日志对于网络安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。路由器是各种信息传输的枢纽,被广泛用于企事业单位的网络建设中,承担着局域网之间及局域网与广域网之问连接的重任。
Cisco是目前使用比较广泛的一种路由器,在许多行业系统中有非常普遍的应用。以下是笔者在日常工作中积累的一些对Cisco路由器日志设置方面的经验,这些实例都在实际应用中调试通过并投入使用,供大家参考。
路由器的一些重要信息可以通过syslog机制在内部网络的Unix主机上作日志。在路由器运行过程中,路由器会向日志主机发送包括链路建立失败信息、包过滤信息等等日志信息,通过登录到日志主机,网络管理员可以了解日志事件,对日志文件进行分析,可以帮助管理员进行故障定位、故障排除和网络安全管理。
认识syslog设备
首先介绍一下syslog设备,它是标准Unix,的跟踪记录机制,syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件,然后将这些信息写到一个文件或设备中,或给用户发送一个信息。syslog机制主要依据两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件,syslogd的控制是由/etc/syslog.conf来做的。syslog.conf文件指明syslogd程序记录日志的行为,该程序在启动时查询syslog.conf配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意:只能用tab键来分隔,不能用空格键),其中选择域指明消息的类型和优先级;动作域指明sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。也就是说第一栏写"在什么情况下"及 "什么程度"。然后用TAB键跳到下一栏继续写 "符合条件以后要做什么"。当指明一个优先级时,syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。
第一栏包含了何种情况与程度,中间用小数点分隔。详细的设定方式如下:
1.在什么情况下记录?
各种不同的情况以下面的宇串来决定:
auth 关于系统安全与使用者认证;
cron关于系统自动排序执行(CronTable);
daemon 关于背景执行程序;
ken 关于系统核心;
Ipr 关于打印机;
mai1 关于电子邮件;
news 关于新闻讨论区;
syslog 关于系统记录本身;
user 关于使用者;
uucp关于UNIX互拷(UUCP)。
2.什么程度才记录P
表1是各种不同的系统状况,依轻重缓急排列。
表一
例如你要系统去记录info等级的事件,则notice、err、warning、Crit、alert、emerg等在info等级以上的也会被一并记录下来。把上面所写的1、2项以小数点组合起来就是完整的"要记录哪些东西"的写法。例如mail.info表示关于电子邮件传送系统的一般性信息。auth.emerg就是关于系统安全方面相当严重的信息。Ipr.none表示不要记录关于打印机的信息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用:
[1] [2] 下一页
星号(*):代