تنظیم facility و severity هایی که می بایست دریافت شوند :
این تنظیمات از طریق فایل etc/syslog.conf/ انجام می شود.نمونه پیش فرض این تنظیمات :
کد:
#auth,authpriv.* /var/log/auth.log*.*;auth,authpriv.none -/var/log/syslog#cron.* /var/log/cron.logdaemon.* -/var/log/daemon.logkern.* -/var/log/kern.loglpr.* -/var/log/lpr.logmail.* -/var/log/mail.loguser.* -/var/log/user.loguucp.* /var/log/uucp.log## Logging for the mail system. Split it up so that# it is easy to write scripts to parse these files.#mail.info -/var/log/mail.infomail.warn -/var/log/mail.warnmail.err /var/log/mail.err# Logging for INN news system#news.crit /var/log/news/news.critnews.err /var/log/news/news.errnews.notice -/var/log/news/news.notice
قاعده نوشتن :
کد:
facility.severity log-file-name
چند مثال :
کد:
local7.debug /var/log/ciscorouter1.log
local7.* /var/log/ciscorouter1.loglocal7.warn /var/log/ciscorouter1-warn.log
همانطور که از مثال ها هویداست , می توان به چندین شکل syslog را جهت نگه داری پیغام ها تنظیم کرد.
می توانید با
* تمامی severity ها را مشخص کنید تا در یک فایل ذخیره شوند یا اینکه با مشخص کردن نام آن فقط آن severity را ذخیره کنید.همچنین می توانید severityهای مختلف را در فایل های مختلف ذخیره کنید.
نکته مهم در اینجاست که تمامی دستگاه هایی که مثلا با local7 , facility مشخص شده اند , پیغام هایشان به یک فایل می رود.
توصیه می شود که لاگ ها را بر اساس نیازتان در فایل های مجزا تقسیم بندی کنید تا در آینده آنالیز آنها راحت تر باشد.در این مقاله چون هدف آموزش می باشد ما این خط را به syslog.conf اضافه می کنیم :
کد:
local7.* /var/log/ciscorouter1.log
بعد از تنظیم syslog می باست سرویس آن را مجدد راه اندازی کنیم :
در دبین :
کد:
PersianAdmins:~#/etc/init.d/sysklogd restart
در ردهت :
کد:
PersianAdmins:~#/etc/init.d/syslog restart
برای آنکه مطمئن شویم که UDP logging فعال شده است :
کد:
PersianAdmins:~#netstat -an|grep 514 udp 0 0 0.0.0.0:514 0.0.0.0:*
برای مشاهده مستقیم لاگ ها می توانیم از این دستور استفاده کنیم :
کد:
PersianAdmins:~#tail -f /var/log/ciscorouter1.logJul 28 06:25:28 192.168.0.5 30: *Jul 29 16:21:11.759: %SYS-5-CONFIG_I: Configured from console by consoleJul 28 06:25:50 192.168.0.5 31: *Jul 29 16:21:33.267: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.0.1)Jul 28 10:13:16 192.168.0.5 26: *Jul 30 02:21:26.599: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.0.21 started - CLI initiatedJul 28 10:15:52 192.168.0.5 27: *Jul 30 02:24:14.195: %SYS-5-CONFIG_I: Configured from console by consoleJul 28 10:16:32 192.168.0.5 28: *Jul 30 02:24:55.287: UDP: rcvd src=192.168.0.1(137), dst=192.168.0.255(137), length=58Jul 28 10:16:43 192.168.0.5 29: *Jul 30 02:24:56.047: UDP: rcvd src=192.168.0.1(137), dst=192.168.0.255(137), length=58
در صورتیکه بخواهید تمام لاگ ها را برای سرور دیگری ارسال کنید, می بایست در syslog.conf این دستور را اضافه کنید :
s*.* @server-ip
تذکر :در دستور بالا s را حذف کنید.این حرف فقط برای اینکه شیوه نوشتن دستور در سایت فارسی زیان با مشکل مواجه نشود , اضافه شده است.
همچنین شما می توانید facility یا severity خاصی را برای ارسال به سرور دیگر معین کنید.
حال که syslog سرور نصب شد ممکن است بخواهید آن را تست کنید ولی دستگاهی در دسترستان نیست , برای این منظور از نرم افزارهای syslog messages generator استفاده می کنیم.
یکی ازاین نرم افزار ها solarwinds است که در بالا به آن پرداختیم.
اما یکی از نرم افزارهای مجانی و خوب دیگر
Kiwi SyslogGen می باشد.
توضیح شرکت سازنده در رابطه با این نرم افزار :
Kiwi SyslogGen is a free Windows syslog message generator which sends syslog messages to any syslog daemon. Excellent for testing your Kiwi Syslog Daemon setup. Supports TCP syslog messages so you can emulate PIX and Netscreen firewall messages
تنظیم syslog بر روی روتر سیسکو :
به اصلی ترین قسمت این آموزش رسیدیم! , برای تنظیم syslog باید به مد config بروید و سپس :
ip host logserver 192.168.0.21 1
logging host logserver 2
logging facility local7 3
logging trap debug 4
logging trap warnning 5
logging source-interface loopback 1 6
no logging console
no logging monitor
service timestamps log datetime localtime
logging on
توصیه می شود که برای تنظیم هاست برای syslog سرور از اسم استفاده شود تا در صورت تغییر سرور نیازی نباشد دستگاه را مجدد تنظیم کنیم.خط اول بدین منظور است.
در خط دوم syslog سرور را مشخص کرده ایم.
در خط سوم facility را مشخص کرده ایم که باید با facilityدر syslog سرور مشابه باشد.سیسکو بصورت پیش فرض از local7 استفاده می کند.
برای تنظیم severity از logging trap استفاده می کنیم که تمامی serverity های گفته شده از این طریق قابل اجرا می باشند.
خط ششم هم برای اینست که شناسه روتر را در syslog مشخص کنیم و معمولا از اینترفیس loopback برای این منظور استفاده میشود.منظور از شناسه روتر اینست که IP این اینترفیس در لاگ سرور ثبت خواهد شد.
می توانیم از access-list ها لاگ برداری کنیم و برای این منظور بدین ترتیب عمل می کنیم :
کد:
access-list 1 permit {***.***.***.***} log
چند مورد جالب برای لاگ برداری :
log configuration command entered on Cisco Router 
راه اندازی syslog سرور بهمراه آموزش تصویری 
