什么是路由器日志？怎样设置保存路由器日志

日志对于网络安全非常重要。它记录了系统每天发生的各种事情。可以通过它检查错误的原因或者攻击者留下的痕迹。

Cisco是目前应用比较广泛的路由器，广泛应用于很多工业系统。以下是日常工作中积累的一些设置Cisco路由器日志的经验。这些实例已经过调试，并在实际应用中投入使用。

我们可以使用路由器日志快速定位和排除故障。

路由器是各种信息传输的枢纽，广泛应用于企事业单位的网络建设中，承担着局域网之间以及局域网与广域网之间连接的重要任务。

一、什么是路由器日志？

路由器的一些重要信息可以通过syslog机制记录在内网的Unix主机上。在路由器运行过程中，路由器会向日志主机发送包括链路建立失败信息、包过滤信息等日志信息，

网络管理员可以了解日志事件和分析日志文件，这可以帮助管理员定位故障、排除故障和管理网络安全。

第二，路由器日志记录的存储位置

Sysloqd提供了以下方法来记录系统中发生的事件：

(1)指定的远程主机

如果没有记录本地机器上的系统信息，可以记下网络中另一台主机的名称，然后在主机名前面加上“@”符号(例如(@)ccunix1.variox.int，但指定的主机必须有sysloqd)。

这可以防止日志文件因硬盘错误而丢失。

(2)一般文件

这是最常见的方式。您可以指定文件路径和文件名，但必须以目录符号“/”开头，系统才会知道这是一个文件。

比如/var/adm/maillog的意思是记录到/var/adm下一个名为maillog的文件，如果之前没有这个文件，系统会自动生成一个。

(3)指定的终端或其他设备

您还可以将系统记录写入终端或设备。如果将系统记录写入终端，当前正在使用终端的用户将直接在屏幕上看到系统信息(例如/dev /conso old或/dev/tty1，

您可以使用屏幕显示系统信息。如果将系统记录写入打印机(例如/dev/！p0).然后你就会有一张写满系统记录的纸条，让网络入侵者无法修改日志来隐藏入侵痕迹。

以上是syslog的记录程度和记录方式的编写方法，大家可以根据自己的需要记录自己需要的内容。但是这些记录一直在添加，除非文件被自己删除，否则这些文件会越来越大。

Syslog设备是网络攻击者的明显目标，因此我们应该特别注意它，通过修改日志来隐藏入侵痕迹。

养成每周(或更少)检查一次记录的习惯，将过期的记录按序号或日期进行备份，以便以后查阅。从不录制*。*，所以一切都会被记录下来，文件会太大。

要找资料时根本无法马上找出来。有人在记录网络日志时，连谁去ping他的主机都要记录，这样不仅降低系统效率而且增加了磁盘用量。

三、什么程度才记录日志

如你要系统去记录info等级的事件，则notice、err、warning、Crit、alert、emerg等在info等级以上的也会被一并记录下来。

把上面所写的1、2项以小数点组合起来就是完整的'要记录哪些东西'的写法。例如mail.info表示关于电子邮件传送系统的一般性信息。auth.emerg就是关于系统安全方面相当严重的信息。

Ipr.none表示不要记录关于打印机的信息(通常用在有多个纪录条件时组合使用)。另外有三种特殊的符号可供应用：

惊叹号(!):表示不要记录目前这一等级及其上的等级。

等号(=):表示只记录目前这一等级，其上的等级不要记录。例如上面的例子，平常写下info等级时，

也会把位于info等级上面的notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。

星号(*):代表某一细项中所有项目。例如mail.*表示只要有关mail的，不管什么程度都要记录下来。而*.info会把所有程度为infn的事件给记录下来。

四、syslog设备

syslog设备，它是标准Unix，的跟踪记录机制，syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件，然后将这些信息写到一个文件或设备中，或给用户发送一个信息。

syslog机制主要依据两个重要的文件：/etc/syslogd(守护进程)和/etc /syslog.conf配置文件，syslogd的控制是由/etc/syslog.conf来做的。

syslog.conf文件指明syslogd程序记录日志的行为，该程序在启动时查询syslog.conf配置文件。该文件由不同程序或消息分类的单个条目组成，每个占一行。

对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意：只能用tab键来分隔，不能用空格键)，

其中选择域指明消息的类型和优先级；动作域指明sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。

每个选项是由设备和优先级组成。也就是说第一栏写'在什么情况下'及'什么程度'。然后用TAB键跳到下一栏继续写'符合条件以后要做什么'。

当指明一个优先级时，syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。

第一栏包含了何种情况与程度，中间用小数点分隔。详细的设定方式如下：

auth 关于系统安全与使用者认证；

cron关于系统自动排序执行(CronTable);

daemon 关于背景执行程序；

ken 关于系统核心；

Ipr　关于打印机；

mai1 关于电子邮件；

news 关于新闻讨论区；

syslog 关于系统记录本身；

user 关于使用者；

uucp关于UNIX互拷(UUCP)。

五、路由器日志功能的具体设置方法

首先在UNIX主机上做下列工作，以超级用户注册进入：

其中168.1.1.2为日志主机的IP地址。这样对路由器进行的一些操作将会记录在mail_debug和r2509_debug这两个文件中。

通过查看路由器日志，我们可以解决大部分的故障问题，也方便查询故障原因，更好的、更快速的解决网络问题。