03 Syslog

1、如何设置将系统日志保存到flash中

1）可以指定日志文件的名称，通常不需要加文件后缀名，统一为 .txt；

2）可以指定文件的大小，默认是128KB，如果超过，那么就产生多个文件来保存，以数字递增区分，比如mylog_1，mylog_2，mylog_3，最多16个文件；

3）可以指定哪些级别的日志保存到flash，默认为0-6级全部保存；

4）可以配置日志内存缓存区的大小，默认是1MB，这样超过缓存的空间后的日志就由系统保存到flash。

以S86的10.4（3）软件为例

Ruijie(config)#logging file flash:mylog ? ------>指定文件名，记录的日志等级，文件大小等

<0-7> Logging severity level (default value: 6)

<131072-6291456> Max size of the destination file :128k-6M bytes (default

value: 128k)

alerts Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

emergencies System is unusable (severity=0)

errors Error conditions (severity=3)

informational Informational messages (severity=6)

notifications Normal but significant conditions (severity=5)

warnings Warning conditions (severity=4)

Ruijie(config)#logging buffered ? ------>修订日志缓存区的大小，以及缓存哪些日志等级的日志，默认0-7都缓存

<0-7> Logging severity level (default value: 7)

<4096-10485760> Logging buffer size (default value: 1048576 bytes)

2、如何查看保存到flash中的日志或配置文件

Ruijie#dir

Mode Link Size MTime Name

-------- ---- --------- ------------------- ------------------

1 2313 2011-06-09 10:58:34 back.text

1 36129 2012-04-22 17:37:27 config.text

1 336 2011-06-09 11:49:28 dsa_private.bin

<DIR> 2 0 2011-04-07 11:01:10 grtd/

1 72850 2011-12-12 15:38:23 sysylog.txt

Ruijie#more flash:syslog.txt

//下面就会打印保存的日志信息，按空格键换页

3、为什么设置了将日志保存到flash中，但是dir却看不到命名的那个文件

1）频繁的读写flash对flash来说是有害的，所以并不是实时的记录日志到flash中，所以当我们配置好file后并不能马上在flash中看到这个文件，因为文件还没有生成，另外我们使用more flash：mylog.txt时可能看到的日志并不是最新的内容，都是因为上述的原因。

2）设备将日志从内存缓存中写入flash中是有触发条件的：

a.内存中缓存的日志到达了定义的最大值，那么旧的日志就会写入flash；

b.到达一定的时间，通常是30分钟，会做内存缓存区与flash里保存的日志的内容对比，将增量的日志写入flash；

c.设备热重启，执行reload命令，会触发设备主动的将内存中的log马上写入flash，但是如果设备突然掉电，是不会触发日志写入flash的。

4、telnet远程管理的时候，无法查看实时打印的log

远程telnet登入设备后，在特权模式下输入如下命令：

Ruijie#terminal monitor

关闭命令：

Ruijie#terminal no monitor

5、S21远程telnet管理时，如何打开日志调试功能

Switch#terminal monitor

Switch(config)#logging monitor ?

<0-7> Logging severity level

System is unusable (severi

Immediate action needed (severi

Critical conditions (severi

Error conditions (severi

Warning conditions (severi

Normal but significant conditions (severi

Informational messages (severi

Debugging messages (severi

Switch(config)#logging monitor

Switch#

2011-12-01 07:04:28 @5-CONFIG:Configured from telnet<192.168.33.1

Switch#

2011-12-01 07:04:46 @5-LINKUPDOWN:Fa0/34 changed state to down

2011-12-01 07:04:48 @5-LINKUPDOWN:Fa0/34 changed state to up

6、控制台显示log日志信息时间戳格式与交换机show clock时间格式不一致

如果配置service timestamps log uptime //时间戳格式为路由器启动时间形式

显示的logg记录如下：

Log Buffer (Total 4096 Bytes): have written 1738,

16:21:39:43: %LINK-5-CHANGED: Interface GigabitEthernet 0/3, changed state to administratively down

16:21:39:43: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet 0/3, changed state to down

16:21:39:48: %LINK-5-CHANGED: Interface GigabitEthernet 0/3, changed state to up

16:21:39:48: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet 0/3, changed state to up

如果设置为service timestamps log datetime //日志信息的时间戳格式为日期形式

显示的logg记录为交换机系统正常的日期日志

*Jul 3 15:21:48: %LINK-5-CHANGED: Interface FastEthernet 0/16, changed state to down

*Jul 3 15:21:48: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/16, changed state to down

客户那边log日志如果显示不一致问题可以尝试调整交换机日志信息的时间戳格式为日期形式

service timestamps log datetime

7、交换机如何实现用户console/vty登入设备时的用户信息及执行了哪些命令，能够记录到日志中

Ruijie(config)#logging userinfo command-log //开启记录用户信息的功能，包括执行了什么命令

Apr 2 2011 03:24:31.779: %LOGIN-5-LOGIN_SUCCESS: User login from vty0(192.168.51.64) OK.

*Aug 9 10:59:17: %SYS-5-CONFIG_I: Configured from console by console

*Aug 9 10:59:46: %CLI-5-EXEC_CMD: Configured from console command: router ospf 1

*Aug 9 10:59:47: %CLI-5-EXEC_CMD: Configured from console command: exit

//用户登入后就可以看到，CLI界面打印一条用户VTY/console链路登入的信息，同时执行了哪些命令，show logging也可以看到已经保存到日志文件中了

8、我司交换机支持将syslog发送给多台服务器吗

支持

Ruijie(config)#logging 1.1.1.1

Ruijie(config)#logging 1.1.1.2

Ruijie(config)#logging 1.1.1.3

9、日志服务器无法接收到交换机发送的syslog日志故障的常规排查思路

1）首先要保证设备上关于syslog服务的配置正常，特别是日志源IP及syslog服务器的IP，并且路由可达；

2）其次要将日志信息发送给Syslog Server，必须打开日志信息的时间戳开关或序号开关，否则日志信息将不会被发给Syslog Server;

3）另外syslog日志信息通常的以UDP 514端口来封装发送的，在数据传输路径上以及syslog服务器端需要确保没有相应的安全策略或者防火墙阻止了该数据包，syslog server的UDP 514端口是开放；

4）如果上述还无法定位问题，请在交换机往服务器的出端口上面做both的镜像，抓取报文，以便确认交换机是否已经将syslog报文发送给了服务器。

10、高端交换机VSU状态下，如何将各块引擎的syslog日志拷贝到U盘中// 拷贝失败用U盘来拷贝，包括拷贝失败的LOG

遇到问题：

客户两台S86做VSU模式，设备上有四块引擎。需要收集4张引擎下面的syslog目录下面的syslog_1.text日志拷贝出来进行故障分析。

处理思路：

1、先将不同管理板的syslog日志拷贝到当前主引擎的flash:里面；

2、再从当前主引擎的flash:里面，将syslog日志通过tftp方式拷贝到电脑上

操作步骤：

sw1-m1-disk0：表示VSU ID为1的，m1槽位引擎的flash

1、先将不同管理板的syslog日志拷贝到当前主引擎的flash:里面

copy sw1-m1-disk0:/syslog/syslog_1.text flash:/sw1-m1-syslog_1.text

copy sw1-m2-disk0:/syslog/syslog_1.text flash:/sw1-m2-syslog_1.text

copy sw2-m1-disk0:/syslog/syslog_1.text flash:/sw2-m1-syslog_1.text

copy sw2-m2-disk0:/syslog/syslog_1.text flash:/sw2-m2-syslog_1.text

然后可以通过dir 来检查一遍是否拷贝成功

2、再从当前主引擎的flash:里面，将syslog日志通过tftp方式拷贝到电脑上

copy flash:/syslog/sw1-m1-syslog_1.text tftp://192.168.1.1/sw1-m1-syslog_1.text

copy flash:/syslog/sw1-m2-syslog_1.text tftp://192.168.1.1/sw1-m2-syslog_1.text

copy flash:/syslog/sw2-m1-syslog_1.text tftp://192.168.1.1/sw2-m1-syslog_1.text

copy flash:/syslog/sw2-m2-syslog_1.text tftp://192.168.1.1/sw2-m2-syslog_1.text