演示目标:配置网络环境中的交换机和路由器将日志发送到syslog日志服务器。
演示环境:如下图10.54所示的演示环境。
演示背景:要求部署网络中的syslog服务器,集中的收集交换机S1和路由器R1所产生的日志,并且使用协议分析器,分析日志文件的构成和传输形式。
演示步骤:
第一步:完成基础配置,其中包括为交换机S1和路由器R1配置接口地址,必须确保交换机和路由器都能成功的与日志服务器192.168.3.100通信。
路由器R1上的基础配置:
R1(config)#interface e1/0
R1(config-if)#ip address 192.168.4.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface e1/1
R1(config-if)#ip address 192.168.3.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
在交换机S1上的基础配置:
S1(config)#interface vlan 1
S1(config-if)#ip address 192.168.4.100 255.255.255.0 *为交换机配置网络管理IP
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip route 0.0.0.0 0.0.0.0192.168.4.1 *为交换机指定默认网关
注意:必须正确的在交换机S1上完成配置,保证交换机能成功的与日志服务器192.168.3.100通信,否则交换机S1所产生的日志将无法发送到192.168.3.100,事实上,此时的交换机S1在日志收集这个行为中,它就是一台被网络管理的IP结点,VLAN1接口上的IP地址192.168.4.100就是它的管理地址,而默认路由中的下一跳192.168.4.1就是交换机S1的默认网关。
第二步:现在开始在日志服务器192.168.3.100上安装日志软件(kiwi syslog),在安装时需要注意,如下图10.54所示,选择将syslog以一个服务进行安装,而不是以应用程序,将syslog以一个服务进行安装时,不需要用户登陆windows系统,它就可以运行。
安装完成后,如下图10.55所示,配置日志服务器所使用的IP地址、端口和日志的编码格式,默认情况下syslog使用UDP514号端口,请保持默认的日志编码格式。在完成上述配置后,打开日志的mange菜单,选择“start the syslogd service”以启动syslog服务。如下图10.56所示。
第三步:配置交换机S1和路由器R1支持日志功能,并将它们所产生的日志发送到日志服务器192.168.3.100上。具体配置如下:
配置交换机S1发送日志到192.168.3.100
S1(config)#logging on *启动日志功能
S1(config)#logging host 192.168.3.100transport udp port 514 *申明日志服务器的IP和端口
S1(config)#logging source-interface vlan 1 *申明发送日志的更新源接口
配置交换机R1发送日志到192.168.3.100
R1(config)#logging on
R1(config)#logging host 192.168.3.100transport udp port 514
R1(config)#logging source-interface e1/1
第四步:现在来验证,交换机S1和路由器R1是否能将本地生产的日志成功的发送到日志服务器,你可以在交换机S1或者路由器R1的全局配置模式下,通过执行exit退出全局配置模式,就可以产生相关的日志。然后再到日志服务器192.168.3.100查看syslog服务,如下图10.57所示,syslog服务器成功的收集到S1和R1的日志。
如果你在产生日志的同时开启了协议分析器,那么可以捕获到如下图10.58所示的日专协议数据帧,可清晰的看出发送日志的源主机和接收日志的目标主机,使用的端口号,日志的具体内容等,默认情况下日志是没有被加密的,以明文的行式体现。
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1331801,如需转载请自行联系原作者
