默认情况下.Cisco路由器和交换机并不在NVRAM (非易失性内存)中记录事件;工程师可以使用命令logging buffered改变设备的这一默认行为.并且还可以使用额外参数来设定日志缓存的大小。以路由器的配置为例.当路由器上发生了一些特定事件时.路由器要以某种方式.通过Trap消息向SNMP管理器提供事件日志中记录的重要事件。在配置中显然需要包含SNMP的配置;并且如果没有部署适当的安全保护机制.SNMP也会为设备带来安全威胁。但是如果禁用SNMP并且手动査看时间日志的话.这可是一个无比枯燥的工作.而且这种方法并没有什么可扩展性。
RFC 5424中描述了系统日志(Syslog).它是一项轻量级的事件通知协议.它所提供的方法在手动监控事件日志和全面部署SNMP之间做出了妥协。它能够当事件记录到时间日志中的同时.向系统日志服务器实时发送时间通知消息.使工程师能够从系统日志服务器上进行 査看。系统日志协议默认使用UDP 514端口。
Cisco IOS设备默认就配置了系统日志协议.会向系统日志服务器发送事件日志中的所有事件。工程师也以通过配置.使系统日志协议只将特定级別的事件发送到服务器。
系统日志协议是一个明文协议.提供了事件通知.同时无需繁杂耗时的配置.也不会引 入安全威胁。实际上.配置基本的系统日志协议的步骤非常简单。
步骤1 在一台工作站上安装系统日志服务器.并为工作站使用固定IP地址。
步骤2 使用logging host命令配置日志记录进程.以便向系统日志服务器的IP地址
发送事件。
步骤3 配置所需的可选参数.比如工程师希望使用logging trap命令向系统日志服
务器发送哪个重要级別(0〜7)的事件。