系统日志记录概述
SUMMARY 本节介绍用于标识负责生成消息的 Junos OS 进程的系统日志消息,并简要说明所发生的操作或错误。
系统日志概述
Junos OS 生成系统日志消息(也称为 系统日志消息)以记录设备上发生的事件,包括以下内容:
-
例行操作,例如创建开放最短路径优先 (OSPF) 协议邻接或用户登录到配置数据库。
-
失败和错误情况,例如无法访问配置文件或与对等进程的连接意外关闭。
-
紧急或危急情况,例如设备因温度过高而断电。
每条系统日志消息标识负责生成消息的 Junos OS 进程,并提供所发生操作或错误的简要说明。有关特定系统日志消息的详细信息,请参阅 系统日志资源管理器。https://apps.juniper.net/syslog-explorer/
要将设备配置为记录系统消息,请在 [编辑系统] 层次结构级别配置 syslog 语句。syslog (System)
在 Junos OS 17.3R1 版中,系统日志事件守护程序处理 IPv4 寻址远程主机专用管理路由实例中的 fxp0。在 Junos OS 18.1R1 版中,当连接到远程主机或存档站点并且 fxp0 移动到专用管理实例时,syslog-event 守护程序支持基于 IPv6 的配置。在 Junos OS 18.4R1 版中,系统日志客户端可以通过您在适当层次结构中定义的任何路由实例发送消息。请参阅路由实例 (系统日志)。routing-instance (Syslog)
本主题介绍 Junos OS 进程和库的系统日志消息,而不是 物理接口卡 (PIC) 上的系统日志记录服务,例如自适应服务 PIC。
在 Junos OS 演化版中,每个节点都有一个标准 工具,这是一个用于检索和过滤系统日志的接口。journalctl 系统日志消息是从系统日志中提取的。该 进程在所有节点上运行,并从系统日志中检索事件(基于 syslog 配置)以及来自不同应用程序的错误消息,并将其转发到 进程。relay-eventdmaster-eventd 该过程 在主路由引擎上运行,并将日志消息和错误写入磁盘。master-eventd
使用 系统日志资源管理器 应用程序可以查看或比较不同版本中的系统日志消息。https://apps.juniper.net/syslog-explorer/
在 Junos OS 演化版中,备份路由引擎上没有 文件。messages 所有备份路由引擎日志都位于 主路由引擎节点上的文件中。messages
默认情况下,Junos OS 演化版会将节点名称附加到系统日志消息中的主机名;Junos OS 则不会。此操作可使 Junos OS 演化版系统日志消息符合RFC5424。但是,某些监控系统可能无法正确识别 Junos OS 演化版主机名,因为主机名-节点名称组合与主机名清单中的任何主机名都不匹配。
从 Junos OS 演化版 20.4R2 开始,为确保准确识别监控系统中的 Junos OS 演化主机名, 请使用配置模式命令。set system syslog alternate-format 此命令更改 Junos OS 演化版系统日志消息的格式。节点名称将附加到消息中的进程名称中,而不是附加到主机名中,从而允许监视系统正确标识主机名。
例如,Junos OS 系统日志消息不会在来自 FPC 的系统日志消息中打印源进程:
user@mxhost> show log messages Dec 19 13:22:41.959 mxhost chassisd[5290]: CHASSISD_IFDEV_DETACH_FPC: ifdev_detach_fpc(0) Dec 19 13:23:22.900 mxhost fpc2 Ukern event counter Sock_tx init delayed
但是,Junos OS 演化版消息会将节点名称附加到主机名,并打印来自节点的消息(包括 FPC)的源进程:
user@ptxhost-re0> show log messages May 25 18:41:05.375 ptxhost-re0 mgd[16201]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/dot1xd', PID 21322, status 0 May 25 18:42:34.632 ptxhost-fpc0 evo-cda-bt[14299]: Register bt.igp_misc.debug.hdr_length_cnt not found May 25 18:42:34.753 ptxhost-fpc1 evo-cda-bt[14427]: HBM: hbm_gf_register_inst May 25 18:47:14.498 ptxhost-re0 ehmd[5598]: SYSTEM_APP_READY: App is ready re0-ehmd
如果为 Junos OS 演化版系统日志消息配置了备用格式,则同一组系统日志消息将如下所示,主机名本身如下所示:
user@ptxhost-re0> show log messages May 25 18:41:05.375 ptxhost re0- mgd[16201]: UI_CHILD_STATUS: Cleanup child '/usr/sbin/dot1xd', PID 21322, status 0 May 25 18:42:34.632 ptxhost fpc0- evo-cda-bt[14299]: Register bt.igp_misc.debug.hdr_length_cnt not found May 25 18:42:34.753 ptxhost fpc1- evo-cda-bt[14427]: HBM: hbm_gf_register_inst May 25 18:47:14.498 ptxhost re0- ehmd[5598]: SYSTEM_APP_READY: App is ready re0-ehmd
从 SRX 系列和 NFX 系列设备上的 Junos OS 22.1R1 版以及 QFX5130、QFX5200、QFX5220 和 QFX5700 设备上的 Junos OS 演化版 22.2R1 开始,我们使用格式 在事件标记中添加了多个事件,该格式有一个选项 () 来分隔事件并生成系统日志消息。<event>UI_LOGIN_EVENT|UI_LOGOUT_EVENT</event>| 在这些版本的早期版本中,事件标记使用了格式, 并且不会记录各种筛选器组合 。<event>UI_LOGIN_EVENT UI_LOGOUT_EVENT</event><get-syslog-events> rpc
系统日志记录设施和消息严重性级别
表 1 列出了可在层次结构级别的 配置语句中指定的 Junos OS 系统日志记录工具。[edit system syslog]
设施(数量) |
事件或错误的类型 |
|---|---|
|
Junos OS 内核执行操作并遇到错误。 |
|
用户空间执行操作或遇到错误。 |
|
系统执行操作或遇到错误。 |
|
身份验证和授权尝试。 |
|
FTP 执行操作或遇到错误。 |
|
网络时间协议执行操作或遇到错误。 |
|
与安全相关的事件或错误。 |
|
与动态流捕获相关的事件。 |
|
本地外部应用程序执行操作或遇到错误。 |
|
防火墙过滤器执行数据包过滤操作。 |
|
数据包转发引擎执行操作或遇到错误。 |
|
指定的配置在路由器类型上无效。 |
|
对 Junos OS 配置的更改。 |
|
客户端应用程序(如 Junos XML 协议或 NETCONF XML 客户端)在 Junos OS 命令行界面 (CLI) 提示符下发出命令。 |
列出了可以在层次结构级别的 配置语句中指定的严重性级别。表 2[edit system syslog] 从 到的级别按从最高严重性(对功能影响最大)到最低的 顺序排列。emergencyinfo
与其他严重性级别不同,该 级别禁用设施日志记录,而不是指示触发事件对路由功能的影响程度。none 有关更多信息,请参阅 禁用设施的系统日志记录。禁用设施的系统日志记录
value |
严重性级别 |
Description |
|---|---|---|
不适用 |
|
禁用将关联设施记录到目标。 |
0 |
|
系统崩溃或导致路由器停止运行的其他情况。 |
1 |
|
需要立即更正的情况,例如系统数据库损坏。 |
2 |
|
严重条件,例如硬错误。 |
3 |
|
与紧急、警报和严重级别的错误相比,错误条件的后果通常更严重。 |
4 |
|
需要监控的条件。 |
5 |
|
这些情况不是错误,但可能需要特殊处理。 |
6 |
|
感兴趣的事件或非错误条件。 |
7 |
|
包括所有严重性级别。 |
默认系统日志设置
表 3 汇总了适用于运行 Junos OS 的所有路由器的默认系统日志设置,并指定要包含在配置中的语句以覆盖默认值。
设置 |
默认 |
覆盖语句 |
说明 |
|---|---|---|---|
将消息转发到远程计算机的替代工具 |
对于 : 对于 : 对于 : 对于 : 对于 : 对于 : |
[edit system syslog]
host hostname {
facility-override facility;
}
|
|
记录到文件的消息的格式 |
基于 UNIX 格式的标准 Junos OS 格式 |
[edit system syslog]
file filename {
structured-data;
}
|
|
存档集中的最大文件数 |
10 |
[edit system syslog]
archive {
files number;
}
file filename {
archive {
files number;
}
}
|
|
日志文件的最大大小 |
M 系列、MX 系列和 T 系列:1 兆字节 (MB) TX 矩阵:10 MB |
[edit system syslog]
archive {
size size;
}
file filename {
archive {
size size;
}
}
|
|
时间戳格式 |
月、日期、小时、分钟、秒 例如: |
[edit system syslog] time-format format; |
|
可以读取日志文件的用户 |
用户和具有 Junos OS 权限的用户 |
[edit system syslog]
archive {
world-readable;
}
file filename {
archive {
world-readable;
}
}
|
特定于平台的默认系统日志消息
默认情况下,在特定路由器上生成以下消息。要查看其中任何类型的消息,必须按照 Junos OS 最低系统日志记录配置中所述,为消息配置至少一个目标。Junos OS 最低系统日志记录配置
要在 M 系列、MX 系列或 T 系列路由器上记录内核进程消息,请在适当的层次结构级别包含 该语句:
kernel info[edit system syslog] (console | file filename | host destination | user username) { kernel info; }
在由 TX Matrix 路由器和 T640 路由器组成的路由矩阵上,每个 T640 路由器上的主路由引擎会将严重性为 TX Matrix 路由器上的所有消息转发到主路由引擎。
info这等效于 TX Matrix 路由器上包含的以下 配置语句 :[edit system syslog] host scc-master { any info; }从 Junos OS 版本 15.1X49-D10 和 Junos OS 版本 17.3R1 开始,同样,在由连接的 T1600 或 T4000 路由器的 TX Matrix Plus 路由器组成的路由矩阵上,每个 T1600 或 T4000 LCC 上的主路由引擎会将严重性为及 以上的所有消息转发到 TX Matrix Plus 路由器上的主路由引擎。
info这等效于 TX Matrix Plus 路由器上包含的以下配置语句:注:从用户接口角度来看,路由矩阵显示为单个路由器。TX Matrix Plus 路由器控制路由矩阵中与其连接的所有 T1600 或 T4000 路由器。
[edit system syslog] host sfc0-master { any info; }
解释以标准格式生成的消息
Junos OS 进程或子例程库生成的标准格式消息的语法取决于它是否包含以下优先级信息:
当语句 包含在 [] 或 [] 层次结构级别时,系统日志消息具有以下语法:
explicit-priorityfilenamehostnametimestamp message-source: %facility–severity–TAG: message-text
当定向到控制台或用户时,或者当文件或远程主机不包含该 语句时,系统日志消息具有以下语法:
explicit-prioritytimestamp message-source: TAG: message-text
表 4 介绍了消息字段。
| 领域 | Description |
|---|---|
timestamp |
记录消息的时间。 |
message-source |
生成消息的进程或组件的标识符,以及记录消息的路由平台。对于 Junos OS,此字段包含两个或更多子字段:主机名、进程和进程 ID (PID)。对于 Junos OS 演化版,此字段包括带有附加节点名称的主机名、进程名称和 PID。如果在 Junos OS 演化设备上的 [编辑系统 syslog] 层次结构级别配置语句 ,则节点名称不会附加到主机名中,而是附加到进程名称中。 hostname process[process-ID] |
facility |
指定系统日志消息所属设施的代码。有关代码到设施名称的映射,请参阅表:在 “在系统日志消息中包括优先级信息”中的优先级信息中报告的设施代码。在系统日志消息中包含优先级信息 |
severity |
表示分配给系统日志消息的严重性级别的数字代码。有关代码到严重性名称的映射,请参阅表:在 系统日志消息中包含优先级信息中的优先级信息中报告的严重性级别的数字代码。在系统日志消息中包含优先级信息 |
TAG |
唯一标识消息的文本字符串,全部使用大写字母,并使用下划线 (_) 分隔单词。标记名称以指示生成软件进程或库的前缀开头。此引用中的条目按此前缀的字母顺序排序。 并非路由平台上的所有进程都使用标记,因此此字段并不总是显示。 |
message-text |
消息的文本。 |
管理主机操作系统系统日志和核心文件
在具有主机操作系统的 Junos OS 交换机上,Junos OS 可能会生成系统日志消息(也称为 系统日志消息),以记录交换机上发生的事件,包括以下内容:
例行操作,例如用户登录到配置数据库。
故障和错误条件。
紧急或危急情况,例如开关因温度过高而断电。
在 OCX 系列交换机上:
在以下情况下,系统日志消息将记录在 主机操作系统的文件中:/var/log/dcpfe.log
初始化转发守护程序时。
邮件被标记为紧急 (LOG_EMERG)。消息的副本也会发送到 交换机上的目录。/var/log
来自进程的消息在目录中的主机系统上 可用。/var/log 来自主机箱管理进程的系统日志消息记录在 目录中的 文件中。lcmd.log/var/log
在具有主机操作系统的 QFX 交换机上:
Junos OS 和主机操作系统记录系统和进程事件的日志消息,并在某些系统故障时生成核心文件。
这些文件存储在目录中,例如 /var/log 用于日志消息,/var/tmp 或 /var/crash 用于核心文件,具体取决于交换机上运行的主机操作系统的类型。
出于诊断目的,您可以从交换机上的 Junos OS CLI 访问这些主机操作系统系统日志和核心文件。您还可以清理主机操作系统存储临时日志和其他文件的目录。
本主题包括以下部分:
查看主机操作系统系统上的日志文件
要查看在主机操作系统上创建的日志文件的列表,请输入以下命令:
user@switch> show app-engine logs
将日志文件从主机系统复制到交换机
要将日志文件从主机操作系统复制到交换机,请输入以下命令:
user@switch> request app-engine file-copy log from-jhost source to-vjunos destination
例如,要将日志文件复制到 交换机,请输入以下命令:lcmd
user@switch> request app-engine file-copy log from-jhost lcmd.log to-vjunos /var/tmp
查看主机操作系统系统上的核心文件
要查看主机操作系统系统上生成和存储的核心文件列表,请输入以下命令:
user@switch> show app-engine crash
该列表可能类似于以下示例输出:
Compute cluster: default-cluster
Compute node: default-node
Crash Info
==========
total 13480
-rw-r--r-- 1 root root 178046 Feb 14 23:08 localhost.lcmd.26653.1455520135.core.tgz
-rw-r--r-- 1 root root 4330343 Feb 15 00:45 localhost.dcpfe.7155.1455525926.core.tgz
-rw-r--r-- 1 root root 4285901 Feb 15 01:49 localhost.dcpfe.25876.1455529782.core.tgz
-rw-r--r-- 1 root root 4288508 Feb 15 02:39 localhost.dcpfe.713.1455532774.core.tgz
-rw-r--r-- 1 root root 264079 Feb 15 17:02 localhost.lcmd.1144.1455584540.core.tgz
将核心文件从主机系统复制到交换机
要将核心文件从主机操作系统复制到交换机,请输入以下命令:
user@switch> request app-engine file-copy crash from-jhost source to-vjunos destination-dir-or-file-path
当目标 Junos OS 路径为目录时,默认情况下使用源文件名。要在目标位置重命名文件,请输入 destination 参数作为完整路径,包括所需的文件名。
例如,要将核心归档文件复制到 交换机,请输入以下命令:localhost.lcmd.26653.1455520135.core.tgz
user@switch> request app-engine file-copy crash from-jhost localhost.lcmd.26653.1455520135.core.tgz to-vjunos /var/tmp
要查看交换机上的结果,请输入以下命令:
user@switch> show system core-dumps re0: -------------------------------------------------------------------------- -rw-r--r-- 1 root field 178046 Feb 15 17:15 /var/tmp/localhost.lcmd.26653.1455520135.core.tgz total files: 1
清理主机操作系统上的临时文件
要删除在主机操作系统上创建的临时文件,请输入以下命令:
user@switch> request app-engine cleanup
例如,在具有 Linux 主机操作系统的交换机上,以下示例输出显示了对存储在 /var/tmp 中的临时文件的清理操作:
Compute cluster: default-cluster Compute node: default-node Cleanup (/var/tmp) =======
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
info