Syslog命令手册

各交换机品牌syslog设置命令参考-------------------------------------------------------------------------------H3C-------------------------------------------------------------------------------# 配置远程日志服务器采集器地址#system-view[H3C]cluser[H3C-cluser]logging-host 10.10.10.10-------------------------------------------------------------------------------华为-------------------------------------------------------------------------------# 查看日志信息dis info-center ## 启用日志#info-center enable# 配置远程日志的日志服务器地址，设置发送日志的级别dis cur | include info-center # info-center loghost10.10.10.10info-center source default channel loghost log level notifications警告级别7级emergencies 紧急情况系统无法使用（严重度= 0）alerts 提醒需要立即采取行动（严重度= 1）critical 临界临界条件（严重度＝2）errors 错误错误条件（严重度= 3）warnings 警告警告条件（严重度= 4）notifications 通知正常但重要的条件（严重度= 5）informational 信息信息信息（严重度= 6）debugging 调试调试消息（严重性= 7）# 开启NTP服务（与时间服务器同步）需要提供时间服务器的地址查看NTP信息dis cur | include ntp #ntp-service authentication enablentp-service unicast-server 10.111.1.10-------------------------------------------------------------------------------思科-------------------------------------------------------------------------------# 查看端口show running-config | in logging 日志发送到日志采集器#Router#configure terminal# 开启日志服务#Cisco(config)#logging on# 设置日志服务器地址#Cisco(config)#logging host 10.10.10.10# 设置发送日志级别一共7级，可以？号来查看提示#logging trap 5# 日志发出用的源IP地址#logging source-interface loopback0#日志缓冲区大小#logging buffered 20480#记录事件连接默认值#logging event link-status defaultlogging facility local1service timestamps log datetime localtimeCisco(config)#endCisco#write0:紧急(Emergencies) emergency—Logs only emergency events.1:告警(Alerts) alert—Logs alert and more severe events.2:严重的(Critical) critical—Logs critical and more severe events.3:错误(Errors) error—Logs error and more severe events.4:警告(Warnings) warning—Logs warning and more severe events.5:通知(Notifications) notice—Logs notice and more severe events.6:信息(Informational) informational—Logs informational and more severe events.7:调试(Debugging) debug—Logs all events, including debug events.# NTP（时间同步）可能需要每个端口开启NTP ，查看NTP信息show logging | include NTP #Router# config tRouter(config)# interface eth0/0Router(config-if)# no ntp disableRouter(config-if)# exitRouter(config)# ntp server 10.111.1.11 source loopback0Router(config)# exitntp update-calendarntp server 10.111.1.11。

Syslog功能配置本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年8月v1.0版目录第1章Syslog功能配置 (4)1.1 Syslog功能简介 (4)1.2 Syslog功能配置 (4)1.2.1 Syslog功能配置列表 (4)1.2.2 开启/关闭设备Syslog功能 (4)1.2.3 Syslog序列号显示配置 (5)1.2.4 Syslog时间戳类型配置 (5)1.2.5 Syslog终端输出配置 (6)1.2.6 Syslog历史缓冲区输出配置 (6)1.2.7 Syslog Flash存储器输出配置 (7)1.2.8 Syslog日志主机输出配置 (8)1.2.9 Syslog SNMP Agent输出配置 (9)1.2.10 模块调试开关配置 (9)1.3配置实例 (10)第1章Syslog功能配置1.1 Syslog功能简介Syslog是系统的信息中心，完成对信息的统一处理和输出。

系统中其他各模块将需要输出的信息发送至Syslog，由Syslog根据用户的配置确定信息的输出格式，并根据用户配置的各输出方向的信息开关及过滤规则，将信息输出到指定的显示设备。

有了Syslog信息的生产者——输出信息的各模块，无需关心信息需要输出到控制台、Telnet终端还是日志主机（Syslog服务器）等，只需将信息输出到Syslog即可。

信息的消费者——控制台、Telnet终端、历史缓冲区、日志主机以及SNMP Agent可以随心所欲的选择接受需要的信息，摒弃不需要的信息，只要配置适当的过滤规则即可。

Solaris配置syslog服务方法在/etc/syslog.conf文件中加入一行。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @10.212.41.75其中@loghost在hosts文件中定义，vi /etc/hosts。

在其中加入一行：10.212.41.86 loghost 重起syslog服务：/etc/init.d/syslog stop/etc/init.d/syslog startsvcadm restart system/system-log solaris10svcadm restart svc:/system/system-log:default使syslog记录tcp等网络服务日志。

修改/etc/init.d/inetsvc。

找到inetd那行改为：/usr/sbin/inetd -s -t &重启inetd：/etc/init.d/inetsvc stop/etc/init.d/inetsvc startHP UNIX配置syslog服务方法打开inetd日志功能在/etc/rc.config.d/netdaemons中的INETD_ARGS 环境变量中增加－l参数:export INETD_ARGS=-l修改syslog配置文件syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：/sbin/init.d/syslogd stop/sbin/init.d/syslogd startIBM AIX配置syslog服务方法修改syslog配置文件/etc/syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：stopsrc -s syslogdstartsrc –s syslogdSUSE10配置syslog服务vim /etc/syslog-ng/syslog-ng.conf#定义日志类型：filter f_login { level(info) and facility(auth); };filter f_boco { level(warn, err, crit, alert, emerg) and not filter(f_iptables); };#配置日志转发：destination allmessages {udp("10.212.41.87" port(514)); };log { source(src); filter(f_boco); destination(allmessages); };log { source(src); filter(f_login); destination(allmessages); };重启日志服务：/etc/init.d/syslog restartLinux Syslog日志配置在/etc/syslog.conf文件中加入一行。

Syslog获取log方法注意：本方案建议施工方在CPE(用户端)和AP端(基站端)均按以下步骤操作，同时，希望用户能够在测试期间一直开启，以便于定位网桥出现的故障。

syslog获取log的基本配置如下图所示.AP STA无线链路1、登录设备网页；利用网桥内置页面来配置网桥的操作步骤如下：(1)和网桥直接相连的电脑设置。

网络连接->本地连接，鼠标选中本地连接，单击右键，鼠标左键单击属性，弹出如图1所示窗口：图 1 电脑的本地连接的属性2、选中Internet协议(TCP/IP)，鼠标左键双击，弹出如图2的窗口：图 2 电脑的IP设置3、如图2所示，IP地址设为和网桥同一网段的IP，且IP不能和网桥相同，如：网桥的IP 为192.168.1.36，那么主机可设为192.168.1.180；4、在浏览器输入网桥的IP，然后敲回车键，跳到图3所示页面；5、在如图3的页面用户名和密码中输入网桥对应的用户名和密码，点击登录，此时，就登录到网桥的网页了。

图 3 登录界面2、网页上开启syslog客户端(1)在网页上的任意页面，鼠标单击网页左侧的工具应用，用户将看到如图4所示页面，图4红框中的Syslog请启用，然后服务器IP设置为用网线连接到网桥的电脑的IP地址(确保电脑和网桥IP是同一网段)，如图中电脑IP设为192.168.1.180，那么服务器IP请设为：192.168.1.180，服务器端口：514。

图 4 syslog开启(3)点击页面下方的保存，页面上方会跳出应用和放弃的按钮，如图5所示，点击应用即可。

图 5 应用3、开启Syslog服务器(1)把tftp.exe放于用网线和网桥直接相连的电脑的桌面上，双击tftp.exe,打开tftp跳出以下窗口；图 6 tftp(2)选中图6中红框中的Syslog服务器，点击图7红框中的设置。

图7 tftp的设置(3)跳出图8所示窗口，图8中红框中的Syslog服务器勾上；图8 开启Syslog(4)在图9所示的红框中单击SYSLOG，然后在保存系统日志信息到文件中，该文件名用户可手动设置，如图9中红框所示(注意为.txt格式)，该文件保存在图10所示的当前目录下。

数据网主流设备配置指南各厂商syslog配置的事件级别以及local设置见下表：厂商event级别local设置Juniper info 1cisco warning 2华为warning 3港湾warning 5一CISCO设备1.1设置IOS设备（路由器）在IOS的Enable状态下，敲入config terminal 进入全局配置状态Cdp run 启用CDP(Cisco Disco very Protocol)snmp-server community XXXXXX ro 配置本路由器的只读字串为XXXXXXsnmp-server community XXXXXX rw 配置本路由器的读写字串为XXXXXX(本项目不需配置) logging on 起动log机制logging IP-address-server将log记录发送到本地采集器地址上logging facility local2 将记录事件类型定义为local2(各厂商syslog对应的local见上表所示) logging trap warning 将发送的记录事件定义为warning以上.logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址(如果没有设置loopback地址，则请将该IP地址指向提供给综合网管的管理地址)service timestamps log datetime 发送记录事件的时候包含时间标记保存配置,完成cisco下IOS操作系统设备的syslog和snmp配置。

1.2设置CatOS设备（交换机）在CatOS的Enable状态下，敲入set interface sc0 VLAN ID IP address 配置交换机本地管理接口所在VLAN ID，IP地址，子网掩码Set cdp enable all 启用CDPset snmp community read-only XXXXXX 配置本交换机的只读字串为XXXXXXset snmp community read-write-all XXXXXX 配置本交换机的读写字串为XXXXXXset logging enable 起动log机制set logging server IP-address-server将log记录发送到本地采集器地址上set logging level 4将发送的记录事件定义为warning以上.set logging server facility local2将记录事件类型定义为local2(各厂商syslog对应的local见上表所示)set logging timestamp 发送记录事件的时候包含时间标记保存配置,完成cisco下CatOS操作系统设备的syslog和snmp配置。

linuxsyslog⽤法Linux下C语⾔编程的-把程序输出信息加到系统⽇志⾥去关键词： Linux 系统⽇志 syslog 服务程序 syslogd我们的程序⼀般都会产⽣输出信息。

但是服务器程序⼀般却不希望输出信息到屏幕上，因为没有⼈盯着你的程序执⾏。

所以我们要把⼀些信息写成⽇志⽂件，正常情况下运⾏程序的⼈不⽤关⼼⽇志⾥的内容，只有在出现问题的时候才会查看⽇志⽂件⾥的内容以确定问题所在。

但如果我们的程序要⾃⼰⽣成⼀个⽂件来保存⽇志却不是好主意，因为这⼀⽅⾯增加了维护程序运⾏的⼈的负担，另⼀⽅⾯⾃⼰维护起系统来也多有不便。

在Linux系统中有⼀个系统⽇志，通常放在/var/log⽬录下，⽐如⽂件名是syslog的，系统中的⼀些程序产⽣的⽇志信息都会存放到这个⽂件⾥。

⽇志⽂件有固定的格式，⽐如第1列是消息产⽣的时间，第2列是机器名（因为⽇志记录程序⽀持远程连接），第3列是标记信息（⼀般就是程序名称）等。

⽽且对应的有⼀些⼯具来对这个⽇志进⾏维护，⽐如通过轮回机制保证⽇志⽂件⼤⼩不会把磁盘空间占尽。

所以我们把⾃⼰程序的信息也写到这个系统⽇志⾥是⽐较好的想法。

在GNU C语⾔库提供的内容中，有接⼝可以⽤来做这件事。

⽤下⾯的命令查看：nm -D /lib/libc.so.6 | grep log可以看到⼀些调⽤：000b9410 T closelog0008b870 T getlogin0008b960 T getlogin_r000d0180 T __getlogin_r_chk000bd190 T klogctl00027450 T __open_catalog000b9380 T openlog0008bae0 T setlogin000b8b80 T setlogmask000b9350 T syslog000b9320 T __syslog_chk000b92f0 T vsyslog000b8da0 T __vsyslog_chk这⾥⾯的三个函数openlog， syslog， closelog是⼀套系统⽇志写⼊接⼝。

SNMP & SYSLOG配置说明SNMP添加Wind owsWindows 系统默认不开启SNMP 功能。

1. 安装前准备，SNMP 安装需要操作系统安装光盘，找到相对应的安装盘，插入光驱准备安装。

2. 点击开始---设置---控制面板---添加或删除程序---添加/删除Windows 组件3. 选择“管理和监视工具”见图，点击详细信息4. 选中“简单网络管理协议”5. 点击“确定”按钮，开始安装6. 安装结束后，点击“完成”，SNMP 服务安装成功，SNMP 安装成功后会在服务中看到SNMP service 的服务设置 SNMP 共同体名称1. 打开 Windows 的服务列表2. 选中 SNMP service 并查看其属性3. 选择“安全”选项卡，点击“添加”按钮，添加共同体名称。

4. 选择“接受来自任何主机的SNMP 数据包”。

5. 设置完成后，点击“确定”，设置完成。

6. 确认 SNMP service 服务为“已启动”状态。

LinuxCiscoCisco 路由器和交换机SNMP 的设置方法一样，如下：1. 必配：开启SNMPCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community CNS ro （配置SNMP 团体名为cns，ro 为读权限）Cisco(config)#SNMPserver community NI rw（配置SNMP 团体名为NI，rw 为写权限）Cisco(config)#exitCisco# copy run startup（保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

）Cisco#exitCisco>exit2. 选配：开启SNMP TrapCisco>enable(如果一经登陆就是#模式，则说明您的帐号或者通道已经处于1‐15级的特权模式可直接进行第下步操作)Cisco#configure terminalCisco(config)#SNMPserver community ChinaNetwork ro （配置本路由器\交换机的只读字串ChinaNetwork）Cisco(config)#SNMPserver community ChinaNetwork rw （配置本路由器\交换机的读写字串ChinaNetwork）Cisco(config)#SNMPserver enable traps （允许设备将所有类型SNMP Trap 发送出去）Cisco(config)#SNMPserver host 1.1.1.1 traps trapcomm （指定设备SNMP Trap 的接收者为1.1.1.1，发送Trap 时采用trapcomm 作为字串）Cisco(config)#SNMPserver trapsource interfacetype fastethernet 0/0 （指定发送trap 信息的源IP 地址为fastethernet 0/0 接口的地址）Cisco# copy run startup （保存命令，如保存不了请利用show process memory 命令查看内存是否已满。

syslog格式说明1 告警⽇志1.1.1 字段说明字段名称字段含义access_time告警时间alarm_sip受害ipattack_org攻击组织attack_sip攻击ipattack_type攻击类型file_md5⽂件md5file_name⽂件名hazard_level威胁级别host域名host_md5域名md5ioc iocnid nidrule_key规则类型serial_num联动设备序列号skyeye_type原始⽇志类型type告警⼆级分类super_type告警⼀级分类type_chain告警⼦类标签编码host_state攻击结果confidence确信度vuln_type威胁名称attack_chain攻击链标签⼆级编号super_attack_chain攻击链标签⼀级编号is_web_attack是否web攻击1.1.2 字典类型字段说明hazard_level威胁级别:1、2、3低危4、5中危6、7⾼危8、9、10危急1.1.3 范例发送syslog的格式为： (facility = local3，⽇志级别为：warning)发送时间客户端IP ⽇志类型⽇志2018-04-23 15:16:37|!172.17.20.159|!alarm|!{"attack_type": "", "first_access_time": "2018-04-18T11:05:07.000+0800", "ioc": "3306", "access_time": "2018-04-18T11:05:07.000+0800", "alarm_sip": "63.3.5.7", "nid": "17298326168730075144", "attack_sip": "11.1.1.18", "hazard_level": 7, "super_type": "攻击利⽤", "type": "⾃定义情报告警", "sip_ioc_dip": "31d51ab43633a6d4f5ef926a856dddd8"}1.2 系统⽇志1.2.1 字段说明字段名称字段含义name警告内容value当前值1.2.2 范例发送syslog的格式为： (facility = local3，⽇志级别为：info)发送时间客户端IP ⽇志类型⽇志2018-05-14 15:10:52|!10.91.4.13|!log|![{"name": "空闲CPU百分⽐太低", "value": 19.7}, {"name": "15分钟平均CPU负载太⾼", "value": 35.1}]1.3 原始告警1.3.1 字段说明告警字段⼀：webids-webattack_dolog ⽹页漏洞利⽤字段名称字段含义attack_type攻击类型attack_type_all攻击类型（全）referer HTTP-来源file_name⽂件名agent代理victim受害者sport源端⼝rsp_status相应状态sip源IPseverity危害级别rsp_body_len相应体长度serial_num采集设备序列号rsp_content_type响应内容类型parameter HTTP请求参数method攻击⽅法req_body请求体req_header请求头rule_name规则名称host域名cookie cookiewrite_date写⼊时间attacker攻击者victim_type受攻击者类型attack_flag攻击标识uri URIrsp_content_length响应内容长度rule_version规则版本rsp_body响应体rsp_header响应头dport⽬的端⼝dolog_count告警次数dip⽬的IPrule_id规则IDconfidence确信度detail_info告警详细信息solution解决⽅案vuln_desc攻击描述vuln_harm攻击危害vuln_name威胁名称vuln_type威胁类型webrules_tag web攻击类规则标签public_date发布时间code_language使⽤语⾔site_app建站appkill_chain攻击链kill_chain_all攻击链（全）instranet_rule_all内部⽹络规则attack_result攻击结果xff xff代理告警字段⼆：webids-webshell_dolog webshell上传字段名称字段含义attack_type攻击类型attack_type_all攻击类型（全）attack_flag攻击标识sip源IPwrite_date写⼊时间victim受害者file_dir⽂件⽬录url URLvictim_type受攻击者类型file_md5附件MD5serial_num采集设备序列号attacker攻击者host域名file⽂件dport⽬的端⼝sport源端⼝dip⽬的IPrule_ip规则IDseverity危害级别confidence确信度detail_info告警详细信息attack_desc攻击描述attack_harm攻击危害rule_name规则名称kill_chain攻击链kill_chain_all攻击链（全）attack_result攻击结果xff xff代理告警字段三：webids_ids_dolog ⽹络攻击字段名称字段含义attack_type攻击类型attack_type_all攻击类型（全）dip⽬的IPpacket_data载荷内容victim受害者sport源端⼝affected_system影响的系统sip源IPseverity危害级别detail_info告警详细信息attacker攻击者packet_size载荷⼤⼩info_id漏洞编号description⽹络攻击描述sig_id特征编号rule_name规则名称write_date写⼊时间protocol_id⽹络攻击协议attack_method攻击⽅法attcak_flag攻击标志rule_id规则IDserial_num采集设备序列号appid应⽤IDdport⽬的端⼝vuln_type威胁类型victim_type受攻击者类型bulletin解决⽅案confidence确信度webrules_tag web攻击类规则标签ids_rule_version IDS规则版本号cnnvd_id CNNVD编号kill_chain攻击链kill_chain_all攻击链（全）instranet_rule_all内部⽹络规则attack_result攻击结果xff xff代理告警字段四：webids_ioc_dolog 威胁情报字段名称字段含义access_time⽇志产⽣时间tid恶意家族IDtype恶意事件类型rule_desc规则详情offence_type关注类型offence_value关注内容sip源IPdip⽬的IPserverity危害级别serial_num采集设备序列号rule_state规则状态ioc_type规则类型ioc_value规则内容nid IOCw唯⼀编号etime结束时间malicious_type威胁类型kill_chain攻击链kill_chain_all攻击链（全）xml_confidence确信度malicious_family恶意家族campaign攻击时间/团伙targeted定向攻击tag恶意家族标签paltform影响平台current_status当前状态packed_data载荷内容ioc_source威胁情报源sport源端⼝dport⽬的端⼝proto协议dns_type DNS类型filename⽂件名称file_md5⽂件MD5desc描述file_direction⽂件传输⽅向host域名uri URLdns_arecord DNS记录tproto传输层协议file_content⽂件内容attack_ip攻击IPvictim_ip受害IPattack_type攻击类型attack_type_all攻击类型（全）xff xff代理1.3.2 字典类型字段说明hazard_rating威胁级别:1、2、3低危4、5中危6、7⾼危8、9、10危急host_state告警结果:0企图1攻击成功2失陷1.3.3 范例webids-ioc_dolog范例发送syslog的格式为： (facility = local3，⽇志级别为：warning)发送时间客户端IP ⽇志类型⽇志2019-08-15 17:50:47|!10.91.4.198|!webids-ioc_dolog|!{"rule_desc": "APT17 APT组织活动事件", "campaign": "APT17", "@timestamp": "2019-08-15T17:00:07.946+0800", "packet_data": "AJALLmC1AFBWogIqCABFAABAh5tAAEARxOUKBQAd3wUFBaEjADUALHr7l9Q BAAABAAAAAAAAA2FsaQpibGFua2NoYWlyA2NvbQAAAQAB", "dns_arecord": "", "tproto": "udp", "host_reraw": "com.blankchair.ali", "sport": 41251, "host_raw": "", "attack_ip": "", "ioc_type": "host", "etime": "2017-03-08 13:33:11", "attack_type": "APT事件", "sip": "10.5.0.29","severity": 9, "proto": "dns", "kill_chain_all": "命令控制:0x03000000|命令控制服务器连接:0x030a0000", "filename": "", "serial_num": "QbJK/cNEg", "dns_type": 0, "rule_state": "green", "tid": 1, "attack_type_all": "APT事件:10000000|APT事件:10010000", "type": "KNOWN APT", "uri_md5": "d41d8cd98f00b204e9800998ecf8427e", "targeted": true, "access_time": 1565859693000, "nid": "1161928703861588190","file_md5": "", "kill_chain": "c2", "offence_value": "10.5.0.29", "host": "", "victim_ip":"10.5.0.29", "malicious_family": "Unknown", "geo_dip": {"subdivision": "Zhejiang Sheng", "country_code2": "CN", "longitude": "120.1614", "latitude": "30.2936", "continent_code": "AS", "city_name": "Hangzhou"}, "desc": "APT 17活动详情\n\nAPT 17是在2015年8⽉被FireEye公开揭露出来的⼀个 APT组织，最早的活动可以追溯到2013年。