可見(jiàn),日志能給我們的工作提供很大保障。隨著網(wǎng)絡(luò)不斷擴(kuò)大�,設(shè)備數(shù)量不斷地增加,不可能對(duì)所管理區(qū)域定期登陸到設(shè)備上察看日志信息�����,就不可能提前知道問(wèn)題存在?網(wǎng)絡(luò)管理人員若不能夠及時(shí)的知道設(shè)備的運(yùn)行狀況����,我們就不能夠及時(shí)的采取相應(yīng)的措施。如果別人試圖利用VPN服務(wù)器非法訪(fǎng)問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò)�����,這些都會(huì)在日志上留下痕跡。網(wǎng)絡(luò)管理人員若不能夠從日志上得知這些信息的話(huà)��,則就不能夠采取相關(guān)的措施����,來(lái)預(yù)防下次的攻擊。
如何利用認(rèn)識(shí)日志�����、利用日志
事實(shí)上����,在很多案例中可以發(fā)現(xiàn),一個(gè)企業(yè)的網(wǎng)絡(luò)管理員每天有接近一半的時(shí)間被花費(fèi)在處理信息上面�����,而這可能只是例行的日志閱讀工作��,他們往往還需要抽出一些時(shí)間(甚至加班)來(lái)對(duì)這些信息進(jìn)行深入的分析��,以發(fā)現(xiàn)系統(tǒng)中的不合理或不安全��。
要想利用好日志�����,必須要了解日志、認(rèn)識(shí)日志�����,更要熟悉日志結(jié)構(gòu)�����,這樣才能很快就能提取所需相關(guān)信息�����,來(lái)處理相關(guān)的網(wǎng)絡(luò)故障��。網(wǎng)絡(luò)設(shè)備畢竟不是人腦���,對(duì)日志的描述不是很生動(dòng)。為了讓網(wǎng)絡(luò)設(shè)備自己收集運(yùn)行狀態(tài)信息�����,往往會(huì)給其設(shè)置固定的格式����。一般來(lái)說(shuō)���,同一個(gè)品牌的產(chǎn)品,雖然其產(chǎn)品類(lèi)型不同�����,但是��,其格式往往是固定的����。日志信息都有其固定的開(kāi)頭符號(hào)。在產(chǎn)品中�����,一般都是以%開(kāi)頭����。參數(shù)PIX表示設(shè)備消息的功能代碼,即這條日志消息對(duì)應(yīng)的是設(shè)備中一種功能���,如是訪(fǎng)問(wèn)控制列表發(fā)出的���,還是VPN服務(wù)器發(fā)出的�����。參數(shù)-level表示日志消息級(jí)別的嚴(yán)重性��,這個(gè)數(shù)字越小說(shuō)明日志所反映的信息越嚴(yán)重����。參數(shù)-Message-Number表示這個(gè)信息所對(duì)應(yīng)的唯一數(shù)字標(biāo)號(hào)�����。一般我們?cè)谟龅诫y以解決的問(wèn)題時(shí)����,可以利用這個(gè)數(shù)字編號(hào)去網(wǎng)絡(luò)上尋求幫助。而參數(shù)Message-Text��,則是對(duì)情況的一般性描述�。有時(shí)候���,這個(gè)描述中��,會(huì)顯示IP地址���、端口以及用戶(hù)名等有用信息�����。 把一些網(wǎng)絡(luò)設(shè)備日志的固定格式做成了小卡片���。當(dāng)有需要的時(shí)候,可以及時(shí)拿過(guò)來(lái)看����。不過(guò)當(dāng)你看多了,就自然而然會(huì)熟悉這個(gè)格式�����。這在剛開(kāi)始接觸一個(gè)牌子的設(shè)備的時(shí)候��,非常有用�����。例如:前段時(shí)間�,我們網(wǎng)絡(luò)經(jīng)常出現(xiàn)有丟包現(xiàn)象���,把所有懷疑的故障點(diǎn)都逐步排除,故障現(xiàn)象依然存在�。發(fā)生的丟包現(xiàn)象,不是整個(gè)網(wǎng)絡(luò)�,而是部分vlan內(nèi)用戶(hù)有問(wèn)題,也不是經(jīng)常��,在一個(gè)時(shí)間段內(nèi)網(wǎng)絡(luò)正常�����,有間斷性�����。后來(lái)發(fā)現(xiàn)交換機(jī)有這樣一條告警信息:
An alarm 512 level 4 cleared at 16:01:26 05/23/2008 UTC sent by MCP %PORT% Interface up on fei_1/15
從這個(gè)告警信息上看�����,級(jí)別為4����,發(fā)生在fei_1/15接口�����,端口上有漂移現(xiàn)象,當(dāng)出現(xiàn)這種告警時(shí)�����,就會(huì)出現(xiàn)一段時(shí)間丟包現(xiàn)象��,說(shuō)明該接口下網(wǎng)絡(luò)有故障����。
日志管理
日志管理其實(shí)很簡(jiǎn)單,確定日志的顯示位置����、選擇自己需要查看的日志信息、系統(tǒng)日志的顯示格式��。我們知道日志管理的第一步�����,就是希望日志能夠發(fā)送到網(wǎng)絡(luò)管理人員指定的地方�。如此的話(huà),網(wǎng)絡(luò)管理人員就不需要跑到每個(gè)設(shè)備那里去查看日志信息�?���?梢栽谝粋€(gè)統(tǒng)一的平臺(tái)上查看數(shù)十臺(tái)設(shè)備的日志信息���。
通常應(yīng)用日志源�����、日志事件類(lèi)型���、重要程度等幾個(gè)基本的維度是可以構(gòu)建有效的日志分類(lèi)體系的,過(guò)多的維度會(huì)使得日志信息難于管理���,那樣做的話(huà)管理員必須在處理大量信息的同時(shí)兼顧更多的關(guān)于分類(lèi)的信息�。一般來(lái)說(shuō)��,系統(tǒng)日志會(huì)記錄很多內(nèi)容��。其中包括一些正常的信息��。如有哪個(gè)用戶(hù)訪(fǎng)問(wèn)了哪個(gè)網(wǎng)站等等�����。但是,作為網(wǎng)絡(luò)管理員并不需要關(guān)注所有的信息��。所以�����,我們也希望�����,各個(gè)網(wǎng)絡(luò)設(shè)備能夠?qū)θ罩拘畔⑦M(jìn)行過(guò)濾��,只發(fā)送一些關(guān)系到系統(tǒng)正常運(yùn)行的日志信息����。而不是“大事不匯報(bào)�,小事天天報(bào)”。為此����,我們可以通過(guò)系統(tǒng)日志的級(jí)別來(lái)進(jìn)行控制。采用日志級(jí)別來(lái)對(duì)是否需要發(fā)送日志進(jìn)行控制���。不同的嚴(yán)重性級(jí)別被附加于日志信息上�。當(dāng)級(jí)別達(dá)到某個(gè)程度的時(shí)候,網(wǎng)絡(luò)設(shè)備就需要把這個(gè)日志信息發(fā)送到筆者制定的SNMP管理平臺(tái)上�����。
總結(jié)
可見(jiàn)日志系統(tǒng)承擔(dān)著整個(gè)信息基礎(chǔ)設(shè)施中感覺(jué)器官的作用���,一個(gè)完善的����、工作良好的體系需要在正確的地點(diǎn)部署日志采集工具���,這些日志信息被匯總之后體現(xiàn)了整個(gè)設(shè)施的全貌�。一個(gè)小小日志能為網(wǎng)絡(luò)管理員提供更可靠信息�,同時(shí)也為網(wǎng)絡(luò)運(yùn)行提供可靠保障。
