Настройка коммутаторов

CISCO

1Archive                                 // Archive the configuration
2log config                              // Logging changes to the running configuration
3    logging enable                      // Enable the config logger
4    logging size 350                    // Maximum number of logged commands that will be kept by the config log
5    notify syslog contenttype plaintext // Type of the syslog message content
6    hidekeys                            // Suppress output (e.g. passwords) when displaying logged commands
7logging <Адрес syslog сервера>

Настройка сервера

Настройка RSyslog

Для сборки логов будем использовать rsyslog. Для начала нужно включить прием логов с сетевых устройств.

1# Read syslog messages from UDP
2module(load="imudp")
3input(type="imudp" port="514")
4
5# Read syslog messages from TCP
6module(load="imtcp")
7input(type="imtcp" port="514")

После этого настроить шаблон для сортировки лог сообщений.

 1$template CISCOFILENAME,"/var/log/cisco/%fromhost-ip%/%syslogseverity-text%.log"
 2:fromhost-ip, startswith, "10.2.248." ?CISCOFILENAME
 3:fromhost-ip, startswith, "10.2.20." ?CISCOFILENAME
 4:fromhost-ip, startswith, "10.2.248." /var/log/cisco/all.log
 5:fromhost-ip, startswith, "10.2.20." /var/log/cisco/all.log
 6:fromhost-ip, isequal,    "10.2.246.1" ?CISCOFILENAME
 7:fromhost-ip, isequal,    "10.2.251.3" ?CISCOFILENAME
 8:fromhost-ip, isequal,    "10.2.246.1" /var/log/cisco/all.log
 9:fromhost-ip, isequal,    "10.2.251.3" /var/log/cisco/all.log
10& ~
Тут задаются подсети с которых следует сортировать логи, и применяются шаблоны для подсетей и конкретных хостов.

Настройка Logrotate

Текстовые логи могут занимать ощутимое место на диске сервера и при болиших рамерах текстовых файлов будет сложнее их анализировать при необходимости. Для того чтобы избежать быстрого разростания логов настраивается ротация (разбиение) или архивания логов. Для этого используется logrotate который по заданным правилам производит упаковку логов тем самым сокращая занимаемое ими место. Для нашей конфигурации сислог сервера используются такие правила ротации логов.

 1/var/log/cisco/all.log
 2{
 3    daily
 4    compress
 5    dateext
 6    maxage 365
 7    rotate 99
 8    missingok
 9    notifempty
10    create 640 cisco cisco
11    nodelaycompress
12    sharedscripts
13    postrotate
14            /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
15    endscript
16}
17
18/var/log/cisco/*/*.log {
19    daily
20    compress
21    dateext
22    maxage 365
23    rotate 99
24    missingok
25    notifempty
26    create 640 cisco cisco
27    nodelaycompress
28    sharedscripts
29    postrotate
30        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
31    endscript
32}