Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将系统日志消息定向到远程目标

指定要包含在日志中的消息的功能和严重性

每个系统日志消息都属于一个设备,该设施将由同一来源(如软件进程)生成的消息组合在一起,或者涉及类似情况或活动(如身份验证尝试)。每条消息都有预先指定的严重性级别,表示触发事件对路由平台功能的影响的严重程度。

为设备和目标配置日志记录时,将为每个设备指定严重性级别。来自此级别和更高级别的设备的消息将记录到以下目的地:

有关目标的详细信息,请参阅将系统日志消息定向到用户终端,并将系统日志消息定向到控制台

要将属于多个设备的消息记录到特定目标,请在目标的语句集中将每个设备和相关严重性指定为单独的语句。

表 1列出了可在[edit system syslog]层次结构级别的配置语句中指定的 Junos OS 系统日志记录功能。

表 1: Junos OS 系统日志记录设备

设施

事件类型或错误

any

全部(来自所有设施的消息)

authorization

身份验证和授权尝试

change-log

Junos OS 配置更改

conflict-log

路由器类型上的指定配置无效

daemon

系统进程执行的操作或出错

dfc

与动态流捕获相关的事件

explicit-priority

在系统日志消息中包括优先级和设备

external

本地外部应用程序执行或出错的操作

firewall

防火墙过滤器执行的数据包过滤操作

ftp

FTP 进程执行的操作或发生的错误

interactive-commands

在 Junos OS 命令行界面(CLI)提示符处或由客户端应用程序(如 Junos XML 协议或 NETCONF XML 客户端)发出的命令

kernel

Junos OS 内核遇到的操作或错误

ntp

网络时间协议进程执行或出错的操作

pfe

数据包转发引擎所执行的操作或出现的错误

security

安全相关事件或错误

user

用户空间进程执行的操作或出错

表 2列出了可在[edit system syslog]层次结构级别的配置语句中指定的严重性级别。从emergencyinfo最高严重程度(对功能的影响最大)到最低级别。

与其他严重性级别不同,级别none将禁用设备记录,而不是指示触发事件严重影响路由功能的情况。有关详细信息,请参阅禁用设备的系统日志

表 2: 系统日志消息严重性级别

严重性级别

Description

N/A

none

禁止将关联设备记录到目标

0

emergency

导致路由器停止运行的系统紧急情况或其他情况

1

alert

需要立即更正的情况,例如系统数据库损坏

2

critical

严重情况,例如硬错误

3

error

通常与紧急、警报和关键级别错误相比严重后果较低的错误情况

4

warning

保证监控的条件

5

notice

不存在错误但可能需要特殊处理的情况

6

info

相关事件或 nonerror 条件

7

any

包含所有严重性级别

将系统日志消息定向到日志文件

要将系统日志消息定向到本地路由引擎/var/log目录中的文件,请将file语句包含在[edit system syslog]层次结构级别:

有关设备和严重级别的列表,请参阅指定要包含在日志中的消息的设备和严重性

为了防止日志文件增长得过大,Junos OS 系统日志记录实用程序默认情况下,会将消息写入定义大小的文件序列中。通过包括此archive语句,您可以配置文件数量、其最大大小以及哪些用户可以读取所有日志文件或某个日志文件。有关详细信息,请参阅指定日志文件大小、编号和存档属性

有关以下语句的信息,请参阅指示部分:

将系统日志消息定向到用户终端

要在登录到本地路由引擎时将系统日志消息定向到一个或多个特定用户(或所有用户)的终端会话,请将user语句包含在[edit system syslog]层次结构级别:

指定一个或多个 Junos OS 用户名,用空格分隔多个值,或使用星号*()来指示登录到本地路由引擎的所有用户。

有关日志记录功能和严重性级别的列表,请参阅指定要包含在日志中的消息的设备和严重性。有关该match语句的信息,请参阅使用字符串和正则表达式精炼记录集消息

将系统日志消息定向到控制台

要将系统日志消息定向到本地路由引擎的控制台,请将console语句包含在[edit system syslog]层次结构级别:

有关日志记录功能和严重性级别的列表,请参阅指定要包含在日志中的消息的设备和严重性

将系统日志消息定向到远程机器或其他路由引擎

要将系统日志消息直接转发至远程计算机或路由器路由引擎,请包含 层级 host[edit system syslog] 语句:

要将系统日志消息直接发送给远程机器,请包括 host hostname 语句,以指定远程机器的 IP 版本 4 (IPv4)地址、IP 版本 6 (IPv6)地址或完全限定主机名。远程机器必须正在运行标准 syslogd 实用程序。我们不建议将消息定向到其他瞻博网络路由器。在定向到远程机器的每个系统日志消息中,本地路由引擎的主机名出现在时间戳之后,表示该消息的来源。

要将系统日志消息直接转发至路由引擎且操作有两个路由引擎的路由器上的另一个路由器,请包括 host other-routing-engine 该语句。该语句不会自动反向,因此,如果您希望路由引擎相互引导消息,则必须将其包含在每个路由引擎配置中。在每条消息定向到另一个路由引擎中,字符串或显示在时间戳 re0re1 之后,以指示消息的来源。

要在每条消息中记录设备和严重性级别信息, explicit-priority请包含语句。有关详细信息,请参阅在系统日志消息中包括优先级信息

有关该match语句的信息,请参阅使用字符串和正则表达式精炼记录集消息

将消息转发至远程机器时,可包含 语句,以指定在消息中作为来源报告的路由器 source-address 的 IP 地址。在每个语句中,包括 用于分配替代设施的 语句,以及将 hostfacility-overridelog-prefix 字符串添加至每个消息的 语句。您可包含 该语句,以允许以自动系统日志消息格式将结构化系统日志消息转发 structured-dataIETF 远程系统日志服务器。

将系统日志消息定向到远程机器

要将系统日志消息定向到远程机器,请将host语句包含在[edit system syslog]层次结构级别:

要将系统日志消息直接发送给远程机器,请包括 语句以指定远程机器的 host hostname IP 版本 4 (IPv4) 地址或完全限定主机名。远程机器必须正在运行标准 syslogd 实用程序。我们不建议将消息定向到另一个瞻博网络交换机。在定向到远程机器的每个系统日志消息中,本地路由引擎的主机名出现在时间戳之后,表示该消息的来源。

有关在host语句下配置的日志功能和严重性级别列表,请参阅指定要包含在日志中的消息的设备和严重性

要在每条消息中记录设备和严重性级别信息, explicit-priority请包含语句。有关详细信息,请参阅在系统日志消息中包括优先级信息

有关该match语句的信息,请参阅使用字符串和正则表达式精炼记录集消息

将消息定向到远程计算机时,您可以将source-address语句包含在内,以指定在消息中报告为其源的交换机的 IP 地址。在每host个语句中,您还可以facility-override包含用于分配替代设施的语句以及log-prefix将字符串添加到每条消息的语句。

为定向到远程目标的系统日志消息指定替代源地址

要在将消息定向到远程计算机时,指定要在系统日志消息中报告的源路由器,请将source-address语句包含在[edit system syslog]层次结构级别:

source-address是在其中一个路由器接口上配置的有效IPv4IPv6地址。该地址将报告在host hostname[edit system syslog]层次结构级别语句中指定的所有远程机器的消息中,但不在定向到其他路由引擎的消息中。

向定向到远程目标的系统日志消息中添加文本字符串

要将文本字符串添加到定向到远程机器或其他路由引擎的每个系统日志消息,请将log-prefix语句包含在[edit system syslog host]层次结构级别:

字符串可以包含除等号 ( = ) 和冒号 ( : ) 之外的任何字母数字或特殊字符。它还不能包含空格字符;请勿以引号 (" ") 将字符串括起来,以尝试在字符串中包括空格。

将系统日志消息写入日志时,Junos OS 系统日志记录实用程序自动为指定字符串追加冒号和空格。该字符串将插入生成该消息的路由引擎的标识符之后。

以下示例显示如何将字符串 M120 添加到所有消息中,以指示路由器是 M120 路由器,并将消息定向到远程机器 hardware-logger.mycompany.com:

当这些配置语句包括在称为 origin1 的 M120 路由器上时,系统日志中 hardware-logger.mycompany.com 上的消息如下所示:

更改定向到远程目标的系统日志消息的替代设备名称

分配给本地路由器或交换机上记录的消息的某些设施具有 Junos OS 特定的名称(请参阅Junos OS 系统日志记录设备)。在建议配置中,在[edit system syslog host hostname]层次结构级别指定的远程计算机不是瞻博网络路由器或交换机,因此其 syslogd 实用工具无法解释 Junos OS 特定的名称。要使标准 syslogd 实用程序能够在消息被定向到远程机器时处理来自这些设施的消息,请localX使用标准设施名称,而不是 Junos OS 特定的设施名称。

系统日志消息的默认 设施 定向到远程目标列出了位于其Junos OS特定设备名称旁边的默认替代设备名称。

远程机器上的 syslogd 实用程序以相同的方式处理属于某个设施的所有邮件,而不管该消息的来源(瞻博网络路由器或交换机或远程机器本身)。例如,路由器配置中的以下语句称为local-routerauthorization设备到远程机器的直接消息monitor.mycompany.com

本地authorization设备的默认替代工具也authorization是。如果的 syslogd 实用程序monitor配置为将属于该设施authorization的消息写入该文件/var/log/auth-attempts,则该文件包含用户登录时生成的消息, local-router以及用户登录时生成的消息。 monitor 虽然源计算机的名称显示在每个系统日志消息中,但来自多台计算机的消息混合会使分析auth-attempts文件内容变得更加困难。

为了更轻松地分离每个源中的消息,您可以为在到达时生成的local-router所有消息分配备用工具。 monitor 然后,您可以将 syslogd 实用程序monitor配置为使用备用工具将消息写入monitor其自身生成的消息的不同文件中。

要更改定向到远程机器的所有消息所用的设施,请将facility-override语句包含在[edit system syslog host hostname]层次结构级别:

通常,有必要指定远程机器上尚未使用的替代设备,例如其中一个localX设施。在远程机器上,您还必须配置 syslogd 实用程序,以便按所需方式处理消息。

设施重写语句的功能列出了您可以在facility-override语句中指定的设施。

建议不要将facility-override语句包含在[edit system syslog host other-routing-engine]层次结构级别。将消息定向到其他路由引擎时,无需使用备用工具名称,因为其 Junos OS 系统日志记录实用程序可以解释 Junos OS 特定名称。

下面的示例显示如何将本地路由器上生成的所有消息记录在错误级别,或者更高到称为 monitor.mycompany.com 的远程机器上的 local0 设备:

以下示例显示如何配置位于加利福尼亚和位于纽约的路由器中的路由器,以便将消息发送至称为 central-logger.mycompany.com 的单个远程机器。来自加利福尼亚的消息将分配给备用设施 local0,而来自纽约的短信将被分配给备用设施 local2。

  • 配置加利福尼亚路由器以在 local0 设备中聚合消息:

  • 配置纽约路由器以在 local2 设备中聚合消息:

在中央记录器上,您可以配置系统日志记录实用程序,将来自 local0 设备的消息写入文件change-log ,并将消息从 local2 设备写到文件。 new-york-config

定向到远程目标的系统日志消息的默认设备

表 3列出了其使用的 Junos OS 特定设备名称旁边的默认备用设备名称。对于未列出的设备,默认备用名称与本地设备名称相同。

表 3: 定向到远程目标的消息的默认设备

Junos OS特定本地设施

定向到远程目标时的默认设备

更改日志

local6

冲突日志

local5

dfc

local1

防火墙

local3

交互式命令

local7

pfe

local4

用于定向到远程目标的系统日志消息的备用设施

表 4列出了您可以在facility-override语句中指定的设施。

表 4: 设施重写语句的设施

设施

Description

authorization

身份验证和授权尝试

daemon

系统进程执行的操作或出错

ftp

FTP 进程执行的操作或发生的错误

kernel

Junos OS 内核遇到的操作或错误

local0

本地设施编号0

local1

本地设备编号1

local2

本地设备编号2

local3

本地设备编号3

local4

本地设施编号4

local5

本地设备编号5

local6

本地设施编号6

local7

本地设备编号7

user

用户空间进程执行的操作或出错

建议不要将facility-override语句包含在[edit system syslog host other-routing-engine]层次结构级别。将消息定向到其他路由引擎时,无需使用备用工具名称,因为其 Junos OS 系统日志记录实用程序可以解释 Junos OS 特定名称。

例子为定向到远程目标的系统日志消息分配替代工具

将本地路由平台上生成的所有消息记录在错误级别,或者放在local0远程机器上称为monitor.mycompany.com的设备上:

配置位于加利福尼亚的路由平台和位于纽约的路由平台,以便将消息发送至称为 central-logger.mycompany.com 的单个远程机器。来自加利福尼亚的消息被分配了替代设施 local0,而来自纽约的消息被分配给备用设施 local2。

  • 配置加利福尼亚路由平台以在local0设备中聚合消息:

  • 配置纽约路由平台以在local2设备中聚合消息:

central-logger,中,您可以将系统日志记录实用程序配置为将local0来自设备的消息california-config写入文件,并将local2消息从设备发送new-york-config到文件。

根据 TX Matrix 路由器从路由矩阵将消息定向到远程目标

您可以配置由 TX Matrix 路由器和 T640 路由器组成的路由矩阵,以便将系统记录消息定向到远程机器或每个路由器上的其他路由引擎,就像在单机箱系统上一样。将host语句包含在 TX [edit system syslog] Matrix 路由器的层次结构级别上:

TXexplicit-priorityMatrix 路由器以与单机箱系统相同的方式将消息定向到远程机器或其他路由引擎,可选语句(、 facility-overridelog-prefixmatch、、和source-address)也与单个机箱具有相同的效果系统.

对于 TX Matrix 路由器在将源自 T640 路由器的消息定向到远程目标时包含优先级信息,您还必须将该explicit-priority语句包含在[edit system syslog host scc-master]层次结构级别。

other-routing-engine语句不与从 T640 路由器到 TX Matrix 路由器的消息转发交互。例如,如果在插槽0(re0)中包含路由引擎的配置中的语句,则每个 T640 re0路由器上的路由引擎仅向其平台上re1的路由引擎发送消息。它还不会直接向 TX Matrix 路由器re1上的路由引擎发送消息。

由于 TX Matrix 路由器上的配置适用于 T640 路由器,因此任何具有用于直接访问互联网接口的 T640 路由器也会将消息定向到远程机器。后果包括以下内容:

  • 如果将 T640 路由器配置为将消息转发至 TX Matrix 路由器(如默认配置),则远程计算机接收某些消息的两个副本:一个直接来自 T640 路由器,另一个则来自 TX Matrix 路由器。哪些消息是重复的取决于严重性对于本地日志记录和转发消息是否相同。有关详细信息,请参阅配置发送到 TX Matrix 路由器的消息转发

  • 如果该source-address语句在[edit system syslog]层次结构级别上配置,则路由矩阵中的所有路由器都报告定向到远程计算机的消息中的相同源地址。这是恰当的,因为路由矩阵充当单个路由器。

  • 如果包含log-prefix该语句,路由矩阵中所有路由器的消息都包含相同的文本字符串。您不能使用该字符串区分路由矩阵中的路由器。

基于 TX Matrix Plus 路由器从路由矩阵将消息定向到远程目标

从用户接口角度来看,路由矩阵显示为单个路由器。TX Matrix Plus 路由器(又称为交换机结构机箱 SFC)控制路由矩阵中的所有 T1600 或 T4000 路由器也称为 ine 卡机箱 LCC)。

您可将路由矩阵配置为带连接的 T1600 或 T4000 Lcc 的 TX Matrix Plus 路由器,以便将系统记录消息定向到远程机器或每个路由路由器上的其他路由引擎,就像在单机箱系统上一样。将host语句包含在 SFC [edit system syslog]上的层次结构级别上:

TXexplicit-priorityMatrix Plus 路由器以与单机箱系统相同的方式将消息定向到远程机器或其他路由引擎,可选语句(、 facility-overridelog-prefixmatch、、和source-address)的效果也等同于单机箱系统。

对于 TX Matrix Plus 路由器,如果将源自连接 T1600 或 T4000 LCC 的消息定向到远程目标,则包括优先级信息,也必须将该explicit-priority语句包含在[edit system syslog host sfc0-master]层次结构级别。

other-routing-engine语句不与从连接的 T1600 或 T4000 LCC 到 SFC 的消息转发交互。例如,如果在插槽0(re0)中包含路由引擎的配置中的语句,则每个连接re0的 T1600 或 T4000 LCC 上的路由引擎仅向其路由器re1上的路由引擎发送消息。它还不会直接向 SFC 上的re1路由引擎发送消息。

由于 SFC 上的配置适用于连接的 T1600 或 T4000 Lcc,因此具有用于直接访问互联网接口的任何 LCC 也会将消息定向到远程机器。后果包括以下内容:

  • 如果 Lcc 配置为将消息转发至 SFC (如在默认配置中),则远程机器接收部分消息的两个副本:直接从 T1600 中卸下一个,或者从 SFC 中 T4000 LCC。哪些消息是重复的取决于严重性对于本地日志记录和转发消息是否相同。有关详细信息,请参阅配置转至 TX Matrix Plus 路由器的消息转发

  • 如果该source-address语句在[edit system syslog]层次结构级别上配置,则路由矩阵中的所有路由器都报告定向到远程计算机的消息中的相同源地址。这是正确的,因为路由矩阵用作单个路由路由器。

  • 如果包含log-prefix该语句,路由矩阵中所有路由器的消息都包含相同的文本字符串。您不能使用该字符串区分路由矩阵中的路由器。