syslog到底要记哪些东西?
你肯定见过交换机突然抽风,但查日志时啥记录都没有的抓狂情况。华为设备默认只记录critical级别的日志,得手动调成info级别才能看到详细过程。重点盯住这三个模块:端口状态变更、MAC地址表刷新、STP拓扑变化。某次机房环路故障,就是靠syslog里每分钟500条port up/down记录锁定问题的。
配置日志服务器要注意啥?
别以为填个IP地址就完事,这些参数错一个都白瞎:
- 端口号必须用514(部分防火墙会封非标端口)
- 传输协议选UDP(TCP模式需要额外license)
- 日志格式必须选RFC3164标准
去年某银行配置时漏选时间戳时区,结果凌晨三点日志全显示成15:00,查错查得人崩溃。
这些命令你肯定用得到
跟着敲就对了:
markdown复制info-center loghost 192.168.1.100 port 514 info-center source default loglevel informational info-center timestamp debugging short-date
第二条命令最容易漏——不给日志源开权限,服务器收不到任何信息。记得在接口视图下补条log trap enable,否则网口状态变化不会触发告警。
怎么验证配置生效了?
三步检测法:
- 本地执行
display info-center看状态是否为active - 在交换机疯狂插拔网线,观察服务器是否收到port down日志
- 用抓包软件过滤UDP514端口,看是否有明文日志
某运维团队曾因服务器防火墙没放行,白等三天日志,后来用Wireshark抓包才发现根本没数据出去。
日志爆满怎么办?
遇到存储空间警告时,紧急处理方案:
- 临时调低日志级别到warning:
logbuffer level 4 - 开启自动覆盖功能:
info-center logfile overwrite - 按特征过滤垃圾日志:
info-center filter loghost facility local5
某电商平台大促期间日志暴涨,靠第三招过滤了80%的冗余信息,硬盘使用率从95%降到62%。
时间不同步有多要命?
日志时间错乱堪比灾难现场!必须做这两件事:
- 配置NTP服务器同步时间:
ntp-service unicast-server 192.168.1.200 - 强制写入时区信息:
clock timezone BJ add 08:00:00
华北某数据中心曾因时区设置错误,故障时间戳显示成UTC时间,导致定位延误4小时。
高级玩家都玩转发策略
想精准分类日志?试试这两个骚操作:
- 给不同业务VLAN打标记:
log facility local4 - 指定日志类型走特定服务器:
markdown复制info-center loghost source Vlanif10 10.1.1.1 info-center loghost source Vlanif20 10.1.1.2
某跨国企业用这招把财务和办公日志分流,审计效率提升三倍。
小编现在给客户配置必开日志压缩功能,用info-center loghost compress命令能省30%带宽。但切记别开加密传输,那个功能吃性能能让万兆交换机掉到千兆水平。记住啊,日志不是摆设,关键时刻能救命的!
微信二维码
