把Linux配置成pix、switch、router 的日志主机

在考虑配置日志主机前参考过很多资料，咨询了其他网络技术论坛很多朋友，在此表示非常感谢！

我公司有3550，2621，PIX515E，原来使用3Com 的Syslog记录比较麻烦，三台设备要分别在三台主机上安装软件，如果使用Linux做主机就方便多了，只要在同一台机器上做就可以。以下是我的配置记录：

环境：Cisco 3548EMI,PIX515e,Cisco 2610,RedHat 7.3

一、linux配置：

1、vi /etc/sysconfig/syslog (按i进入vi的编辑状态，编辑完成后按ESC回到命令行状态，然后

输入:wq,存盘退出，如果不存盘输入:q! )

把 SYSLOGD_OPTIONS="-m 0" 修改为

SYSLOGD_OPTIONS="-r -m 0" //-r 允许从远端主机写入messages

2、vi /etc/syslog.conf

加入下列内容

把设备号为local4(PIX的默认设备号，对应PIX端的facility为20)的所有的日志记录

到 /var/log/pix.log中

#Save pix messages all to pix.log Pix 的日志记录路径

local4.* /var/log/pix.log

# Save Switch 3550 messages all to switch.log Switch的日志记录路径

local1.* /var/log/switch.log

# Save Router 2610 messages all to router.log Router的日志记录路径

local1.* /var/log/router.log

3、为了避免日志过大,配置日志轮循(man logrotate 查看详细的帮助信息)

vi /etc/logrotate.conf

增加下列内容:

# system-specific logs may be also be configured here.

# pix logrotate

/var/log/pix.log {

weekly

rotate 4

}

# switch logrotate

/var/log/switch.log {

weekly

rotate 4

}

# router logrotate

/var/log/router.log {

weekly

rotate 4

}

4、重起syslog服务：

[root@localhost etc]# service syslog restart

二、PIX配置：

pix# logging on

pix# logging host 192.168.0.1 //记录日志的主机IP

pix# logging trap 7 //指定日志消息的级别 (0:紧急(Emergencies) 1:告警

(Alerts) 2:严重的(Critical) 3:错误(Errors) 4:警告(Warnings) 5:通知(Notifications)

6:信息(Informational) 7:调试(Debugging))

pix# logging facility 20 //更改设备号,PIX默认为local20

pix# exit

pix# sh logging //可以看到当前日志记录是否启动

pix# wr mem //保存配置

(交换机与路由器的配置与PIX配置基本是一样的，所以就不重复了)

三、检查是否配置成功及排错：

1、在pix端enable模式下运行sh logging可以检查日志记录是否开启：

pix# sh logging

Syslog logging:enable

Facility:20

Timestamp logging: disabled

Standby logging: discable

Console logging: discable

Monitor logging: discable

Buffer logging: discable

Trap logging: level warnings,373000 messages logged

Logging to inside 192.168.0.1

History logging: discable

Device ID: discable

pix#

2、在linux端

运行[root@localhost etc]# tail ?Cf /var/log/pix.log

检查是否有日志记录。退出用Ctrl+c

3、排错及心得：

以下是本人在调试过程中碰到的错误

(1)使用 tail ?Cf /var/log/pix.log 命令时发现没有日志记录：

由于pix端配置把facility配置为4导致日志不能输出，登陆到Pix在配置模式下运行logging

facility 20；

(2) 在配置的时候由于粗心大意明明是对的也会写错，也是导致配置失败的一个原因。