一、名詞解釋
Syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄,是一種用來在互聯(lián)網(wǎng)協(xié)議(TCP/IP)的網(wǎng)上中傳遞記錄檔消息的標(biāo)準(zhǔn)。這個(gè)詞匯常用來指涉實(shí)際的syslog 協(xié)議,或者那些提交syslog消息的應(yīng)用程序或數(shù)據(jù)庫。?
?
?
二、功能介紹
通過syslog方式將信息存儲(chǔ)到日志服務(wù)器,長期保留您的日志信息、包含NAT日志、行為管理日志、URL訪問日志等日志內(nèi)容。
記錄訪問日志并支持更多的內(nèi)網(wǎng)終端,同步實(shí)現(xiàn)長時(shí)間保留的篩選和分析。
?
?
三、收費(fèi)標(biāo)準(zhǔn)及支持版本
1.官方硬件免費(fèi)開通。
2.免費(fèi)版120元/路由器/年。2年95折,3年9折。
?
3.6.4版本及以上支持Syslog,如路由版本低于3.6.4則授權(quán)狀態(tài)展示為:路由版本低。
官方硬件默認(rèn)開通服務(wù),無需付費(fèi),用戶可點(diǎn)擊【開啟】按鈕開啟服務(wù),非官方硬件可點(diǎn)擊開通進(jìn)行付費(fèi),首次付費(fèi)成功后默認(rèn)開啟服務(wù)。
?
開啟服務(wù)后,可單選或批量進(jìn)行配置,服務(wù)器IP、協(xié)議類型、端口號不允許為空,配置完成后,將自動(dòng)下發(fā),請確保設(shè)備在線。
?
授權(quán)到期后,服務(wù)將自動(dòng)關(guān)閉,請確保授權(quán)時(shí)間充足。
?
?
四、如何使用syslog服務(wù)及配置說明
服務(wù)端配置示例:
案例1:愛快syslog對接群輝
案例2:愛快syslog對接Visual Syslog server
案例3:愛快syslog對接Syslog?Watcher?Manager
?
?
本教程以愛快客戶提供的群輝日志中心為例,同時(shí)開啟syslog服務(wù)器功能:
群輝中國區(qū)官網(wǎng)地址:https://www.synology.cn/zh-cn
客戶如需使用群輝日志中心套件作為syslog服務(wù)器,請聯(lián)系群輝官方購買。
1、進(jìn)入群輝系統(tǒng),依次打開套件中心—搜索日志中心并安裝,
?
?
?
2、安裝完畢后,啟動(dòng)日志中心服務(wù),進(jìn)行相關(guān)配置,如下圖所示:
?
愛快云端配置示例:
1、我們登錄愛快云,依次打開配置管理—syslog服務(wù),選擇設(shè)備并開啟Syslog服務(wù)。
?
2、配置服務(wù)器IP、協(xié)議類型、端口、勾選發(fā)送日志。
?
3、最后確認(rèn)服務(wù)狀態(tài)為已開啟
?
查看輸出的日志:
1、我們回到日志中心查看日志,打開群輝服務(wù)器的 “日志中心”。
?
2、即可看到前50條TOP日志信息,如下圖所示:
打開日志中心,新增接收日志,傳輸協(xié)議和端口與愛快云設(shè)置一致,設(shè)置完成點(diǎn)擊確定后應(yīng)用此配置。
?
設(shè)置完成后在“概述”中可查看到接收到的日志信息。
?
?
?
?案例2:愛快syslog對接Visual Syslog server
?
1.下載開源日志服務(wù)器Visual Syslog server(https://github.com/MaxBelkov/visualsyslog)
2.進(jìn)入setup設(shè)置監(jiān)聽協(xié)議和監(jiān)聽端口,ip為本機(jī)ip?
?
3. 進(jìn)入file選項(xiàng)卡設(shè)置日志文件,如圖保存的文件每達(dá)到10MB,日志文件將syslog_{yyyy-mm-dd-hh-nn}命名,Number of files為日志文件最大數(shù)量
?
4.?進(jìn)入愛快云開啟syslog,ip為運(yùn)行Visual Syslog server的終端ip,選擇發(fā)送日志類型
?
5.?觀察到正常接收日志但出現(xiàn)亂碼,進(jìn)入setup啟用utf-8編碼解決
?
?
6.?軟件GUI部分功能如下
?
?
?
?
?
?案例3:愛快syslog對接Syslog?Watcher?Manager
?
Syslog?Watcher?Manager服務(wù)器下載鏈接:https://ezfive.com/syslog-watcher
?
打開鏈接后選擇“Download syslog watcher 6.5.4(MISI installer)”進(jìn)行下載安裝。
?
?
安裝完成后打開服務(wù)器,選擇“Configure”進(jìn)入設(shè)置頁面。
?
Local IPv4/IPv6 address:設(shè)置服務(wù)器IP地址,即安裝此服務(wù)器本機(jī)地址。
syslog Port:設(shè)置服務(wù)器端口,此處端口號要與愛快云上填寫端口號一致。
?
愛快云syslog服務(wù)配置:
服務(wù)器IP:填寫syslog服務(wù)器IP地址。
協(xié)議類型:選擇所使用協(xié)議。
端口:與syslog服務(wù)器端口填寫一致。
分隔符類型:選擇分隔符類型。
發(fā)送日志:選擇哪些日志可以在日志服務(wù)器查看。
?
start server:開啟日志記錄。
?
view:Latest:查看輸出日志信息。
?
Export:導(dǎo)出日志信息,可選擇導(dǎo)出不同時(shí)間段的日志信息。
?
導(dǎo)出日志到桌面后,打開文件可查看日志詳細(xì)信息。
?
?
?
?
五、常見問題
?
1、關(guān)于syslog各種標(biāo)準(zhǔn)格式:
syslog協(xié)議標(biāo)準(zhǔn)
目前業(yè)界存在常見兩種syslog日志協(xié)議,一個(gè)是2009年起草協(xié)議RFC524,另外一個(gè)是2001年的RFC3164協(xié)議,在這里愛快使用RFC5424協(xié)議包含以下字段信息
?
各個(gè)事件內(nèi)容日志字段含義如下:
?
(1)網(wǎng)頁瀏覽記錄
事件名稱:url
事件內(nèi)容:
|
字段名 |
字段含義 |
|
IP |
IP地址 |
| MAC | MAC地址 |
| URL | 訪問的網(wǎng)頁的地址 |
?
(2)im記錄
事件名稱:im
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Type |
類型 |
|
Account |
賬號 |
|
Imopt |
操作 |
|
Ip |
Ip |
|
Mac |
Mac |
|
Eventv |
備注 |
?
(3)NAT記錄
事件名稱:nat
事件內(nèi)容:
|
字段名 |
字段含義 |
|
SrcIp |
源ip |
|
SrcPort |
源端口 |
|
DestIp |
目的ip |
|
DestPort |
目的端口 |
|
Protocol |
協(xié)議 |
?
(4)無線終端日志
事件名稱:iktimerd_ac
事件內(nèi)容:
?
|
字段名 |
字段含義 |
|
MAC |
終端MAC |
|
MacRemark |
終端MAC備注 |
|
ApMAC |
APmac |
|
ApRemark |
APmac備注 |
|
Bssid |
Bssid |
|
Ssid |
Ssid |
|
SigStrength |
信號強(qiáng)度 |
|
Event |
事件類型 |
|
Operate |
操作行為 |
?
(5)認(rèn)證日志
事件名稱:pppauth
事件內(nèi)容:
|
字段名 |
字段含義 |
|
AuthIp |
認(rèn)證ip |
|
UserName |
用戶名 |
|
AuthType |
認(rèn)證類型 |
|
Mac |
ip/mac |
|
Result |
事件 |
|
Interface |
接口 |
|
Event |
日志詳情/備注 |
?
?(6)終端上下線日志
事件名稱:offline
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Onlinetime |
上線時(shí)間 |
|
Ip |
IP |
|
Mac |
Mac |
|
Ontime |
在線時(shí)長 |
|
Total_up |
累計(jì)上傳 |
|
Total_down |
累計(jì)下載 |
|
Systype |
系統(tǒng)類型 |
|
Devtype |
終端類型 |
|
Event |
備注 |
?
?
(7)DHCP
事件名稱:ik_dhcpd
事件內(nèi)容:
|
字段名 |
字段含義 |
|
MsgType |
消息類型 |
|
Interface |
接口 |
|
IpAddr |
Ip |
|
Mac |
Mac |
|
Event |
?
備注 |
?
(8)ARP
事件名稱:arp
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Event |
備注 |
?
(9)外網(wǎng)撥號日志
事件名稱:pppd
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Interface |
線路 |
|
Event |
備注 |
?
(10) 動(dòng)態(tài)域名日志
事件名稱:ddns
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Ip |
Ip |
|
Domain |
域名 |
|
Interface |
解析網(wǎng)卡 |
|
Result |
更新結(jié)果 |
|
Event |
日志詳情 |
?
(11)操作日志
事件名稱:webadmin
事件內(nèi)容:
|
字段名 |
字段含義 |
|
UserName |
用戶名 |
|
IpAddr |
IP |
|
Function |
功能 |
|
Event |
事件 |
?
(12)系統(tǒng)日志
事件名稱:sys_event
事件內(nèi)容:
|
字段名 |
字段含義 |
|
Event |
事件 |
?
完!?
?
?
?
?
