从 Cisco 交换机收集日志
将来自路由器、交换机和防火墙等网络设备的日志上传到 Site24x7 的 AppLogs 进行管理。集中服务器将日志转发到您的网络外部,只需在集中服务器上安装 AppLogs 代理,即可管理所有日志。
Site24x7 允许您为 Cisco 交换机日志和其他设备日志生成告警和详细报表。您可以通过监控和可视化工具获取可操作的洞察,提高运营效率,简化故障排除。
前提条件
- 确保安装了 Site24x7 Linux 服务器监控代理的服务器正常运行,并作为中央 syslog 接收器。
在基于 Windows 的网络设备中,可以通过本地轮询器收集 syslog 数据。但对于基于 Linux 的服务器,则不需要本地轮询器。
配置中央 syslog 接收器
请按照以下步骤配置中央 syslog 接收器:
- 配置 rsyslog 服务器以接收来自远程网络设备的日志。
- 在 /etc/rsyslog.d/ 下创建新的配置文件并命名。
示例: /etc/rsyslog.d/.conf - 将以下行添加到新创建的文件中:
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514" ruleset="devicelogs")
ruleset(name="devicelogs") {
action(type="omfile" file="/tmp/devicelogs")}
- 可选步骤:使用动态路径,可以将来自多个设备的转发日志存储在单独的文件中。请按照以下步骤配置动态路径:
module(load="imudp")
input(type="imudp" port="514" ruleset="devicelogs")
template(name="default" type="string" string="/tmp/devicelogs/%fromhost-ip%/device_logs.log")
ruleset(name="devicelogs") {
action(type="omfile" file="/tmp/devicelogs")}
您也可以将文件路径(/tmp/devicelogs)更改为您首选的存储位置。
- 如果此机器上启用了防火墙,您必须使用以下命令在防火墙中允许 UDP 端口 514:
firewall-cmd --add-port=514/udp --permanent
firewall-cmd --reload
- 现在,使用以下命令重启 Rsyslog 服务:
sudo service rsyslog restart
- 为避免磁盘空间耗尽,请按照以下说明定期轮转日志文件:
-
- 在 /etc/logrotate.d/devicelogs 下创建新的配置文件。
- 在 username 和 groupname 下方,将以下行添加到文件中:
/tmp/devicelogs
{
su
rotate 7
daily
missingok
notifempty
delaycompress
compress
postrotate
/usr/lib/rsyslog/rsyslog-rotate
endscript
}
对于 Red Hat 机器,请改用以下行:
/usr/bin/systemctl -s HUP kill rsyslog.service >/dev/null 2>&1 || true
成功完成以上步骤后,rsyslog 配置的服务器将准备好接收来自远程设备的日志。
在 Cisco 交换机中配置 syslog
请按照以下步骤配置 Cisco 交换机,将 syslog 消息发送到安装了 Site24x7 Linux 服务器监控代理的计算机上的指定端口。
- 打开 Cisco 交换机上的命令行界面并开始会话。
- 验证是否已启用特权 EXEC 模式。如未启用,请键入以下命令进入特权 EXEC 模式:
enable
- 键入以下命令切换到全局配置模式:
configure terminal
- 验证是否已启用日志记录。如未启用,请使用以下命令启用:
logging enable
- 键入以下命令,配置 Cisco 交换机将日志消息发送到安装了 Site24x7 Linux 服务器监控代理的服务器:
logging host
- 根据优先级别,您可以限制发送的消息。为此,请使用以下命令:
logging trap level
- 键入以下命令返回特权 EXEC 模式:
end
默认 UDP 端口为 514。默认 TCP 端口为 1470。
执行以上步骤后,您可以在 rsyslog.conf 文件中配置的日志文件中看到 syslog 消息。
此外,您可以使用日志文件中可用的示例日志在 Site24x7 中创建日志类型。然后,您可以创建日志配置文件并将安装了 rsyslog 的主机映射,以在 AppLogs 中查看日志。
日志收集故障排除
如果日志未写入 rsyslog 中配置的文件,请按照以下步骤检查日志接收在哪个环节出现了故障。
- 确保网络设备中已启用 syslog,并配置为使用 UDP 端口(514),且主机 IP 为已安装 rsyslog 的机器。
- 使用以下命令确认已安装 rsyslog 的机器可从网络设备访问:
ping
- 运行 tcpdump 命令检查是否有网络数据包到达 UDP 514 端口。如果未安装 tcpdump,请先安装并运行以下命令:
tcpdump udp port 514 -XAvvv
按照以上步骤,您可以成功配置中央 syslog 接收器和 Cisco 交换机上的 syslog。