路由器日志還有很多值得我們學(xué)習(xí)的地方，這里我們主要介紹路由器日志的詳細(xì)知識(shí)，包括介紹如何看路由器日志排除故障等方面。例如你要系統(tǒng)去記錄info等級(jí)的事件，則notice、err、warning、Crit、alert、emerg等在info等級(jí)以上的也會(huì)被一并記錄下來。

把上面所寫的1、2項(xiàng)以小數(shù)點(diǎn)組合起來就是完整的"要記錄哪些東西"的寫法。例如mail.info表示關(guān)于電子郵件傳送系統(tǒng)的一般性信息。auth.emerg就是關(guān)于系統(tǒng)安全方面相當(dāng)嚴(yán)重的信息。Ipr.none表示不要記錄關(guān)于打印機(jī)的信息(通常用在有多個(gè)紀(jì)錄條件時(shí)組合使用)。另外有三種特殊的符號(hào)可供應(yīng)用: 星號(hào)(*):代表某一細(xì)項(xiàng)中所有項(xiàng)目。例如mail.*表示只要有關(guān)mail的，不管什么程度都要記錄下來。而*.info會(huì)把所有程度為infn的事件給記錄下來。等號(hào)(=):表示只記錄目前這一等級(jí)，其上的等級(jí)不要記錄。例如上面的例子，平常寫下info等級(jí)時(shí)，也會(huì)把位于info等級(jí)上面的notice.err.warning、crit、alert、emerg等其他等級(jí)也記錄下來。但若你寫=info則就只有記錄info這一等級(jí)了。驚嘆號(hào)(!):表示不要記錄目前這一等級(jí)及其上的等級(jí)。

記錄存放的位置

sysloqd提供下列方法供您記錄系統(tǒng)發(fā)生的事件: 這是最普遍的方式。你可以指定好文件路徑與文件名稱，但是必須以目錄符號(hào)"/"開始，系統(tǒng)才會(huì)知道這是一個(gè)文件。例如/var/adm/maillog表示要記錄到/var/adm下面一個(gè)稱為maillog的文件。如果之前沒有這個(gè)文件，系統(tǒng)會(huì)自動(dòng)產(chǎn)生一個(gè)。

指定的終端機(jī)或其他設(shè)備

你也可以將系統(tǒng)記錄寫到一個(gè)終端機(jī)或是設(shè)備上。若將系統(tǒng)記錄寫到終端機(jī)，則目前正在使用該終端機(jī)的使用者就會(huì)直接在屏幕上看到系統(tǒng)信息(例如/dev/conso舊或是/dev/tty1，你可以拿一個(gè)屏幕專門來顯示系統(tǒng)信息)。若將系統(tǒng)記錄寫到打印機(jī)(例如/dev/!p0)。，則你會(huì)有一長條印滿系統(tǒng)記錄的紙，這樣網(wǎng)絡(luò)入侵者就不能修改路由器日志來隱藏入侵痕跡。

指定的遠(yuǎn)端主機(jī)

如果你不將系統(tǒng)信息記錄在本地機(jī)器上，你可以寫下網(wǎng)絡(luò)中另一個(gè)主機(jī)的名稱，然后在主機(jī)名稱前面加上"@"符號(hào)(例如(@)ccunix1.variox.int，但被你指定的主機(jī)上必須要有sysloqd)。這可以防止由于硬盤錯(cuò)誤等情況使路由器日志文件丟失。以上就是syslog各項(xiàng)記錄程度及記錄方式的寫法，可以依照自己的需求記錄下自己所需要的內(nèi)容。但是這些記錄都是一直追加上去的，除非將文件自行刪除掉，否則這些文件就會(huì)越來越大。Syslog設(shè)備是一個(gè)網(wǎng)絡(luò)攻擊者的顯著目標(biāo)，通過修改路由器日志來隱藏入侵痕跡，因此我們要特別注意。最好養(yǎng)成每周(或更短的時(shí)間)定期檢查一次記錄文件的習(xí)慣，并將過期的記錄文件依照流水號(hào)或是日期備份，以后查閱時(shí)也比較容易。千萬不要記錄下*.*，這樣無論什么都被記錄下來，結(jié)果會(huì)導(dǎo)致文件太大，要找資料時(shí)根本無法馬上找出來。有人在記錄網(wǎng)絡(luò)路由器日志時(shí)，連誰去ping他的主機(jī)都要記錄，這樣不僅降低系統(tǒng)效率而且增加了磁盤用量。

路由器日志功能的具體設(shè)置方法

首先在UNIX主機(jī)上做下列工作，以超級(jí)用戶注冊(cè)進(jìn)入: