Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
На этой странице
 

Направление сообщений системного журнала удаленному месту назначения

Указание средства и важности сообщений, которые будут включены в журнал

Каждое сообщение системного журнала принадлежит средству, которое объединяет сообщения, которые создаются одинаковым источником (например, программным процессом) или касаются аналогичных условий или действий (например, попыток аутентификации). Каждое сообщение также назначено с уровнем серьезности,что показывает, насколько серьезно событие срабатывает на платформах маршрутов.

При настройке регистрации для учреждения и назначения необходимо указать уровень серьезности для каждого объекта. Сообщения от учреждения, оцениваемого на этом уровне и выше, регистрируются в следующем пункте назначения:

Дополнительные сведения о пунктах Перенаправка сообщений системного журнала на терминал пользователяназначения см. в "Направление сообщений системного журнала на терминал пользователя" и "Направление сообщений системного журнала на консоль".

Для регистрации сообщений, принадлежащих нескольких объектам определенного назначения, укажите каждое средство и связанную с ним серьезность как отдельное заявление в наборе выражений для места назначения.

Табл. 1 перечисляет Junos OS системных журналов, которые можно указать в настройках на [edit system syslog] уровне иерархии.

Табл. 1: Junos OS системных средств регистрации

Объекта

Тип события или ошибки

any

Все (сообщения из всех помещений)

authorization

Попытки аутентификации и авторизации

change-log

Изменения конфигурации Junos OS конфигурации

conflict-log

Указанная конфигурация недействительна для типа маршрутизатора

daemon

Действия, выполняемые или ошибки, с которыми сталкиваются системные процессы

dfc

События, связанные с динамическим захватом потока

explicit-priority

Включит приоритет и средство в сообщения системного журнала

external

Действия, выполняемые или ошибки, с которыми сталкиваются локальные внешние приложения

firewall

Действия по фильтрации пакетов, выполняемые фильтром межсетевых экранов

ftp

Действия, выполняемые или ошибки, с которыми сталкивается FTP процесс

interactive-commands

Команды, которые выдают на Junos OS интерфейс командной строки (интерфейс командной строки) или клиентских приложений, таких как Junos XML или NETCONF XML-клиент.

kernel

Выполняемые действия или ошибки, выполняемые ядром Junos OS ядром

ntp

Действия, выполняемые или ошибки, с которыми сталкивается протокол сетевого времени

pfe

Выполняемые действия или ошибки, выполняемые модуль передачи пакетов

security

События или ошибки, связанные с безопасностью

user

Действия, выполняемые или ошибки, выполняемые процессами в пользовательском пространстве

Табл. 2 перечисляет уровни важности, которые можно указать в настройках на [edit system syslog] уровне иерархии. Уровни сквозного действия в порядке от наибольшей серьезности emergencyinfo (наибольшее влияние на функционирование) до минимальной.

В отличие от других уровней серьезности, уровень отключает ведение журнала объекта вместо того, чтобы указывая, насколько серьезно событие none срабатывает на функциях маршрутов. Дополнительные сведения см. в "Отключение системного журнала средства".

Табл. 2: Уровни серьезности сообщений системного журнала

Значение

Уровень серьезности

Описание

Не указано

none

Отключение регистрации связанного объекта в пункте назначения

0

emergency

Неверная система или другое состояние, которое приводит к остановке работы маршрутизатора

1

alert

Условия, требу которых требуется немедленная исправление, такие как поврежденная база данных системы

2

critical

Критические ситуации, такие как жесткие ошибки

3

error

Состояния ошибок, которые обычно имеют менее серьезные последствия, чем ошибки на аварийных, аварийных и критических уровнях

4

warning

Условия, которые требуют мониторинга

5

notice

Условия, которые не являются ошибками, но могут потребовать специальной обработки

6

info

События или условия nonerror, которые могут быть интересны

7

any

Включает все уровни серьезности

Перенаправка сообщений системного журнала в файл журнала

Для перенаправки сообщений системного журнала в файл в каталог локального модуль маршрутизации включим утверждение на /var/logfile уровне [edit system syslog] иерархии:

Список средств и уровней важности см. в пункте Указание средства и важности сообщений, которые нужно включить в журнал.

Чтобы предотвратить слишком большой размер файлов журналов, Junos OS утилита системного журнала по умолчанию записывает сообщения в последовательность файлов определенного размера. Включив утверждение, можно настроить количество файлов, их максимальный размер и пользователей, которые могут их прочитать — для всех файлов журналов или для archive определенного файла журнала. Дополнительные сведения см. в указаниях размера файла журнала, номера и свойств архива.

Для получения информации о следующих утверждениях см. следующие разделы:

Перенаправка сообщений системного журнала на терминал пользователя

Чтобы направить сообщения системного журнала на терминальный сеанс одного или более определенных пользователей (или всех пользователей), войдите в локальный модуль маршрутизации, включив утверждение на уровне user[edit system syslog] иерархии:

Укажите одно или несколько Junos OS пользователей, отделяя несколько значений пробелами или используйте звездочки () для указания всех пользователей, во время которых зарегистрирован локальный * модуль маршрутизации.

Список средств регистрации и уровней важности регистрации см. в пункте Указание средства и важности сообщений, которые нужно включить в журнал. Для получения сведений об этом выражении см. Использование строк и регулярных выражений matchдля уточнения набора зарегистрированных сообщений.

Перенаправка сообщений системного журнала на консоль

Для перенаправки сообщений системного журнала на консоль локального модуль маршрутизации включаем утверждение на console[edit system syslog] уровне иерархии:

Список средств регистрации и уровней важности регистрации см. в пункте Указание средства и важности сообщений, которые нужно включить в журнал.

Перенаправка сообщений системного журнала удаленному компьютеру или другому модуль маршрутизации

Для направления сообщений системного журнала удаленному компьютеру или модуль маршрутизации маршрутизатора включаем утверждение уровня host[edit system syslog] иерархии:

Чтобы направить сообщения системного журнала на удаленный компьютер, включите утверждение host hostname, чтобы указать IP-адрес удаленного компьютера версии 4 (IPv4),АДРЕС IP версии 6 (IPv6)или полное имя хоста. На удаленном компьютере должна быть запущена стандартная syslogd утилита. Не рекомендуется отправлять сообщения другому Juniper Networks маршрутизатору. В каждом сообщении системного журнала, направленном на удаленный компьютер, имя хоста локального модуль маршрутизации появляется после timestamp, чтобы указать, что он является источником сообщения.

Чтобы направить сообщения системного журнала другим модуль маршрутизации на маршрутизаторе с двумя установленными и рабочими Routing Engine, включим host other-routing-engine утверждение. Утверждение не является автоматически условным, поэтому необходимо включить его в каждую конфигурацию модуль маршрутизации, если вы хотите, чтобы Routing Engine могли отправлять сообщения друг другу. В каждом сообщении, направленном на модуль маршрутизации, строка или появляется после точки времени для указать источник re0re1 сообщения.

Чтобы записать сведения о степени важности и уровне важности каждого сообщения, включим в него explicit-priority утверждение. Дополнительные сведения см. в "Сведения о приоритетах в сообщениях системного журнала".

Для получения сведений об этом выражении см. Использование строк и регулярных выражений matchдля уточнения набора зарегистрированных сообщений.

При направлении сообщений на удаленные компьютеры можно включить утверждение, чтобы указать IP-адрес маршрутизатора, который указан в сообщениях source-address как их источник. В каждом утверждениях включите утверждение, назначая альтернативное средство, и утверждение, добавляя hostfacility-overridelog-prefix строку к каждому сообщению. Можно включить утверждение, чтобы включить переад часть структурированных сообщений системного журнала на удаленный сервер системного журнала в формате IETF structured-data системного журнала.

Прямая перенаправка сообщений системного журнала на удаленную машину

Для перенаправки сообщений системного журнала на удаленную машину включаем утверждение host на [edit system syslog] уровне иерархии:

Чтобы направить сообщения системного журнала на удаленный компьютер, включите утверждение, включа которое указывает IP-адрес удаленного компьютера версии 4 (IPv4) или полное имя host hostname хоста. На удаленном компьютере должна быть запущена стандартная syslogd утилита. Не рекомендуется отправлять сообщения другому коммутатору Juniper Networks. В каждом сообщении системного журнала, направленном на удаленный компьютер, имя хоста локального модуль маршрутизации появляется после timestamp, чтобы указать, что он является источником сообщения.

Список средств регистрации и уровней важности регистрации для настройки в соответствии с утверждением см. в статье Указание средства и важности сообщений, которые должны быть включены hostв журнал.

Чтобы записать сведения о степени важности и уровне важности каждого сообщения, включим в него explicit-priority утверждение. Дополнительные сведения см. в "Сведения о приоритетах в сообщениях системного журнала".

Для получения сведений об этом выражении см. Использование строк и регулярных выражений matchдля уточнения набора зарегистрированных сообщений.

Во время перенаправки сообщений на удаленные компьютеры можно включить утверждение, указывав IP-адрес коммутатора, который указан в сообщениях source-address в качестве их источника. В каждом утверждениях можно также включить утверждение для назначения альтернативного средства и утверждение, добавляя hostfacility-overridelog-prefix строку к каждому сообщению.

Выбор альтернативного адреса источника сообщений системного журнала, направляющихся на удаленное место назначения

Чтобы указать исходный маршрутизатор, который должен быть указан в сообщениях системного журнала, когда сообщения направляются на удаленную машину, включив в себя утверждение на source-address уровне [edit system syslog] иерархии:

source-addressдопустимый адрес IPv4 или IPv6, настроенный на одном из интерфейсов маршрутизатора. Адрес сообщается в сообщениях, адресованых всем удаленным машинам, указанным в утверждениях на уровне иерархии, но не в сообщениях, направленных на host hostname[edit system syslog] модуль маршрутизации.

Добавление текстовой строки в сообщения системного журнала, направленные на удаленное место назначения

Чтобы добавить текстовую строку к каждому сообщению системного журнала, направленному на удаленный компьютер или на модуль маршрутизации, добавьте утверждение на log-prefix[edit system syslog host] уровне иерархии:

Строка может содержать любой буквонумерный или специальный символ, кроме равного знака (=) и двоеточия (: ). Он также не может включать пробел; не изолировать строку в кавычках (" ") для попытки включить в нее пробелы.

С помощью Junos OS системы регистрации автоматически примыкает двоеточие и пробел к указанной строке, когда сообщения системного журнала записаны в журнале. Строка вставляется после идентификации идентификатора модуль маршрутизации, сгенерировали сообщение.

В следующем примере показано, как добавить строку M120 все сообщения, чтобы указать, что маршрутизатор является M120 маршрутизатором, и направить сообщения на удаленный компьютер hardware-logger.mycompany.com:

Если эти утверждения конфигурации включены на маршрутизаторе M120 origin1, в системном журнале сообщение в hardware-logger.mycompany.com выглядит следующим образом:

Изменение альтернативного имени средства для сообщений системного журнала, направленных на удаленное назначение

Некоторые средства, приписаные сообщениям, зарегистрированным на локальном маршрутизаторе или коммутаторе, имеют Junos OS-имена (см. Junos OS средства системного журнала). В рекомендуемой конфигурации удаленная машина, обозначенная на уровне иерархии, не является Juniper Networks или коммутатором, поэтому утилита syslogd не может интерпретировать [edit system syslog host hostname] Junos OS-конкретных имен. Чтобы включить стандартную утилиту syslogd для обработки сообщений из этих средств при перенаправке сообщений на удаленный компьютер, вместо конкретного имени Junos OS имени localX учреждения.

Средство по умолчанию для сообщений системного журнала Directed to a Remote Destination перечисляет альтернативное имя средства по умолчанию рядом с Junos OS имени используемого объекта.

Программа syslogd на удаленном компьютере обрабатывает все сообщения, принадлежащие объекту, независимо от источника сообщения (маршрутизатор или Juniper Networks или сам удаленный компьютер). Например, следующие утверждения в конфигурации маршрутизатора называются прямыми сообщениями от объекта к удаленному local-routerauthorization monitor.mycompany.com:

Альтернативным средством по умолчанию для локального authorization объекта является также authorization . Если с утилита syslogd on сконфигурирована запись сообщений, принадлежащих объекту в файле, то файл содержит сообщения, созданные при входе пользователей в систему и сообщения, созданные при входе пользователей в monitorauthorization/var/log/auth-attemptslocal-routermonitor систему. Хотя имя машины-источника появляется в каждом сообщении системного журнала, совмещение сообщений с несколькими компьютерами может затруднить анализ содержимого auth-attempts файла.

Чтобы упростить отделять сообщения от каждого источника, можно назначить альтернативное средство всем сообщениям, сгенерированным при local-router их monitor адресов. Затем можно настроить утилиту syslogd на записи сообщений с помощью альтернативного средства к другому файлу, а не к сообщениям, monitor созданным monitor на его основе.

Для изменения средства, используемого для всех сообщений, направленных на удаленную машину, включим утверждение facility-override на [edit system syslog host hostname] уровне иерархии:

Вообще, имеет смысл указать альтернативное средство, которое еще не используется на удаленной машине, например, одно из localX средств. На удаленном компьютере необходимо также настроить утилиту syslogd для обработки сообщений в нужном порядке.

Средства для временного переопределения перечислены средства, которые можно указать в этом facility-override указании.

Не рекомендуется использовать утверждение facility-override на [edit system syslog host other-routing-engine] иерархической иерархии. Нет необходимости использовать альтернативные имена служб при перенаправке сообщений другому модуль маршрутизации, поскольку с помощью Junos OS ведения системного журнала можно интерпретировать конкретные Junos OS имена.

В следующем примере показано, как с помощью журнала регистрации всех сообщений, созданных на локальном маршрутизаторе с уровнем ошибки или выше, в средство local0 на удаленном компьютере под названием monitor.mycompany.com:

В следующем примере показано, как настраивать маршрутизаторы, расположенные в Калифорнии, и маршрутизаторы, расположенные в Нью-Йорке, для отправки сообщений на один удаленный компьютер под названием central-logger.mycompany.com. Сообщения из Калифорнии назначены альтернативному месту службы local0, а сообщения из Нью-Йорка - альтернативному месту службе local2.

  • Настройка калифорнийских маршрутизаторов для агрегированных сообщений на объекте local0:

  • Настройка маршрутизаторов в Нью-Йорке для агрегированных сообщений в средстве local2:

На центральном регистраторе можно настроить средство ведения системного журнала для записи сообщений из локальной службы в файл и сообщений от службы change-log local2 в new-york-config файл.

Средства по умолчанию для сообщений системного журнала, направленные на удаленное место назначения

Табл. 3 перечисляет имя альтернативного средства по умолчанию рядом Junos OS имени учреждения, для которого оно используется. Для объектов, не перечисленных, альтернативное имя по умолчанию такое же, как и локальное имя средства.

Табл. 3: Средства сообщения по умолчанию, направленные на удаленное назначение

Junos OS – конкретное локальное средство

Средство по умолчанию, когда направляется на удаленный пункт назначения

change-log

local6

конфликт-журнал

local5

dfc

local1

Брандмауэра

local3

интерактивные команды

local7

Pfe

local4

Альтернативные средства для сообщений системного журнала, направленные на удаленное место назначения

Табл. 4 перечисляет средства, которые можно указать в этом facility-override указании.

Табл. 4: Средства для утверждения переопределения средства

Объекта

Описание

authorization

Попытки аутентификации и авторизации

daemon

Действия, выполняемые или ошибки, с которыми сталкиваются системные процессы

ftp

Действия, выполняемые или ошибки, с которыми сталкивается FTP процесс

kernel

Выполняемые действия или ошибки, выполняемые ядром Junos OS ядром

local0

Номер локального средства 0

local1

Локальное средство no 1

local2

Номер локального учреждения 2

local3

Номер 3 локального средства

local4

Номер 4 локального средства

local5

Локальное средство номер 5

local6

Номер локального учреждения 6

local7

Номер локального средства 7

user

Действия, выполняемые или ошибки, выполняемые процессами в пользовательском пространстве

Не рекомендуется использовать утверждение facility-override на [edit system syslog host other-routing-engine] иерархической иерархии. Нет необходимости использовать альтернативные имена служб при перенаправке сообщений другому модуль маршрутизации, поскольку с помощью Junos OS ведения системного журнала можно интерпретировать конкретные Junos OS имена.

Примеры: Назначение альтернативного средства сообщениям системного журнала, направленным удаленному месту назначения

Зайдите в журнал со всеми сообщениями, созданными на локальной платформе маршрутов с уровнем ошибки или выше, на средство удаленного компьютера с и local0monitor.mycompany.com названием:

Настройте платформы маршрутов, расположенные в Калифорнии, и платформы маршрутов, расположенные в Нью-Йорке, для отправки сообщений на один удаленный компьютер под названием central-logger.mycompany.com. Сообщения из Калифорнии назначены альтернативному месту службы local0, а сообщения из Нью-Йорка - альтернативному месту службы local2.

  • Настройка платформ маршрутов в Калифорнии для агрегированных сообщений на local0 объекте:

  • Настройте платформы маршрутов в Нью-Йорке для агрегировать сообщения на local2 объекте:

Затем можно настроить средство ведения системного журнала для записи сообщений из учреждения в файл и сообщений из учреждения central-logger,local0 в california-configlocal2new-york-config файл.

Направление сообщений удаленному пункту назначения из матрицы маршрутов на основе матрицы TX-маршрутизатора

Матрицу маршрутов, состоящую из маршрутизатора матрицы TX и T640, можно настроить для направления сообщений регистрации системы удаленному компьютеру или другому модуль маршрутизации на каждом маршрутизаторе так же, как и на одном шасси. hostВключит утверждение [edit system syslog] на иерархическому уровне в маршрутизаторе матрицы TX:

Маршрутизатор матрицы TX направляет сообщения удаленному компьютеру или другому маршрутизатору модуль маршрутизации так же, как и одно шасси, а необязательные утверждения explicit-priorityfacility-override (, log-prefix ,, и) также имеют тот же эффект, что и для системы с одним matchsource-address шасси.

Чтобы маршрутизатор матрицы TX включил информацию о приоритете, когда он направляет сообщения, которые исходят из T640 маршрутизатора на удаленный пункт назначения, необходимо также включить утверждение на уровне explicit-priority[edit system syslog host scc-master] иерархии.

Утверждение не взаимодействует с переадреащением сообщений T640 other-routing-engine маршрутизаторов на маршрутизатор матрицы TX. Например, если включить утверждение в конфигурацию для модуль маршрутизации в слот 0 () то модуль маршрутизации на каждом маршрутизаторе T640 отправляет сообщения только на модуль маршрутизации на свою re0re0re1 платформу. Он также не отправляет сообщения непосредственно на модуль маршрутизации маршрутизаторе матрицы re1 TX.

Поскольку конфигурация маршрутизатора матрицы TX применяется к T640, любой T640, который имеет интерфейсы для прямого доступа в Интернет, также направляет сообщения на удаленный компьютер. К следующим последствиям относятся следующие:

  • Если маршрутизаторы T640 настроены на переадреацию сообщений на маршрутизатор матрицы TX (как в конфигурации по умолчанию), удаленный компьютер получает две копии сообщений: один непосредственно от T640 маршрутизатора, а другой от маршрутизатора матрицы TX. Выбор дублирующихся сообщений зависит от того, являются ли они одинаковыми для локального журнала регистрации и от перена которые были переададированы сообщения. Дополнительные сведения см. в "Настройка переадрешния сообщений на маршрутизатор матрицы TX".

  • Если утверждение настроено на уровне иерархии, то все маршрутизаторы в матрице маршрутов сообщают об одном и том же адресе источника в сообщениях, направленных source-address[edit system syslog] на удаленный компьютер. Это правильно, поскольку матрица маршрутов функционирует как единый маршрутизатор.

  • Если утверждение включено, сообщения от всех маршрутизаторов в матрице log-prefix маршрутов содержат ту же текстовую строку. Чтобы различать маршрутизаторы в матрице маршрутов, нельзя использовать эту строку.

Направление сообщений удаленному пункту назначения из матрицы маршрутов на основе матрицы TX Plus Router

С точки зрения пользовательского интерфейса матрица маршрутов отображается как единый маршрутизатор. Маршрутизатор TX Matrix Plus (также называемый SFC шасси коммута матрицы) управляет всеми T1600 или T4000, которые также называются шасси ine-card LCC) в матрице маршрутов.

Матрицу маршрутов, состоящую из маршрутизатора TX Matrix Plus с подключенными T1600 или T4000 LCC, можно настроить для направления сообщений системного журнала на удаленный компьютер или другой модуль маршрутизации на каждом маршрутизаторе маршрутов так же, как на одном шасси. hostВключит утверждение [edit system syslog] на уровне иерархии в SFC:

Маршрутизатор TX Matrix Plus направляет сообщения удаленному компьютеру или другому компьютеру модуль маршрутизации так же, как система с одним шасси, а необязательные утверждения explicit-priorityfacility-override (, log-prefix ,, и) также имеют тот же эффект, что и для системы с одним matchsource-address шасси.

Чтобы маршрутизатор TX Matrix Plus включил сведения о приоритетах при направлении сообщений, которые были посланы на подключенном T1600 или T4000 LCC удаленном пункте назначения, необходимо также включить утверждение на уровне explicit-priority[edit system syslog host sfc0-master] иерархии.

Этот утверждение не взаимодействует с переадээингом сообщений с подключенных T1600 или other-routing-engine T4000 LCC на SFC. Например, если включить утверждение в конфигурацию для модуль маршрутизации в слот 0 () модуль маршрутизации на каждом подключенного T1600 или T4000 LCC отправляет сообщения только на модуль маршрутизации re0re0re1 маршрутизатора. Он также не отправляет сообщения непосредственно на модуль маршрутизации re1 SFC.

Поскольку конфигурация на SFC применяется к подключенным T1600 или T4000 LCC, любой LCC, который имеет интерфейсы для прямого доступа в Интернет, также направляет сообщения удаленному компьютеру. К следующим последствиям относятся следующие:

  • Если линковые lcC настроены для переададации сообщений на SFC (как в конфигурации по умолчанию), удаленный компьютер получает две копии сообщений: один из них напрямую T1600 или T4000 LCC другой из SFC. Выбор дублирующихся сообщений зависит от того, являются ли они одинаковыми для локального журнала регистрации и от перена которые были переададированы сообщения. Дополнительные сведения см. в "Настройка переадрешния сообщений в матрицу TX plus router".

  • Если утверждение настроено на уровне иерархии, то все маршрутизаторы в матрице маршрутов сообщают об одном и том же адресе источника в сообщениях, направленных source-address[edit system syslog] на удаленный компьютер. Это правильно, поскольку матрица маршрутов функционирует как единый маршрутизатор маршрутов.

  • Если утверждение включено, сообщения от всех маршрутизаторов в матрице log-prefix маршрутов содержат ту же текстовую строку. Чтобы различать маршрутизаторы в матрице маршрутов, нельзя использовать эту строку.