日誌對於網絡安全來說（shuō）非常重要，他記錄了係統每天發生的各（gè）種各樣的事情，你可以通過他來檢查（chá）錯誤（wù）發生的原因，或者受到攻擊時攻擊者留下的痕跡。

　　Cisco是目前使用比較廣泛的一種（zhǒng）路由（yóu）器，在許多行業係統中有非常普遍（biàn）的應用。以下是（shì）在日常工作中（zhōng）積累的一些對Cisco路由器日誌（zhì）設置方麵的經驗（yàn），這（zhè）些實例都在實際應用（yòng）中（zhōng）調試通過（guò）並投入使用，我（wǒ）們可以利（lì）用路由器日誌快速定位（wèi）及排除故障。

　　路由器是各種信息（xī）傳（chuán）輸的樞紐（niǔ），被廣泛用於企事業單位的網絡建設中，承擔著局域網（wǎng）之間及局域網與廣域網（wǎng）之問連接的（de）重任。

　　一、什麽是路由器日誌

　　路由器的（de）一些重要信（xìn）息可以通過syslog機製（zhì）在內部網絡的Unix主機上作（zuò）日誌。在路由（yóu）器運行過程中，路由器會向日（rì）誌主機發送包括鏈路建立失敗信息、包過濾信息等等日誌信息，通過（guò）登錄到日誌主（zhǔ）機，網（wǎng）絡管理員可以了解日誌事（shì）件，對日誌文件進行分析，可以幫（bāng）助管理員進（jìn）行故障定位、故障排除和網絡安全管理。

　　二、路由器日（rì）誌記錄存放的位置

　　sysloqd提供下列方法供您記錄係統發生的事件：

　　(1)指定的遠端主機

　　如（rú）果你不將係統信息記錄在本地機器上，你（nǐ）可以寫下網絡中另一個主機的名稱，然後在主機名稱前麵加上"@"符號(例如(@)ccunix1.variox.int，但被（bèi）你指定（dìng）的主機上必須要有sysloqd)。這可以防止由於硬（yìng）盤錯誤等情況使日誌文件丟失。

　　(2)一般文件

　　這是最普遍的方式。你可以指定好文件路（lù）徑與文件（jiàn）名稱，但是必須以目錄符號"/"開始，係統才會知道這是一個文件。例如/var/adm/maillog表示要記錄到/var/adm下麵一個（gè）稱為maillog的文件。如果之前沒有這（zhè）個文件，係統會自動產生一個。

　　(3)指定的終端機或其（qí）他設備

　　你也可以（yǐ）將係統記錄寫到一個終端（duān）機或是設備上。若將係（xì）統記錄寫到終端機，則目（mù）前正在使用該終端機的使用者就會直接在屏幕上看到係統（tǒng）信息(例如/dev /conso舊或是/dev/tty1，你可以拿一個屏幕專門來顯示係統信息)。若將係（xì）統記錄寫到打（dǎ）印機(例如/dev/!p0)。，則你（nǐ）會有一長條印滿係統記錄的紙，這（zhè）樣（yàng）網絡入侵者就不能修改日誌來隱（yǐn）藏入侵痕跡。

　　以上就是syslog各項記錄程度（dù）及（jí）記錄方式的寫法，可以依照自己的需求記錄下自己所需要的內容。但是這些記錄都是一直追加上去的，除（chú）非將（jiāng）文件自（zì）行刪除掉，否則這些文（wén）件就會越來越（yuè）大。Syslog設（shè）備是一個網絡攻擊者的顯著目標，通過修改日誌來隱（yǐn）藏入侵痕跡，因此我們要特別注意。

　　養成（chéng）每周(或（huò）更短的時間)定期檢查（chá）一次記錄文件的習慣，並將過期的記錄文（wén）件依（yī）照流水號或（huò）是日期（qī）備份，以後查（chá）閱時（shí）也比較容（róng）易。千萬不要記錄下*.*，這樣無論什麽都被記（jì）錄（lù）下來，結果會（huì）導（dǎo）致文件太大，要找資料時根本無法馬上找出來。有人在記錄網絡日誌時，連誰去ping他的主機都要記錄，這樣（yàng）不僅降低（dī）係統效（xiào）率而且增加了磁盤用量。

　　三、什麽程度才記錄日誌

　　如你要係統去記錄info等級的事件，則notice、err、warning、Crit、alert、emerg等在info等級以上的也會被一並記錄下來。把上麵所寫的1、2項以（yǐ）小數（shù）點組合起來就是完整的"要記錄哪（nǎ）些東西"的寫法。例如（rú）mail.info表（biǎo）示關於電子郵件傳送係統的一般性信息。auth.emerg就（jiù）是關於係統安全方麵相當（dāng）嚴重的信息。Ipr.none表示不要記錄關於（yú）打印機的信息(通常（cháng）用（yòng）在（zài）有多個紀錄（lù）條件時組合使用)。另外有三種特殊的符號（hào）可供應用（yòng）：

　　驚歎號(!):表示不要記錄（lù）目前這一等級及其上的等（děng）級。

　　等號(=):表示隻記錄目前這（zhè）一等級，其上的等級不要記錄。例（lì）如上（shàng）麵的例子，平常寫下info等（děng）級時，也會把位於info等級上麵的notice.err.warning、crit、alert、emerg等其他等級（jí）也記錄下來。但若你寫=info則就隻有記錄info這一等級了（le）。

　　星號(*):代表某一細項中所（suǒ）有項目。例如mail.*表示隻要有關mail的，不管什麽程度都要記錄下來。而*.info會把所有程度為infn的事件給記錄下來。

　　四、syslog設備

　　syslog設備，它是標準Unix，的跟（gēn）蹤記錄機製，syslog可以記錄本地的一些事件或通（tōng）過網絡記錄另外一個主機上的事（shì）件，然後將這些信息寫到一個文件或設備中，或給用戶發送一個信息。

　　syslog機製主要依據兩個重要的文件:/etc/syslogd(守護進程)和/etc /syslog.conf配置文（wén）件（jiàn），syslogd的控製是由/etc/syslog.conf來做的。syslog.conf文件指明syslogd程序記錄（lù）日誌的行為，該程（chéng）序在啟動（dòng）時查詢syslog.conf配置文（wén）件（jiàn）。該（gāi）文（wén）件由不同程序或消息分類（lèi）的單個條目組（zǔ）成，每個占一行。

　　對每類消（xiāo）息（xī）提供一個選擇域和一個（gè）動作域。這些域由tab隔開(注意（yì）:隻能用tab鍵來分隔，不能用空格鍵)，其中選擇域指明消息的類型和優先級;動作域指（zhǐ）明sysloqd接收（shōu）到一個與選擇標準相（xiàng）匹配的（de）消息時所執行（háng）的動作。

　　每個選項是由設備和優先級組成。也就是說第一欄寫"在什麽情（qíng）況下"及"什麽程度"。然後用TAB鍵跳到下一欄繼續寫"符（fú）合條件以後要做什麽"。

　　當指明一個優先級時，syslogd將記錄二個擁有相同或更高優先級的（de）消息。每行的行動域指明（míng）當（dāng）選擇域選擇了一個給定消息後應該把他發送到（dào）哪兒。

　　第一欄包含了何種情況與程度，中（zhōng）間用小數點分隔。詳細的設定方式如下:

　　auth 關於係統安（ān）全與使用者認證;

　　cron關於係統自動排序（xù）執行(CronTable);

　　daemon 關於背景執行程（chéng）序;

　　ken 關於係（xì）統核心;

　　Ipr　關於打印機;

　　mai1 關於（yú）電子郵件;

　　news 關（guān）於新聞討論區;

　　syslog 關於係統記錄本身;

　　user 關於使用者;

　　uucp關於UNIX互拷（kǎo）(UUCP)。

　　五、路由器日誌功能的具體設置方法

　　首先（xiān）在UNIX主機上做下列工作（zuò），以超級用戶注（zhù）冊進（jìn）入:

　　其中168.1.1.2為日誌主機的IP地址。這樣對路由（yóu）器進行的一些操作將（jiāng）會（huì）記錄在mail_debug和r2509_debug這兩個文件中。

　　通過查看路由器日誌，我們可以解決（jué）大部分的故障問題，也方便查詢故障原因，更（gèng）好的、更快速的解（jiě）決網絡（luò）問題。