問
WS5800交換機配置syslog後,日誌服務器收不到交換機發送的日誌
2025-10-29提問
- 0關注
- 0收藏,1180瀏覽
問題描述:
配置了日誌,服務器抓包514端口未收到日誌,已排除網絡問題,嚐試使用命令info-center source default loghost level 命令設置日誌發送級別,更換了通知和調試級別都無法收到登錄事件和網口插拔的syslog日誌
組網及組網描述:
交換機:192.168.8.233/24 日誌收集服務器:192.168.8.254/24 同網段直連,能夠互相通信,服務器已關閉防火牆排除網絡問題
- 2025-10-29提問
- 舉報
-
(0)
最佳答案
H3C 交換機配置日誌後,服務器 514 端口(syslog 默認端口)未收到日誌,且網絡連通性已確認,核心問題通常出在日誌服務器配置不完整、日誌級別與源模塊匹配錯誤、或設備日誌輸出方向未正確指向服務器。以下是分步排查和解決方法:
一、檢查日誌服務器基礎配置(必做)
確保交換機已正確指定日誌服務器 IP 和端口,且啟用 syslog 輸出:
<交換機> system-view
# 1. 配置日誌服務器IP和端口(默認UDP 514,需顯式指定)
[交換機] info-center loghost 192.168.8.254 facility local7 # facility可選local0-local7,服務器需對應
# 2. 確認日誌輸出到loghost(默認可能未啟用)
[交換機] info-center enable # 全局啟用信息中心(關鍵,默認可能關閉)
[交換機] info-center loghost enable # 啟用向日誌服務器發送日誌
- 驗證配置:
display info-center configuration,確認 “Loghost” 條目存在,IP 為 192.168.8.254,端口 514。
二、修正日誌級別與源模塊配置(核心)
info-center source default loghost level 命令中的 “default” 可能未覆蓋登錄事件(如用戶登錄)和接口事件(網口插拔)的源模塊,需針對具體模塊單獨配置:1. 針對 “登錄事件”(用戶認證、登錄操作)
登錄事件通常由
SECURITY(安全模塊)或AAA模塊產生,需單獨開啟:# 允許安全模塊(登錄、認證)的日誌發送到服務器,級別設為informational(包含登錄事件)
[交換機] info-center source SECURITY loghost level informational
# 若涉及AAA認證登錄,補充配置AAA模塊
[交換機] info-center source AAA loghost level informational
2. 針對 “網口插拔事件”(接口狀態變化)
接口事件由
IFNET(接口模塊)產生,需單獨配置:# 允許接口模塊的日誌發送到服務器,級別設為notifications(包含up/down事件)
[交換機] info-center source IFNET loghost level notifications
3. 簡化配置:對所有模塊開放必要級別
若需快速驗證,可對所有模塊開放
debugging級別(包含所有日誌,測試用,生產環境需收緊):[交換機] info-center source all loghost level debugging
三、檢查日誌輸出格式與服務器兼容性
部分服務器對 syslog 格式敏感,需確保交換機輸出格式正確:
# 配置日誌格式為標準syslog(默認可能為設備自定義格式)
[交換機] info-center loghost format syslog
四、實時驗證與抓包確認
- 在交換機上觸發日誌事件:
- 手動插拔測試網口(如 G1/0/1),觸發接口 up/down 事件。
- 通過 Telnet/SSH 重新登錄交換機,觸發登錄事件。
- 在服務器端抓包驗證:執行
tcpdump -i <網卡名> udp port 514,查看是否有來自 192.168.8.233 的 UDP 514 報文:- 若有報文但服務器未記錄:檢查服務器 syslog 服務配置(如 rsyslog 的
/etc/rsyslog.conf是否監聽 514 端口,且允許 local7(或配置的 facility)日誌寫入)。 - 仍無報文:回到交換機,執行
display info-center statistics查看 “Loghost” 的發送計數是否增長,若增長為 0,說明交換機未生成日誌,需檢查模塊是否正確;若增長但服務器未收到,需排查網絡(盡管已排除,但建議再次確認交換機與服務器之間是否有 ACL 攔截 UDP 514)。
- 若有報文但服務器未記錄:檢查服務器 syslog 服務配置(如 rsyslog 的
五、補充注意事項
- 級別定義:syslog 級別從高到低為:emergency、alert、critical、error、warning、notifications、informational、debugging。登錄事件和接口事件通常在
notifications或informational級別,設置過低(如 warning 及以上)會過濾這些事件。 - 模塊名稱:不同型號交換機的模塊名稱可能不同(如接口模塊可能為
INTERFACE而非IFNET),可通過info-center source ?查看支持的模塊列表,選擇與接口、安全相關的模塊。
總結
核心步驟:確認日誌服務器配置並啟用→針對登錄(SECURITY/AAA)和接口(IFNET)模塊單獨開放合適級別→驗證服務器是否收到報文。通過精準匹配模塊和級別,可解決日誌未發送的問題。
- 2025-10-29回答
- 評論(0)
- 舉報
-
(0)
➤
✖
親~登錄後才可以操作哦!
確定
✖
✖
你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
✖
舉報
×
侵犯我的權益
>
對根叔社區有害的內容
>
辱罵、歧視、挑釁等(不友善)
侵犯我的權益
×
侵犯了我企業的權益
>
抄襲了我的內容
>
誹謗我
>
辱罵、歧視、挑釁等(不友善)
騷擾我
侵犯了我企業的權益
×
您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。
對根叔社區有害的內容
×
垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載
>
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票
不規範轉載
×
舉報說明
暫無評論