如何查看Syslog日志

功能介绍：

设备在运行过程中，会发生各种状态变化如链路状态 UP、DOWN 等，也会遇到一些事件如收到异常报文、处理异常等。锐捷产品日志提供一种机制，在状态变化或发生事件时，就自动生成固定格式的消息（日志报文），这些消息可以被显示在相关窗口（控制台、VTY 等）上或被记录在相关媒介（内存缓冲区、FLASH）上或发送到网络上的一组日志服务器上，供管理员分析网络情况和定位问题。同时为了方便管理员对日志报文的读取和管理，这些日志报文可以被打上时间戳和序号，并按日志信息的优先级进行分级。 

一、组网需求

设备运行出现异常时，管理员可以通过设备log信息查看设备异常原因，帮助分析及定位故障原因

二、配置要点

1、日志开关

2、开启日志显示在VTY 窗口上

3、配置日志在内存中的缓存空间

4、日志记录到flash

5、日志信息发送到网络上的 Syslog Sever

6、启用日志信息时间戳

三、配置步骤

1、日志开关

日志开关默认情况下是打开的，如果关闭日志开关，设备将不会在用户窗口打印日志信息，不会将日志信息发送给 Syslog 服务器，也不会将日志信息记录在相关媒介（内存缓冲区、FLASH）上。 

Ruijie(config)#logging on      //打开日志开关

Ruijie(config)#no logging on          //关闭日志开关，一般情况下，不建议关闭日志开关

2、开启日志显示在VTY 窗口上

注意：

telnet、ssh远程登陆到设备上，默认不显示日志信息，若需要打印出日志信息 需要开启 terminal monitor 命令

Ruijie#terminal monitor           //开启日志信息显示在VTY窗口上

Ruijie#terminal no monitor      //关闭日志信息显示在VTY窗口上

3、配置日志在内存中的缓存空间

Ruijie(config)#logging buffered 1000000  7     //1000000代表日志在内存中缓存空间为1000000byte（日志信息超过设定值后，会覆盖老的日志信息），7代表记录所有日志（包括debug信息）

4、日志记录到flash

Ruijie(config)#logging file flash:log 6000000  7     //6000000代表日志在内存中缓存空间为6000000byte（日志信息超过设定值后，会覆盖老的日志信息），7代表记录所有日志（包括debug信息）

说明：

在设备运行出现异常，需要收集日志信息时，建议把日志信息记录到flash（默认日志只记录到内存中，设备掉电或重启后日志信息会丢失）

5、日志信息发送到网络上的 syslog sever

Ruijie(config)#logging server 19216812       //19216812 为Syslog Sever的地址

Ruijie(config)#logging trap 7       //（可选）配置哪些日志信息发往Syslog Sever，7代表记录所有日志（包括debug信息）

Ruijie(config)#logging source interface loopback 0     //（可选）配置设备发送Syslog报文的源ip地址

说明：

在设备运行出现异常，需要收集日志信息时，建议把发送到网络上的 Syslog Sever（默认日志只记录到内存中，设备掉电或重启后日志信息会丢失）

6、启用日志信息时间戳

Ruijie(config)#service timestamps debug datetime msec         //对debug信息启用时间戳

Ruijie(config)#service timestamps log datetime msec           //对普通log信息启用时间戳

1、数据库服务器部署

yum install mariadb-server

systemctl start mariadbservice

mysql_secure_installation 运行安全脚本

2、日志服务器

yum install rsyslog-mysql

rpm -ql rsyslog-mysql

cat /usr/share/doc/rsyslog-mysql-5810/createDBsql

3 在数据库服务器上创建日志用户

grant all on Syslog to loguser@'1921688%' identified by 'magedu';

4 在日志服务器上通过MySQL创建日志数据库

mysql -uloguser -pmagedu -h1921688107 < /usr/share/doc/rsyslog-mysql-5810/createDBsql

5 在日志服务器上配置日志服务配置文件，使其可以支持连接数据库模块，并将本机日志关联至远程日志数据库

vim /etc/rsyslogconf

#### MODULES ####

$ModLoad ommysql

#### RULES ####

info;mailnone;authprivnone;cronnone                   

         :ommysql:1921688107,Syslog,loguser,magedu

service rsyslog restart

6 logger 测试

此时logger触发日志时，日志服务器上的日志将会记录至远程数据库Syslog中

7、web服务器配置

yum install httpd php php-mysql php-gd

systemctl start httpd

tar xvf loganalyzer-415targz

cd loganalyzer-415/

mv src/ /var/www/html/log

cd /var/www/html/log

cat /root/loganalyzer-415/contrib/configuresh

cat /root/loganalyzer-415/contrib/securesh

touch configphp

chmod 666 configphp

收集windows日志到日志服务器的方法

1、下载并解压缩文档Evtsys_443_64-Bit

2、复制相关文件（exe和dll文件）到C:\Windows\System32目录

3、双击exe文件，生成cfg文件

4、然后在CMD下执行：C:\Windows\System32>

evtsysexe -i -h 10112 -p 514

这个是标准格式，亦可精简为：

参数说明：

i是安装成Window服务；

h是syslog服务器地址；10112 为syslog日志服务器

p是syslog服务器的接收端口。

默认下，端口可以省略，默认是514

启动Evtsys服务，命令是：

5，此时服务出现EVentlog to syslog服务，通过syslog服务器也能够查询到系统日志，表示安装成功。

rsyslog 权限；

默认

[root@dr-mysql01 zjzc_log]# ls -ltr zj-frontend0-access27

-rw------- 1 root root 322 Sep 27 07:55 zj-frontend02-access2016-09-27

600

$FileOwner elk

$FileGroup elk

$FileCreateMode 0755

$DirCreateMode 0755

$Umask 0022

修改后:

[root@dr-mysql01 zjzc_log]# ls -ltr zj-frontend0-access27

-rwxr-xr-x 1 elk elk 10558 Sep 27 07:58 zj-frontend02-access2016-09-27

1、首先首先打开系统的终端。

2、在终端中输入sudo -i 进入root模式。

3、然后输入echo > /var/log/syslog，回车，清除syslog日志。

4、或许查看linux下的mysql配置文件。

5、开启日志文件，设置存放方式，设置服务器Id。