Syslog简介

就像汽车仪表板上的Check Engine指示灯一样，网络中的组件可以告诉您是否有问题。syslog协议旨在确保您可以接收和理解这些消息。当网络上发生某些事件时，网络设备具有可信任的机制，可通过详细的系统消息通知管理员。这些消息可以是非关键的也可以是重要的。网络管理员可以使用多种选项来存储，解释和显示这些消息。还可以提醒他们注意那些可能对网络基础结构产生最大影响的消息。

访问系统消息的最常见方法是使用称为syslog的协议。

Syslog是用于描述标准的术语。它还用于描述为该标准开发的协议。syslog协议是在1980年代为UNIX系统开发的，但最初由IETF在2001年记录为RFC3164。Syslog使用UDP端口514通过IP网络将事件通知消息发送到事件消息收集器，如图所示。

许多网络设备都支持syslog，包括：路由器，交换机，应用程序服务器，防火墙和其他网络设备。syslog协议允许网络设备通过网络将其系统消息发送到syslog服务器。

对于Windows和UNIX，有几种不同的syslog服务器软件包。其中许多是免费软件。

syslog日志记录服务提供三个主要功能，如下所示：

• 收集日志信息以进行监视和故障排除的能力
• 选择捕获的日志信息类型的能力
• 指定捕获的系统日志消息的目的地的能力

Syslog操作

在Cisco网络设备上，syslog协议通过发送系统消息和调试输出到设备内部的本地日志记录过程开始。日志记录过程如何管理这些消息和输出取决于设备配置。例如，系统日志消息可以通过网络发送到外部系统日志服务器。无需访问实际设备即可检索这些消息。可以将存储在外部服务器上的日志消息和输出提取到各种报告中，以便于阅读。

或者，可以将系统日志消息发送到内部缓冲区。发送到内部缓冲区的消息只能通过设备的CLI查看。

最后，网络管理员可以指定仅将某些类型的系统消息发送到各个目的地。例如，设备可以配置为将所有系统消息转发到外部syslog服务器。但是，调试级别的消息将转发到内部缓冲区，并且只能由CLI管理员访问。

如图所示，syslog消息的常见目的地包括：

• 日志缓冲区（路由器或交换机内部的RAM）
• 控制台线
• 终端线
• Syslog服务器
  
  通过查看syslog服务器上的日志，或通过Telnet，SSH或控制台端口访问设备，可以远程监视系统消息。

Syslog消息格式

思科设备会由于网络事件而产生系统日志消息。每个系统日志消息均包含严重性级别和功能。

数值级别越小，系统日志警报越严重。可以将消息的严重性级别设置为控制每种消息的显示位置（即在控制台或其他目标上）。下表显示了系统日志级别的完整列表。

• 警告级别4-紧急级别0：这些消息是有关软件或硬件故障的错误消息；否则，将显示错误消息。这些消息类型表示设备的功能会受到影响。问题的严重性决定了所应用的实际syslog级别。
• 通知级别5：此通知级别适用于正常但重要的事件。例如，接口向上或向下过渡以及系统重新启动消息将显示在通知级别。
• 信息级别6：这是一条正常的信息消息，不影响设备功能。例如，当Cisco设备正在引导时，您可能会看到以下参考消息：％LICENSE-6-EULA _ ACCEPT _ ALL：接受最终用户许可协议使用权。
• 调试级别7：此级别指示消息是通过发出各种调试命令生成的。