如何保存日志
1、PIX端
在一般情况下,PIX的日志功能是禁用的。为了启动日志功能,需要使用logging on命令,并把日志发送到某一台日志服务器上。
如:
net(config)# logging on
net(config)# logging trap debugging
net(config)#logging history debugging
net(config)#logging host inside a.b.c.d (就是日志服务器的地址)
以下是PIX日志级别
level ?指定系统日志消息等级为一个数字或字符串。你指定的level表示你想显示该等级或低于该等级的系统日志消息。例如,如果level为3,则系统日志显示0,1,2和3级消息。可取的数字和字符串值为:
l 0――emergencies――系统不可用消息。
l 1――alerts――立即采取行动。
l 2――critical――关键状态。
l 3――errors――出错消息。
l 4――warrings――警告消息。
l 5――notifications――正常但有特殊意义的状态。
l 6――informational――信息消息。
l 7――debugging――调试消息和FTP命令及WWW URL记录。
2、日志服务器,推荐使用linux自带的syslog。 我用的是radhat 7.2
需要修改如下几个文件:
a、新建/var/log/目录,其实这个目录随便在哪都行,需要一块大点的地方。
b、修改:/etc/syslog.conf
增加:
# PIX Firewall syslog messages
local4.level /var/log/pixlog
#pixlog是一个文件名,不是目录名
#注意:local4.level 写的时候,应该改成local4.debug,这是保存日志的级别
#local4是设备号,一般的syslog server可以支持8个网络设备发送日志,也就是说,其他的路由器、交换机也可以做日志到该服务器。只要保证local号不同就可以分开保存了。
c、修改:/etc/sysconfig/syslog文件,
SYSLOGD_OPTIONS="-rx -m 0"
d、增加:/etc/logrotate.conf
# system-specific logs may be also be configured here.
#/var/log/pixlog要和上面的一样。
/var/log/pixlog{
daily
#表示每天一次,可以用weekly等,具体的请看:man logrotate
create
rotate 10
#表示10天一循环
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2 /dev/null` 2 /dev/null ||
true
endscript
}