五、发送syslog 信息到Syslog服务器

使用TCP或者UCP协议发送syslog信息到一台主机，该主机必须运行一个syslog程序。有在UNIX和Windeow系统下的第三方软件（Kiwi Syslog Daemon不错）。

参考Cisco PIX防火墙和VPN的配置手册来配置syslog。可以设置log信息的发送方式，如：Email、发送到一个档，发送到一个工作站。

安照下面的步聚配置防火墙发送log信息到一台Syslog服务器。

第一步：指定一台主机接收log信息

logging host [interface] ip_address [tcp[/port] | udp[/port]] [format emblem]

For example:

logging host dmz1 192.168.1.5

可以指定多台服务器来接收log信息，这样当一台服务器不在线的时候其它的服务器仍可以接收信息。

第二步：设置log级别。

logging trap severity_level (1-7)

第三步：如果想在信息中包含设备的ID使用如下命令

logging device-id {hostname | ipaddress if_name | string text}

包含特定设备的ID（设备的名字，和特定接口的IP或者一个字符串）

六、把log信息发送到SNMP管理机

做下面的配置工作：

第一步：设置SNMP管理机的IP地址

snmp-server host [if_name] ip_addr

第二步：设备其它SNMP服务器的设置，也是必需的

snmp-server location text

snmp-server contact text

snmp-server community key

参考PIX防火墙命令解释可以获得更多的信息。

通过下面的设置来配置发送log信息到SNMP服务器上。

第一步

snmp-server enable traps

第二步：设置log级别:

logging history severity_level (1-7)

第三步：关闭syslog捕获用下面的命令:

no snmp-server enable traps

基于IOS的命令行：

(config)#logging 218.8.127.222 指定日志服务器IP地址。

(config)#logging trap debugging 指定日志级别，可选的级别有0－7共八个级别，0最高，7最低。这八个级别分别为：

alerts Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

emergencies System is unusable (severity=0)

errors Error conditions (severity=3)

informational Informational messages (severity=6)

notifications Normal but significant conditions (severity=5)

warnings Warning conditions (severity=4)

(config)#logging on 启用日志服务。

选取最低的debugging级别可以记录所有可以记录的信息，包括系统信息、错误信息、debug信息等等。但是仍然不能满足我们的全部需求。比如要记录telnet用户的IP，如果他没有对配置文件进行修改的话，日志里面是不会记录的。这时就要使用debug命令。

(config)#access-list 1 permit host 218.8.127.222

(config)#line vty 0 4

(config)#access-class 1 in

#debug ip packet 1

这样会使交换机或路由器的CPU负载增加。在机房内的11H-2924XL使用，使CPU负载增加了1%。另外会产生大量的无用信息，比如建立连接的过程也会记录。还有就是要设置访问列表，使远程维护不太方便。

另外，从原理上说，可以将“access-list 1 permit host 218.8.127.222”后面加上一个“log”，然后再来一条“deny any log”，这样一旦匹配了访问列表，就会产生一条记录。不过不知为什么在11H-2924XL上却没有产生日志记录。也许和交换机有关吧，搞不懂。

cisco#conf t

cisco(config)#logging on

cisco(config)#logging ipadd

cisco(config)#logging facility local2

cisco(config)#logging source-interface vlan 1

cisco(config)#service timestamps debug uptime

cisco(config)#logging buffered 8192 debugging

设置logging服务器以后还有将debug打开

cisco#conf t

cisco(config)#debug spanning-tree all

cisco(config)#debug arp

cisco(config)#sh debug

cisco(config)#undebug arp

cisco(config)#undebug spanning-tree all

cisco(config)#undebug all