可見��,日志能給我們的工作提供很大保障�����。隨著網絡不斷擴大�,設備數量不斷地增加,不可能對所管理區(qū)域定期登陸到設備上察看日志信息�����,就不可能提前知道問題存在?網絡管理人員若不能夠及時的知道設備的運行狀況����,我們就不能夠及時的采取相應的措施。如果別人試圖利用VPN服務器非法訪問企業(yè)內部的網絡�����,這些都會在日志上留下痕跡����。網絡管理人員若不能夠從日志上得知這些信息的話,則就不能夠采取相關的措施����,來預防下次的攻擊�。
如何利用認識日志�����、利用日志
事實上���,在很多案例中可以發(fā)現,一個企業(yè)的網絡管理員每天有接近一半的時間被花費在處理信息上面���,而這可能只是例行的日志閱讀工作�,他們往往還需要抽出一些時間(甚至加班)來對這些信息進行深入的分析����,以發(fā)現系統(tǒng)中的不合理或不安全。
要想利用好日志���,必須要了解日志����、認識日志�,更要熟悉日志結構���,這樣才能很快就能提取所需相關信息,來處理相關的網絡故障����。網絡設備畢竟不是人腦,對日志的描述不是很生動���。為了讓網絡設備自己收集運行狀態(tài)信息�����,往往會給其設置固定的格式���。一般來說,同一個品牌的產品����,雖然其產品類型不同,但是�,其格式往往是固定的。日志信息都有其固定的開頭符號�����。在產品中,一般都是以%開頭����。參數PIX表示設備消息的功能代碼,即這條日志消息對應的是設備中一種功能�,如是訪問控制列表發(fā)出的,還是VPN服務器發(fā)出的�����。參數-level表示日志消息級別的嚴重性����,這個數字越小說明日志所反映的信息越嚴重����。參數-Message-Number表示這個信息所對應的唯一數字標號。一般我們在遇到難以解決的問題時�,可以利用這個數字編號去網絡上尋求幫助。而參數Message-Text�,則是對情況的一般性描述。有時候���,這個描述中����,會顯示IP地址、端口以及用戶名等有用信息���。 把一些網絡設備日志的固定格式做成了小卡片�����。當有需要的時候����,可以及時拿過來看����。不過當你看多了,就自然而然會熟悉這個格式�����。這在剛開始接觸一個牌子的設備的時候��,非常有用��。例如:前段時間,我們網絡經常出現有丟包現象��,把所有懷疑的故障點都逐步排除����,故障現象依然存在。發(fā)生的丟包現象���,不是整個網絡���,而是部分vlan內用戶有問題,也不是經常���,在一個時間段內網絡正常��,有間斷性。后來發(fā)現交換機有這樣一條告警信息:
An alarm 512 level 4 cleared at 16:01:26 05/23/2008 UTC sent by MCP %PORT% Interface up on fei_1/15
從這個告警信息上看����,級別為4,發(fā)生在fei_1/15接口���,端口上有漂移現象��,當出現這種告警時����,就會出現一段時間丟包現象,說明該接口下網絡有故障�����。
日志管理
日志管理其實很簡單�����,確定日志的顯示位置����、選擇自己需要查看的日志信息、系統(tǒng)日志的顯示格式���。我們知道日志管理的第一步�,就是希望日志能夠發(fā)送到網絡管理人員指定的地方�����。如此的話�����,網絡管理人員就不需要跑到每個設備那里去查看日志信息?��?梢栽谝粋€統(tǒng)一的平臺上查看數十臺設備的日志信息���。
通常應用日志源、日志事件類型��、重要程度等幾個基本的維度是可以構建有效的日志分類體系的���,過多的維度會使得日志信息難于管理�,那樣做的話管理員必須在處理大量信息的同時兼顧更多的關于分類的信息����。一般來說,系統(tǒng)日志會記錄很多內容���。其中包括一些正常的信息。如有哪個用戶訪問了哪個網站等等�。但是,作為網絡管理員并不需要關注所有的信息�����。所以,我們也希望����,各個網絡設備能夠對日志信息進行過濾,只發(fā)送一些關系到系統(tǒng)正常運行的日志信息�。而不是“大事不匯報,小事天天報”�。為此,我們可以通過系統(tǒng)日志的級別來進行控制���。采用日志級別來對是否需要發(fā)送日志進行控制���。不同的嚴重性級別被附加于日志信息上。當級別達到某個程度的時候��,網絡設備就需要把這個日志信息發(fā)送到筆者制定的SNMP管理平臺上����。
總結
可見日志系統(tǒng)承擔著整個信息基礎設施中感覺器官的作用,一個完善的���、工作良好的體系需要在正確的地點部署日志采集工具����,這些日志信息被匯總之后體現了整個設施的全貌。一個小小日志能為網絡管理員提供更可靠信息��,同時也為網絡運行提供可靠保障����。
