在CISCO路由器上:

router(config)# logging faclity syslog

router(config)# logging trap informational

router(config)# logging [服务器名]

在log server上：

I .在/etc/syslog.conf中加入一行:

*.info /var/log/router.log

II . 生成文件日志文件：

touch /var/log/router.log

III .重起syslogd进程:

kill -HUP `cat /var/run/syslogd.pid`

对于入侵者来说，在实施攻击的整个过程中不与目标机试图建立tcp连接是不太可能的，这里有许多入侵者主观和客观的原因，而且在实施攻击中不留下日志也是相当困难的。如果我们花上足够的时间和精力，是可以从大量的日志中分析出我们希望的信息。就入侵者的行为心理而言，他们在目标机上取得的权限越大，他们就越倾向于保守的方式来建立与目标机的连接。仔细分析早期的日志，尤其是包含有扫描的部分，我们能有更大的收获。

日志审计只是作为入侵后的被动防御手段。主动的是加强自身的学习，及时升级或更新系统。做到有备无患才是最有效的防止入侵的方法。