服務工程師定位問題。
日誌信息按嚴重性可劃分為如表1-1所示的八個等級,各等級的嚴重性依照數值從0~7依次降低。在係統輸出信息時,所有信息等級高於或等於配置等級的信息都會被輸出。例如,輸出規則中指定允許等級為6(informational)的信息輸出,則等級0~6的信息均會被輸出。
|
數值 |
信息等級 |
描述 |
|
0 |
emergency |
表示設備不可用的信息,如係統授權已到期 |
|
1 |
alert |
表示設備出現重大故障,需要立刻做出反應的信息,如流量超出接口上限 |
|
2 |
critical |
表示嚴重信息,如設備溫度已經超過預警值,設備電源、風扇出現故障等 |
|
3 |
error |
表示錯誤信息,如接口鏈路狀態變化等 |
|
4 |
warning |
表示警告信息,如接口連接斷開,內存耗盡告警等 |
|
5 |
notification |
表示正常出現但是重要的信息,如通過終端登錄設備,設備重啟等 |
|
6 |
informational |
表示需要記錄的通知信息,如通過命令行輸入命令的記錄信息,執行ping命令的日誌信息等 |
|
7 |
debugging |
表示調試過程產生的信息 |
係統可以向以下方向發送日誌信息:控製台(console)、監視終端(monitor)、日誌緩衝區(logbuffer)、日誌主機(loghost)和日誌文件(logfile)。日誌信息的各個輸出方向相互獨立,可在開啟信息中心後分別進行配置,同一日誌可同時輸出到多個方向。
日誌信息的輸出規則規定了各個輸出方向可以輸出的日誌信息模塊和輸出的日誌信息等級,日誌信息的輸出方向包括控製台、監視終端、日誌主機、日誌緩衝區和日誌文件。各個輸出方向的缺省情況如表1-2所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
控製台 |
所有支持的模塊 |
開 |
debugging |
|
監視終端 |
所有支持的模塊 |
關 |
debugging |
|
日誌主機 |
所有支持的模塊 |
開 |
informational |
|
日誌緩衝區 |
所有支持的模塊 |
開 |
informational |
|
日誌文件 |
所有支持的模塊 |
開 |
informational |
診斷日誌信息的輸出方向隻有診斷日誌文件。診斷日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-3所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
診斷日誌文件 |
所有支持的模塊 |
開 |
debugging |
安全日誌信息的輸出方向隻有安全日誌文件。安全日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-4所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
安全日誌文件 |
所有支持的模塊 |
關 |
debugging |
隱藏日誌信息的輸出方向包括日誌主機、日誌緩衝區和日誌文件。各個輸出方向的缺省情況如表1-5所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
日誌主機 |
所有支持的模塊 |
開 |
informational |
|
日誌緩衝區 |
所有支持的模塊 |
開 |
informational |
|
日誌文件 |
所有支持的模塊 |
開 |
informational |
調試跟蹤日誌信息的輸出方向隻有調試跟蹤日誌文件。調試跟蹤日誌文件不能進行輸出模塊和輸出級別的過濾配置,輸出方向的缺省情況如表1-6所示:
|
輸出方向 |
日誌信息來源 |
開關 |
等級 |
|
內存中的調試跟蹤日誌文件 |
所有支持的模塊 |
開 |
debugging |
|
存儲介質中的調試跟蹤日誌文件 |
所有支持的模塊 |
開 |
error |
根據輸出方向不同,日誌信息的輸出格式如下:
表1-7 日誌信息格式表
|
輸出方向 |
格式 |
舉例 |
|
|
控製台、監視終端、日誌緩衝區或日誌文件 |
Prefix Timestamp Sysname Module/Level/Mnemonic: Content |
||
|
日誌主機 |
非定製格式 |
<PRI>Timestamp Sysname %%vvModule/Level/Mnemonic: Location; Content |
|
|
cmcc格式 |
<PRI>Timestamp Sysname %vvModule/Level/Mnemonic: Location; Content |
||
|
RFC 5424格式 |
<PRI>Version Timestamp Sysname Module - Mnemonic [SysLoc][AppLoc] Content |
||
|
sgcc格式 |
<PRI> Timestamp Sysname Devtype Content |
||
|
unicom格式 |
<PRI>Timestamp Hostip vvModule/Level/Serial_number: Content |
||
上表中介紹的格式是設備向各個輸出方向發送的原始信息的格式,可能與用戶最終看到的信息格式有差異,最終顯示格式與用戶使用的日誌解析工具有關,請以實際情況為準。
· Prefix(信息類型)
對於輸出方向為控製台、監視終端、日誌緩衝區或日誌文件的日誌信息,時間戳前麵會有一個信息類型標識符:
¡ 百分號(%):表示該日誌信息為informational級別及以上級別的log日誌。
¡ 星號(*):表示該日誌信息為debugging級別的log日誌。
¡ 指數符號(^):表示該日誌信息為診斷日誌(不區分級別)。
· PRI(優先級)
對於輸出方向為日誌主機的日誌信息,時間戳前麵會有一個優先級標識符。優先級的計算公式為:facility*8+level。
¡ facility表示工具名稱,由info-center loghost命令配置,主要用於在日誌主機端標誌不同的日誌來源,查找、過濾對應日誌源的日誌。其中,local0~local7分別對應取值16~23。
¡ level表示日誌信息的等級,具體含義請參見表1-1。
· Timestamp(時間戳)
時間戳記錄了日誌信息產生的時間,方便用戶查看和定位係統事件。發送到日誌主機和發送到其它方向的日誌信息的時間戳精度不同:
¡ 發送到日誌主機的日誌信息的時間戳缺省精確到秒,可配置成精確到毫秒。
¡ 發送到其它方向的日誌信息的時間戳精確到毫秒。
發送到日誌主機和發送到其它方向的日誌信息的時間戳的配置命令也不同:
¡ 發送到日誌主機的日誌信息的時間戳格式由info-center timestamp loghost命令配置。
¡ 發送到其它方向的日誌信息的時間戳格式由info-center timestamp命令配置。
各時間戳格式的詳細描述如表1-8所示:
|
時間戳參數 |
說明 |
舉例 |
|
boot |
係統啟動後經曆的時間(即設備本次運行的持續時間),格式為:xxx.yyy,其中xxx是係統啟動後經曆時間的毫秒數高32位,yyy是低32位 除日誌主機方向外,發往其它方向的日誌信息均支持該參數 |
其中0.109391473即為boot格式的時間戳 |
|
date |
係統當前的日期和時間,格式為: · 日誌主機(不帶毫秒):“MMM DD hh:mm:ss YYYY” · 日誌主機(帶毫秒):“MMM DD hh:mm:ss.ms YYYY” · 其他方向:“MMM DD hh:mm:ss:ms YYYY” 發往所有方向的日誌信息均支持該參數 |
其中May 30 05:36:29:579 2019為發往控製台方向的date格式的時間戳 |
|
iso |
ISO 8601中規定的時間戳格式,可通過配置選擇是否精確到毫秒 隻有發往日誌主機方向的日誌信息支持該參數 |
其中2019-05-30T06:42:44為iso格式的時間戳 對於iso格式的時間戳,加毫秒後,形如:2019-05-30T06:42:44.708 |
|
none |
不帶時間信息 發往所有方向的日誌信息均支持該參數 |
其中沒有包含時間戳 |
|
no-year-date |
係統當前日期和時間,但不包含年份和毫秒信息,格式為“MMM DD hh:mm:ss” 隻有發往日誌主機方向的日誌信息支持該參數 |
其中May 30 06:44:22為no-year-date格式的時間戳 |
· Hostip(出接口IP地址)
本字段表示發送的日誌信息的源IP地址。隻有配置info-center loghost source後,此字段才顯示為出接口的IP地址,未配置時,使用Sysname顯示。隻有使用unicom格式發往日誌主機時,日誌信息中才包含該字段。
· Serial_number(設備序列號)
本字段為當前係統的設備實體序列號。隻有使用unicom格式發往日誌主機時,日誌信息才包含該字段。
· Sysname(主機名或主機IP地址)
本字段為生成該日誌信息的設備的名稱或IP地址。用戶可使用sysname命令修改設備的名稱。
· %%(廠家標誌)
本字段表示本日誌信息由H3C設備生成。
隻有發往日誌主機時,日誌信息中才包含該字段。
· vv(版本信息)
本字段為日誌信息的版本標識,取值為10。
隻有發往日誌主機時,日誌信息中才包含該字段。
· Module(模塊名)
本字段為生成該日誌信息的功能模塊的名稱。模塊列表可以通過在係統視圖下輸入命令info-center source ?進行查看。
· Level(信息等級)
本字段為日誌信息的等級,具體說明請參見表1-1。
· Mnemonic(助記符)
本字段為該日誌信息的概述,是一個不超過32個字符的字符串。
· Location(定位信息)
本字段為可選字段,用來標識該日誌的產生者。隻有使用非定製格式或者cmcc格式發往日誌主機的日誌中包含該字段。可能包含以下參數:
¡ -DevIp=XXX.XXX.XXX.XXX,表示日誌發送者的源IP。
¡ -Slot=XX,表示生成該日誌的IRF的成員設備編號。
· SysLoc(係統定位信息)
本字段為可選字段,用來標識產生該日誌的係統信息。隻有使用RFC 5424格式發往日誌主機的日誌支持該字段。該字段可能包含以下參數:
¡ SysLoc@XXX,表示指定廠商的設備生成的日誌。XXX表示設備廠商的編號。
¡ VendorID=%%10,表示供應商ID,目前固定取值為10。
¡ Level=X,表示日誌信息的等級
¡ -Slot=XX,表示生成該日誌的IRF的成員設備編號。
· AppLoc(模塊定位信息)
本字段為可選字段,用來標識產生該日誌的模塊信息。隻有使用RFC 5424格式發往日誌主機的日誌支持該字段。該字段可能以下參數:
¡ AppLoc@XXX,表示指定廠商的設備生成的日誌。XXX表示設備廠商的編號。
¡ Line=XXX,表示當前用戶登錄所用的用戶線。
¡ IPAddr=XXX.XXX.XXX.XXX,表示用戶登錄的源IP地址。
¡ User=**,表示用戶登錄的用戶名。
· Devtype
設備類型。隻有在使用sgcc格式發往日誌主機時,日誌信息中才包含該字段。
· Content(信息文本)
本字段為該日誌信息的具體內容。
設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
普通日誌配置任務如下:
(1) 開啟信息中心功能
(2) 將日誌信息輸出到指定方向
請至少選擇其中一項進行配置:
(3) (可選)配置日誌信息的最短保存時間
(4) (可選)配置命令行輸入回顯功能
(5) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
(6) (可選)將係統日誌封裝成告警信息發送
隱藏日誌配置任務如下:
(1) 開啟信息中心功能
(2) 將日誌信息輸出到指定方向
請至少選擇其中一項進行配置:
(3) (可選)配置日誌信息的最短保存時間
(4) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
安全日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
(3) 配置安全日誌功能
¡ 保存安全日誌
¡ 管理安全日誌文件
診斷日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
(3) 配置診斷日誌保存到診斷日誌文件
調試跟蹤日誌配置任務如下:
(1) 開啟信息中心功能
(2) (可選)抑製日誌信息輸出
請至少選擇其中一項進行配置:
(3) 配置調試跟蹤日誌文件的大小
開啟信息中心功能後,信息中心模塊才能處理各業務模塊生成的日誌,用戶才能看到設備生成的日誌。
(1) 進入係統視圖。
system-view
(2) 開啟信息中心功能。
info-center enable
缺省情況下,信息中心處於開啟狀態。
terminal monitor、terminal debugging、terminal logging命令隻對當前連接有效。當終端與設備重新建立連接後,這些命令會恢複到缺省情況。
(1) 進入係統視圖。
system-view
info-center source { module-name | default } console { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,信息的時間戳輸出格式為date格式。
(4) 退回到用戶視圖。
quit
(5) 允許日誌信息輸出到當前終端。
terminal monitor
缺省情況下,允許日誌信息輸出到控製台。
(6) 允許調試信息輸出到當前終端。
terminal debugging
缺省情況下,不允許調試信息輸出到當前終端。
調試信息指的是打開業務模塊的調試信息開關後,業務模塊生成的debugging級別的日誌信息。
(7) 配置當前終端允許輸出的日誌信息的最低級別。
terminal logging level severity
缺省情況下,控製台顯示的日誌信息最低等級為6(informational)。
監視終端是指以AUX、VTY、TTY類型用戶線登錄的用戶終端。
terminal monitor、terminal debugging、terminal logging命令隻對當前連接有效。當終端與設備重新建立連接後,這些命令會恢複到缺省情況。
(1) 進入係統視圖。
system-view
info-center source { module-name | default } monitor { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,信息的時間戳輸出格式為date格式。
(4) 退回到用戶視圖。
quit
(5) 允許日誌信息輸出到當前終端。
terminal monitor
缺省情況下,不允許日誌信息輸出到監視終端。
(6) 允許調試信息輸出到當前終端。
terminal debugging
缺省情況下,不允許調試信息輸出到當前終端。
調試信息指的是打開業務模塊的調試信息開關後,業務模塊生成的debugging級別的日誌信息。
(7) 配置當前終端允許輸出的日誌信息的最低級別。
terminal logging level severity
缺省情況下,監視終端顯示的日誌信息最低等級為6(informational)。
使用本功能用戶可以將設備生成的日誌發送給指定的日誌主機。
配置本功能時,用戶可以指定:
· 日誌過濾規則。隻有符合過濾規則的日誌才會發送給日誌主機,以免用戶不關心的日誌發送給日誌主機,占用網絡帶寬和日誌主機上的資源。
· 日誌發送格式。設備將按照用戶指定的格式封裝日誌,以便日誌主機按照指定的規則解析日誌。
· 用TCP協議發送日誌,提高日誌傳輸的安全性。如果TCP鏈接斷開,設備會將日誌以文件的形式保存到本地,以便用戶查詢。
(1) 進入係統視圖。
system-view
(2) (可選)配置日誌信息發送到日誌主機時的輸出規則。請選擇其中一項進行配置。
¡ 創建日誌輸出規則。
info-center filter filter-name { module-name [ mnemonic mnemonic-value ] | default } { deny | level severity }
多次執行本命令可以創建多個輸出規則,將輸出規則和日誌主機綁定,可以為不同的日誌主機指定不同的輸出規則。
¡ 配置日誌信息的輸出規則。
info-center source { module-name | default } loghost { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
本命令配置的輸出規則對所有日誌主機生效。如果日誌主機沒有關聯info-center filter命令配置的輸出規則,則使用info-center source命令配置的輸出規則。
(3) (可選)配置發送日誌信息時使用的源IP地址。
info-center loghost source interface-type interface-number
缺省情況下,使用出接口的主IP地址作為發送的日誌信息的源IP地址。
(4) (可選)配置發往日誌主機的日誌信息的輸出格式。
info-center format { cmcc | rfc5424 | sgcc | unicom }
缺省情況下,發往日誌主機的日誌信息的格式為非定製格式。
(5) (可選)配置發往日誌主機的定位信息中攜帶設備序列號。
info-center loghost locate-info with-sn
缺省情況下,發往日誌主機的日誌定位信息中不攜帶設備序列號。
(6) (可選)配置發送的日誌信息的時間戳格式。
info-center timestamp loghost { date [ with-milliseconds ] | iso [ with-milliseconds | with-timezone ] * | no-year-date | none }
缺省情況下,發往日誌主機的日誌信息的時間戳輸出格式為date格式。
(7) 配置日誌主機及相關參數。
info-center loghost [ vpn-instance vpn-instance-name ] { hostname | ipv4-address | ipv6 ipv6-address } [ port port-number ] [ dscp dscp-value ] [ facility local-number ] [ filter filter-name ]
缺省情況下,未配置日誌主機及相關參數。
port-number參數的值需要和日誌主機側的配置一致,否則,日誌主機接收不到日誌信息。
配置本功能後,設備會將業務模塊生成的日誌保存到日誌緩衝區。用戶可使用display logbuffer命令查看日誌緩衝區的內容。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息發送到日誌緩衝區時的輸出規則。
info-center source { module-name | default } logbuffer { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) (可選)配置時間戳輸出格式。
info-center timestamp { boot | date | none }
缺省情況下,日誌信息的時間戳輸出格式為date格式。
(4) 允許日誌信息輸出到日誌緩衝區。
info-center logbuffer
缺省情況下,允許日誌輸出到日誌緩衝區。
(5) (可選)配置日誌緩衝區的容量。
info-center logbuffer size buffersize
缺省情況下,日誌緩衝區可存儲512條信息。
通過使用本特性,用戶可以將係統產生的日誌信息保存到設備的日誌文件中以便隨時查看。日誌在保存到日誌文件前,先保存在日誌文件緩衝區。出現以下情況時,係統會將日誌文件緩衝區的內容保存到日誌文件,成功保存後,日誌文件緩衝區裏的內容會被清空:
· 按用戶配置的周期自動保存。
· 用戶手工觸發立即保存。
· 日誌文件緩衝區寫滿後觸發保存。
設備在有日誌存儲需要時,會自動生成對應的日誌文件。日誌文件有容量限製:
· 當日誌文件的大小達到最大值,且日誌文件寫滿保護功能處於開啟狀態,設備停止將日誌文件緩衝區的新日誌保存到日誌文件。
· 當存儲介質的存儲空間不足或者存儲介質有存儲空間但日誌文件的大小達到最大值,且日誌文件寫滿保護功能處於關閉狀態,係統會使用最新日誌覆蓋最舊日誌。
· 當尚未生成日誌文件,且存儲介質的剩餘空間不足時,設備不會將新生成的日誌存儲到日誌文件。請定期清理存儲介質的存儲空間,以免影響日誌文件功能。
· 建議及時備份日誌文件,以免重要日誌被覆蓋或丟失。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息保存到日誌文件時的輸出規則。
info-center source { module-name | default } logfile { deny | level severity }
缺省情況下,日誌信息的輸出規則請參見“1.1.4 日誌信息的缺省輸出規則”。
(3) 開啟日誌文件功能。
info-center logfile enable
缺省情況下,允許日誌信息輸出到日誌文件。
(4) (可選)開啟日誌文件寫滿保護功能。
info-center logfile overwrite-protection [ all-port-powerdown ]
缺省情況下,日誌文件寫滿保護功能處於關閉狀態。
本命令僅FIPS模式下支持。
(5) (可選)配置單個日誌文件最大能占用的存儲空間的大小。
info-center logfile size-quota size
缺省情況下,單個日誌文件最大能占用的存儲空間為10MB。
(6) (可選)配置單個日誌文件使用率的告警門限。
info-center logfile alarm-threshold usage
缺省情況下,單個日誌文件使用率的告警門限是80。即當單個日誌文件使用率達到80%時,係統會通過日誌提醒用戶。
將usage配置為0時,表示關閉模塊日誌文件使用率告警功能
(7) (可選)配置存儲日誌文件的目錄。
info-center logfile directory dir-name
缺省情況下,存放日誌文件的目錄為flash:/logfile。
該命令會在IRF重啟或主從設備倒換後失效。
(8) 將日誌文件緩衝區中的內容保存到日誌文件。至少選擇其中一項進行配置。
¡ 配置自動將日誌文件緩衝區中的內容保存到日誌文件。
info-center logfile frequency freq-sec
缺省情況下,設備自動保存日誌文件的頻率為86400秒。
¡ 在任意視圖下執行以下命令,手動立即將日誌文件緩衝區中的內容保存到日誌文件。
logfile save
使用本特性可以確保重要日誌在指定時間內不被新的日誌覆蓋。
允許日誌輸出到日誌緩衝區和日誌文件後,日誌會被保存在日誌緩衝區和日誌文件中。但日誌緩衝區和日誌文件均有容量限製,當存儲的日誌達到容量限製時,係統會直接使用最新日誌覆蓋最早生成的日誌。配置日誌信息的最短保存時間後,係統在覆蓋日誌前,會檢查該日誌在係統中存在的時間(根據日誌生成時間和當前係統時間計算):
· 如果日誌存在時間小於等於最短保存時間,則不刪除該日誌,新日誌保存失敗;
· 如果日誌存在時間大於最短保存時間,則使用最新的日誌覆蓋本條日誌。
(1) 進入係統視圖。
system-view
(2) 配置日誌信息的最短保存時間。
info-center syslog min-age min-age
缺省情況下,未配置日誌信息的最短保存時間。
當用戶進行命令行、參數或者Y/N確認信息輸入時,如果被大量的日誌信息打斷,用戶可能記不清已經輸入了哪些字符串,還需要輸入哪些字符串。使用命令行輸入回顯功能,能夠協助用戶配置。係統會在日誌信息輸出完畢後回顯用戶已有的輸入或者Y/N確認信息,以便用戶繼續執行配置。
(1) 進入係統視圖。
system-view
(2) 開啟命令行輸入回顯功能。
info-center synchronous
缺省情況下,命令行輸入回顯功能處於關閉狀態。
缺省情況下,業務模塊每生成一條日誌,信息中心會對應輸出一條日誌。如果業務模塊連續生成的兩條日誌中模塊名、信息等級、日誌助記符、定位信息和信息文本字段的取值完全相同,則信息中心認為第二條日誌為第一條日誌的重複日誌,仍會輸出該重複日誌。
有些場景下,例如設備受到了ARP攻擊、路由鏈路故障等,業務模塊在短時間內會產生大量重複日誌,記錄和傳輸這些重複日誌會浪費設備資源和網絡資源,並可能導致有用的日誌被淹沒、被覆蓋,不利於設備的維護。為了避免此問題,可開啟重複日誌抑製功能。
開啟重複日誌抑製功能後,業務模塊每產生一條新日誌,信息中心會輸出該日誌,並啟動重複日誌抑製定時器。抑製分階段,不同階段對應的抑製定時器時長不同,第一階段的抑製時長為30秒、第二階段的抑製時長為2分鍾、第三及後續階段的抑製時長均為10分鍾,直到這次抑製流程結束。
· 在任一抑製階段內,如果信息中心連續收到某條日誌的重複日誌,則信息中心不再逐條輸出重複日誌,而是等抑製時間到達時,生成一條彙總日誌來供用戶查閱,並進入下一個抑製階段。彙總日誌包含本階段抑製的日誌的內容和條數。
· 在任一抑製階段內,如果信息中心收到其它新日誌,則信息中心會進行以下處理:
¡ 結束對當前日誌的抑製,並立即生成一條彙總日誌來供用戶查閱,彙總日誌包含本階段抑製的日誌的內容和條數。
¡ 輸出新日誌,並針對新日誌進入重複日誌抑製第一階段。
· 在任一抑製階段,如果整個階段內信息中心均未收到任何業務模塊的日誌,則刪除重複日誌抑製定時器,結束對當前日誌的抑製,且不輸出任何日誌。
(1) 進入係統視圖。
system-view
(2) 開啟重複日誌抑製功能。
info-center logging suppress duplicates
缺省情況下,重複日誌抑製功能處於關閉狀態。
下麵以SHELL_CMD日誌為例,來描述重複日誌抑製效果。已知用戶在設備上成功執行一條命令行時,SHELL模塊會生成SHELL_CMD日誌來記錄用戶執行的命令行,信息中心將SHELL_CMD日誌封裝後,輸出到日誌緩衝區。
(1) 為驗證第一、二、三、四階段(對應的時長分別為30秒、2分鍾、10分鍾、10分鍾)的抑製效果,在25分鍾內,重複執行命令行display logbuffer,(實驗室環境,期間無其它日誌生成),在日誌緩衝區可看到如下日誌。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
以上日誌表明:
¡ 新日誌為SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer。
¡ (第一階段)在最近30秒內,信息中心抑製了2次重複日誌。
¡ (第二階段)在最近2分鍾內,信息中心抑製了5次重複日誌。
¡ (第三階段)在最近10分鍾內,信息中心抑製了10次重複日誌。
¡ (第四階段)在最近10分鍾內,信息中心抑製了6次重複日誌。
(2) 為驗證在抑製時長內,抑製動作被新日誌打斷的效果,在25分鍾後,連續執行3次命令行display logbuffer後,再執行命令行display interface brief。信息中心會退出對日誌“SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer”的抑製,輸出新日誌,並開始對新日誌的抑製。在日誌緩衝區可看到如下日誌。
<Sysname> display logbuffer
Log buffer: Enabled
Max buffer size: 1024
Actual buffer size: 512
Dropped messages: 0
Overwritten messages: 0
Current messages: 5
%Jul 20 13:01:20:615 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer
%Jul 20 13:01:50:718 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 2 times in last 30 seconds.
%Jul 20 13:03:50:732 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 5 times in last 2 minutes.
%Jul 20 13:13:50:830 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 10 times in last 10 minutes.
%Jul 20 13:23:50:211 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 6 times in last 10 minutes.
%Jul 20 13:24:56:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display logbuffer This message repeated 3 times in last 1 minute 6 seconds.
%Jul 20 13:25:41:205 2022 Sysname SHELL/6/SHELL_CMD: -Line=con0-IPAddr=**-User=**; Command is display interface brief.
<Sysname>
當係統日誌較多時,對於用戶不關心的日誌,可禁止指定模塊日誌的輸出,或者禁止指定模塊特定助記符的日誌輸出。
(1) 進入係統視圖。
system-view
(2) 禁止指定模塊日誌的輸出。
info-center logging suppress module module-name mnemonic { all | mnemonic-value }
缺省情況下,未禁止指定模塊日誌的輸出。
缺省情況下,設備的所有接口在接口狀態改變時都會生成Link up/Link down的日誌信息。為了方便管理,用戶可以根據實際情況禁止某些接口生成接口Link up/Link down的日誌信息:
· 用戶隻關心某個或某些接口的狀態時,可以使用該功能禁止其它接口生成Link up/Link down日誌信息。
· 某個接口的狀態因不穩定而頻繁地改變,生成大量的Link up/Link down日誌信息時,可以使用該功能禁止該接口生成Link up/Link down日誌信息。
使用本特性後,如果接口狀態改變,將不再生成接口Link up/Link down的日誌信息。這樣可能會影響用戶監控接口狀態,所以在一般情況下建議采用缺省配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 禁止接口生成Link up/Link down日誌信息。
undo enable log updown
缺省情況下,允許所有接口在狀態發生改變時生成接口Link up和Link down的日誌信息。
使用本特性後,設備除了根據輸出規則將日誌輸出到各方向外,還會將日誌信息封裝成告警信息,發送到SNMP模塊和日誌告警緩衝區。
· 發送到SNMP模塊後,是否輸出到目的主機,以Trap還是Inform形式發送,由SNMP模塊的配置決定,關於告警信息以及SNMP配置的詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP”。
· 發送到日誌告警緩衝區後,用戶可通過“日誌告警緩衝區對應的MIB節點”來直接讀取日誌信息封裝成的告警信息。用戶還可通過info-center syslog trap buffersize命令來配置日誌告警緩衝區的大小。
(1) 進入係統視圖。
system-view
(2) 將係統日誌封裝成告警信息發送。
snmp-agent trap enable syslog
缺省情況下,係統日誌不會封裝成告警信息發送。
(3) 配置日誌告警緩衝區的大小。
info-center syslog trap buffersize buffersize
缺省情況下,日誌告警緩衝區的大小為1024條。
查看係統日誌是了解設備狀態、定位和排除網絡問題的一個重要方法,而在係統日誌中與設備安全相關的安全日誌顯得尤為重要。但通常情況下,安全日誌與其它日誌一同輸出,經常被淹沒在大量的係統日誌中,很難識別、不便於查看。針對這個問題,係統提供了安全日誌同步保存功能。安全日誌同步保存功能的配置和安全日誌文件的管理相互分離,安全日誌文件實行專人專管。
開啟安全日誌同步保存功能後,係統將安全日誌進行集中處理:當生成的日誌信息中有安全日誌,在不影響日誌信息現有輸出規則的前提下,係統會將安全日誌信息同步保存到專用的安全日誌文件。這樣既實現了安全日誌的集中管理,又有利於用戶隨時快捷地查看安全日誌,了解設備狀態。
安全日誌會先被輸出到安全日誌文件緩衝區(security-logfile buffer),係統會按照配置中指定的頻率將安全日誌文件緩衝區的內容寫入安全日誌文件(安全日誌管理員也可以手工觸發保存)。當安全日誌文件緩衝區裏的內容成功保存到安全日誌文件後,安全日誌文件緩衝區會被立即清空。係統隻支持單個安全日誌文件。
安全日誌文件寫滿並收到新的安全日誌時,新安全日誌會覆蓋安全日誌文件中的舊安全日誌。為了防止安全日誌的丟失,用戶可以配置安全日誌文件使用率告警上限。當達到上限時,係統會輸出日誌信息提醒用戶,此時,用戶可以使用安全日誌管理員身份登錄設備,將安全日誌文件進行備份,以防止重要曆史數據丟失。
(1) 進入係統視圖。
system-view
(2) 開啟安全日誌同步保存功能。
info-center security-logfile enable
缺省情況下,安全日誌同步保存功能處於關閉狀態。
(3) 配置設備自動保存安全日誌文件的頻率。
info-center security-logfile frequency freq-sec
缺省情況下,設備自動保存安全日誌文件的頻率為86400秒。
(4) (可選)配置單個安全日誌文件最大能占用的存儲空間的大小。
info-center security-logfile size-quota size
缺省情況下,單個安全日誌文件最大能占用的存儲空間的大小為10MB。
(5) (可選)配置安全日誌文件使用率的告警上限。
info-center security-logfile alarm-threshold usage
缺省情況下,安全日誌文件使用率的告警門限是80。即當安全日誌文件使用率達到80%時,係統會發出日誌提醒用戶。
隻有具有安全日誌管理員角色的用戶登錄設備後,才能管理完全日誌文件。安全日誌管理員的相關配置請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 修改存儲安全日誌文件的路徑。
info-center security-logfile directory dir-name
缺省情況下,存儲安全日誌文件路徑為存儲設備根目錄下的seclog文件夾。
該命令會在IRF重啟或主設備和從設備主從倒換後恢複到缺省情況。
(3) 在任意視圖下執行以下命令,手動將安全日誌文件緩衝區中的內容全部保存到安全日誌文件。
security-logfile save
(4) (可選)在任意視圖下執行以下命令,顯示安全日誌文件的概要信息。
display security-logfile summary
通過使用本特性,用戶可以將係統產生的診斷日誌信息保存到設備的診斷日誌文件中以便隨時查看。
診斷日誌在保存到診斷日誌文件前,先保存在診斷日誌文件緩衝區。係統會按照指定的頻率將診斷日誌文件緩衝區的內容寫入診斷日誌文件,用戶也可以手工觸發立即保存。成功保存後,保存前的診斷日誌文件緩衝區裏的內容會被清空。
診斷日誌文件有容量限製,當診斷日誌文件的大小達到最大值時,係統會使用最新日誌覆蓋最舊日誌。
(1) 進入係統視圖。
system-view
(2) 開啟診斷日誌保存功能。
info-center diagnostic-logfile enable
缺省情況下,診斷日誌同步保存功能處於開啟狀態。
(3) (可選)配置單個診斷日誌文件最大可占用的存儲空間的大小。
info-center diagnostic-logfile quota size
缺省情況下,單個診斷日誌文件最大能占用的存儲空間為10MB。
(4) (可選)配置存儲診斷日誌文件的目錄。
info-center diagnostic-logfile directory dir-name
缺省情況下,存儲診斷日誌文件路徑為flash:/diagfile。
該命令會在IRF重啟或主設備和從設備主從倒換後恢複到缺省情況。
(5) 將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
¡ 配置自動保存的頻率將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
info-center diagnostic-logfile frequency freq-sec
缺省情況下,設備自動保存診斷日誌文件的頻率為86400秒。
¡ 在任意視圖下執行以下命令,手動將診斷日誌文件緩衝區中的內容保存到診斷日誌文件。
diagnostic-logfile save
設備在調試過程中,會產生大量的調試跟蹤日誌。如果調試跟蹤日誌文件存儲空間太小,可能會導致日誌被很快覆蓋,不利於定位問題。使用本特性,可以用來配置調試跟蹤日誌文件最大能占用的存儲空間的大小。係統隻支持單個跟蹤調試日誌文件。
(1) 進入係統視圖。
system-view
(2) 配置調試跟蹤日誌文件最大可占用的存儲空間的大小。
info-center trace-logfile quota size
缺省情況下,調試跟蹤日誌文件最大能占用的存儲空間的大小為1MB。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後信息中心的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset logbuffer命令可以將日誌緩衝區的統計信息清除。
|
操作 |
命令 |
|
顯示診斷日誌文件的配置 |
display diagnostic-logfile summary |
|
顯示各個輸出方向的信息 |
display info-center |
|
顯示用戶創建的日誌輸出規則 |
display info-center filter [ filter-name ] |
|
顯示日誌緩衝區的狀態和日誌緩衝區記錄的日誌信息 |
display logbuffer [ reverse ] [ level severity | size buffersize | slot slot-number ] * [ last-mins mins ] |
|
顯示日誌緩衝區的概要信息 |
display logbuffer summary [ level severity | slot slot-number ] * |
|
顯示日誌文件緩衝區的內容 |
display logfile buffer |
|
顯示日誌文件的配置 |
display logfile summary |
|
顯示安全日誌文件緩衝區的內容(隻有安全日誌管理員才能執行該命令) |
display security-logfile buffer |
|
顯示安全日誌文件的概要信息(隻有安全日誌管理員才能執行該命令) |
display security-logfile summary |
|
清除日誌緩衝區內的信息 |
reset logbuffer |
將信息等級高於等於warning的日誌信息發送到控製台上;
允許輸出日誌信息的模塊為FTP。
圖1-1 日誌信息發送到控製台配置組網圖
# 開啟信息中心功能。
<Device> system-view
[Device] info-center enable
# 關閉控製台方向所有模塊日誌信息的輸出開關。
[Device] info-center source default console deny
由於係統對各方向允許輸出的日誌信息的缺省情況不一樣,所以配置前必須將所有模塊指定方向(本例為console)上日誌信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許FTP模塊的、等級高於等於warning的日誌信息輸出。
[Device] info-center source ftp console level warning
[Device] quit
# 允許日誌信息輸出到控製台。
<Device> terminal logging level 6
<Device> terminal monitor
The current terminal is enabled to display logs.
以上命令配置成功後,如果指定的模塊產生了日誌信息,信息中心會自動把這些日誌發送到控製台,在控製台的屏幕上顯示。
將係統的日誌信息發送到Unix日誌主機;
將信息等級高於等於informational的日誌信息將會發送到日誌主機上;
僅允許輸出日誌信息的模塊為FTP。
圖1-2 日誌信息發送到Unix日誌主機配置組網圖
配置前請確保Device和PC之間路由可達。(具體配置步驟略)
(1) Device上的配置
# 開啟信息中心功能。
<Device> system-view
[Device] info-center enable
# 配置發送日誌信息到IP地址為1.2.0.1/16的日誌主機,日誌主機記錄工具為local4。
[Device] info-center loghost 1.2.0.1 facility local4
# 關閉loghost方向所有模塊日誌信息的輸出開關。
[Device] info-center source default loghost deny
由於係統對各方向允許輸出的日誌信息的缺省情況不一樣,所以配置前必須將所有模塊指定方向(本例為loghost)上日誌信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許FTP模塊的、等級高於等於informational的日誌信息輸出到日誌主機(注意:允許輸出信息的模塊由產品決定)。
[Device] info-center source ftp loghost level informational
(2) 日誌主機上的配置
不同廠商Unix操作係統上的配置可能不同,以下步驟僅作為參考。
a. 以超級用戶的身份登錄日誌主機。
b. 在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
c. 編輯/etc/路徑下的文件syslog.conf,添加以下內容。
# Device configuration messages
local4.info /var/log/Device/info.log
以上配置中,local4表示日誌主機接收日誌的工具名稱,info表示信息等級。Unix係統會把等級高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息等級與Device上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
d. 查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。
# ps -ae | grep syslogd
147
# kill -HUP 147
# syslogd -r &
進行以上操作之後,Device的日誌信息會輸出到PC,PC會將這些日誌信息存儲到相應的文件中了。
係統的日誌信息發送到Linux日誌主機上;
將信息等級高於等於informational的日誌信息發送到日誌主機上;
僅允許輸出日誌信息的模塊為FTP。
圖1-3 日誌信息發送到Linux日誌主機配置組網圖
配置前請確保Device和PC之間路由可達,具體配置步驟略。
(1) Device上的配置
# 開啟信息中心功能。
<Device> system-view
[Device] info-center enable
#配置發送日誌信息到IP地址為1.2.0.1/16的日誌主機,日誌主機記錄工具為local5。
[Device] info-center loghost 1.2.0.1 facility local5
# 關閉loghost方向所有模塊日誌信息的輸出開關。
[Device] info-center source default loghost deny
由於係統對各方向允許輸出的日誌信息的缺省情況不一樣,所以配置前必須將所有模塊的需求方向(本例為loghost)上日誌信息的輸出開關關閉,再根據當前的需求配置輸出規則,以免輸出太多不需要的信息。
# 配置輸出規則:允許FTP模塊、等級高於等於informational的日誌信息輸出到日誌主機。
[Device] info-center source ftp loghost level informational
(2) 日誌主機上的配置
不同廠商Linux操作係統上的配置可能不同,以下步驟僅作為參考。
a. 以超級用戶的身份登錄日誌主機。
b. 在/var/log/路徑下為Device創建同名日誌文件夾Device,在該文件夾創建文件info.log,用來存儲來自Device的日誌。
# mkdir /var/log/Device
# touch /var/log/Device/info.log
c. 編輯/etc/路徑下的文件syslog.conf,添加以下內容。
# Device configuration messages
local5.info /var/log/Device/info.log
以上配置中,local5表示日誌主機接收日誌的工具名稱,info表示信息等級。Linux係統會把等級高於等於informational的日誌記錄到/var/log/Device/info.log文件中。
在編輯/etc/syslog.conf時應注意以下問題:
· 注釋必須獨立成行,並以字符#開頭。
· 在文件名之後不得有多餘的空格。
· /etc/syslog.conf中指定的工具名稱及信息等級與Device上info-center loghost和info-center source命令的相應參數的指定值要保持一致,否則日誌信息可能無法正確輸出到日誌主機上。
d. 查看係統守護進程syslogd的進程號,中止syslogd進程,並重新用-r選項在後台啟動syslogd,使修改後配置生效。對Linux日誌主機,必須保證syslogd進程是以-r選項啟動。
# ps -ae | grep syslogd
147
# kill -9 147
# syslogd -r &
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
