设置系统日志记录
Junos 操作系统生成系统日志消息 (也称为 syslog 消息) 以记录事件,包括以下内容:
- 例程操作,例如用户登录到配置数据库
- 失败和错误情况,例如未能访问配置文件
- 紧急或临界条件,例如由于温度过高而导致设备断电
缺省配置不会将系统日志发送到外部服务器。 建议您将日志发送到外部服务器,如本主题中所述。
每条系统日志消息都标识生成该消息的 Junos 操作系统进程,并简要描述发生的操作或错误。 有关特定系统日志消息的详细信息,请参阅 系统日志资源管理器。
Junos 操作系统系统记录消息严重性级别
表 1 列出了您可以在 edit system syslog
层次结构级别的配置中指定的严重性级别。 从 emergency
到 info
的级别按从最高严重性 (对功能的最大影响) 到最低严重性的顺序排列。
与其他严重性级别不同,none
级别会禁用设施日志记录,而不是在路由功能上指示触发事件的严重性。 有关更多信息,请参阅 禁用设施的系统日志记录。
值 | 严重性级别 | 描述 |
---|---|---|
不适用 | 无 | 禁用将关联设施记录到目标的操作。 |
0 | 紧急联系人 | 导致路由器停止运行的系统崩溃或其他情况。 |
1 | 警报 | 需要立即更正的条件,例如损坏的系统数据库。 |
2 | 严重 | 严重情况,例如硬错误。 |
3 | 错误 | 与 emergency ,alert 和 critical 级别的错误相比,通常具有较少严重后果的错误情况。 |
4 | 警告 | 需要监视的条件。 |
5 | 声明 | 不是错误,但可能需要特殊处理的条件。 |
6 | 参考 | 事件或相关的非错误条件。 |
7 | 任意 | 所有严重性级别。 |
以下是用于将日志发送到远程系统日志服务器的样本 vSRX 系统日志配置。 实际设置取决于接收日志的系统日志服务器的配置。
set system syslog user * any emergency
set system syslog host 1.1.1.1 any any
set system syslog host 1.1.1.1 match RT_FLOW_SESSION
set system syslog file messages any any
set system syslog file messages authorization info
set system syslog file interactive-commands interactive-commands any
为安全设备配置系统日志记录
Junos 操作系统支持配置和监视系统日志 (或系统日志) 消息。 您可以配置文件以记录系统消息,同时将属性 (例如严重性级别) 分配给消息。 重新引导请求将记录到系统日志文件中,您可以使用 show log
命令来查看这些文件。
控制平面日志
控制平面日志 (也称为系统日志) 包含在路由平台上发生的事件。 系统将控制平面事件发送到路由引擎上的事件进程,然后通过使用 Junos 操作系统策略和/或生成系统日志消息来处理事件。 您可以选择将控制平面日志发送到文件,用户终端,路由平台控制台或远程机器。 要生成控制平面日志,请在 system
层次结构级别使用 syslog 语句。
数据平面日志
数据平面日志 (也称为安全日志) 主要包括在数据平面内处理的安全事件。 安全日志可以是文本或二进制格式,可以保存在本地 (事件方式),也可以发送到外部服务器 (流方式)。 流方式需要二进制格式,建议在事件方式下节省日志空间。
Junos OS 支持使用流方式和事件方式转发日志。 可以配置所有类别以将特定类别日志发送到不同的日志服务器以进行流方式日志转发。
始终使用流方式来节省 CPU 资源。 这对于其他操作 (例如高可用性 (HA) 或 RPD 操作中的节点间通信) 至关重要。
流方式日志转发包括以下步骤:
- 数据平面生成 RTLOG 系统日志消息并从包转发引擎将其发送出去。
- PDE 进程生成 RTLOG 系统日志消息并从包转发引擎将其发送出去。
- 路由引擎统一威胁管理 (UTMD) 进程生成 RTLOG 系统日志消息,路由引擎使用 RTLOGD 进程将其发送出去。
对于流方式日志转发,在包转发引擎和日志服务器之间使用的传输协议可以是 UDP,TCP 或 TLS。 这些传输协议是可配置的。 路由引擎与日志服务器之间使用的传输协议只能是 UDP。
以下样本配置提供了使用流方式配置数据平面日志的示例。
set security log mode stream
set security log source-address 172.168.0.3
set security log stream S1 format syslog
set security log stream S1 category all
set security log stream S1 host 1.1.1.1
冗余系统日志服务器
用于远程服务器的安全系统日志记录流量通过网络接口端口发送,这些端口支持两个同时的系统日志目标。 必须单独配置每个系统日志记录目标。 配置两个系统日志目标地址时,会将相同的日志发送到两个目标。 虽然可以在支持该功能的任何设备上配置两个目标,但添加第二个目标主要用作独立和主动/备份配置的机箱集群部署的冗余备份。