小结:Syslog
在生产环境中管理和查询 Syslog 日志,是运维安全审计的关键手段。以下分别是华为(VRP)和思科(IOS)设备关于 Syslog 的启用、日志等级、远程服务器配置和本地查看的完整参考。
✅ 一、基本概念简述
-
Syslog 日志等级(从高到低)
0 - emergencies(灾难级) 1 - alerts(警告) 2 - critical(严重) 3 - errors(错误) 4 - warnings(警告) 5 - notifications(通知) 6 - informational(信息) 7 - debugging(调试)
✅ 二、华为设备(VRP)Syslog 配置与查询
🔹 本地日志查看
display logbuffer // 查看本地日志缓冲区
display logbuffer | include DHCP // 筛选关键词,如 DHCP
🔹 开启日志记录并设置等级
info-center enable // 启用信息中心(默认已启)
info-center source DHCP trap level informational // 设置 DHCP 模块的日志级别
info-center logbuffer size 4096 // 设置本地日志缓冲大小
🔹 远程 Syslog 服务器配置(UDP 默认端口 514)
info-center loghost 192.168.1.100 facility local7 level informational
info-center source default channel loghost
如需使用 TCP 发送日志(更可靠):
info-center loghost 192.168.1.100 transport tcp port 601
🔹 清空本地日志
reset logbuffer
✅ 三、思科设备(IOS)Syslog 配置与查询
🔹 本地日志查看
show logging
show logging | include DHCP
🔹 启用 Syslog 并设置等级
logging buffered 8192 informational // 本地缓冲区大小与等级
logging console notifications // 控制台显示等级
logging monitor informational // 远程终端显示等级
🔹 配置远程 Syslog 服务器
logging 192.168.1.100 // 设置 Syslog 服务器 IP
logging trap informational // 设置发送日志等级
🔹 指定 facility(可选)
logging facility local7
✅ 四、建议日志策略(生产建议)
| 类别 | 日志等级 | 建议 |
|---|---|---|
| DHCP Snooping/IPSG | informational | 记录绑定行为 |
| ARP 防护/DAI | warning 或以上 | 记录异常拦截 |
| 系统资源监控 | notification/info | 记录资源变化 |
| ACL、安全事件 | warning/critical | 必须记录 |
✅ 五、Syslog Server 端建议工具
| 工具/平台 | 推荐使用场景 |
|---|---|
| Graylog | 企业级日志搜索、图表、告警 |
| ELK Stack | 日志采集、分析、可视化 |
| rsyslog/syslog-ng | 传统 Linux 系统日志管理 |
| Splunk | 高级日志挖掘、SIEM 集成 |
华为(VRP)与思科(IOS)设备在生产环境中的 Syslog 配置模板**,满足企业对网络安全、故障排查、审计留痕的基本要求,适用于大多数交换机和路由器型号。默认采用 UDP 514 端口,可选 TCP。
华为设备 Syslog 配置模板(适用于 VRP)
# 启用信息中心
[Huawei] info-center enable# 配置本地日志缓冲区大小和等级
[Huawei] info-center logbuffer size 8192
[Huawei] info-center source default channel logbuffer level informational# 配置终端显示等级(可选)
[Huawei] info-center source default channel console level warning# 配置远程 Syslog 服务器
[Huawei] info-center loghost 192.168.100.10 facility local7 level informational# 指定模块日志等级(可选)
[Huawei] info-center source DHCP trap level informational# 查看所有模块日志等级
[Huawei] display info-center source# 建议设置的关键模块
info-center source DHCP trap level informational
info-center source ARP trap level warning
info-center source SECURITY trap level warning
info-center source SYSTEM trap level notification[Huawei] info-center source SECURITY trap level warning
[Huawei] info-center source ARP trap level warning# 如果使用 TCP 发送日志(更稳定)
[Huawei] info-center loghost 192.168.100.10 transport tcp port 601
思科设备 Syslog 配置模板(适用于 IOS)
! 启用本地日志缓冲区和等级
logging buffered 8192 informational! 设置控制台日志等级(可选)
logging console warnings! 设置远程终端日志等级(可选)
logging monitor informational! 配置远程 Syslog 服务器地址和等级
logging 192.168.100.10
logging trap informational
logging facility local7! 可选启用时间戳和主机名
service timestamps log datetime msec localtime show-timezone
service sequence-numbers