【eNet硅谷动力专稿】系统日志是企业CIO的很好的帮手。充分利用系统日志功能,可以大大的降低CIO的工作量。当然,笔者这里指的系统日志不是操作系统的系统日志。这个太过于基础,往往不需要企业的CIO去关注。
笔者这里讲的系统日志,是指一些高端设备的系统日志,如企业防火墙、路由器等等。笔者现在就以Cisco的防火墙为例,谈谈如何做好日志管理,让其成为CIO日常工作的好帮手。
另外一些CIO也会为低下员工的知情不报所烦恼。如笔者手下的网络管理员,只有到网络遇到重大问题,如防火墙瘫痪的时候,才会向我汇报这个事故。这让笔者措手不及。所以,CIO虽然不会到那边去调试配置网络设备,但是,仍然必须要对网络设备的运行信息有所了解。当发生错误时,CIO能够预先知道征兆。这也是CIO评估自己部门员工的一个重要标准。
一、让日志发送到CIO的手边
若让CIO不定时的到相关设备上去查看日志信息,这显然不是很现实的。而且,CIO若不能够及时的知道防火墙的运行状况,我们就不能够及时的采取措施。如别人试图利用VPN服务器非法访问企业内部的网络。这些都会在防火墙日志上留下痕迹。CIO若不能够从防火墙日志上得知这些信息的话,则就不能够采取相关的措施,来预防下次的攻击。
故日志管理的第一步,就是希望日志能够发送到CIO指定的地方。如此的话,CIO就不需要跑到每个设备那里去查看日志信息。可以在一个统一的平台上查看数十台设备的日志信息。
对于Cisco防火墙来说,可以把日志信息发送到指定的五个管理平台中。一是PDM日志,这是防火墙自带的系一个日志平台。二是控制台。一般情况下我们管理配置防火墙的时候,不会跑到机房中去,而是利用专用电缆把一台主机当作控制台来管理防火墙。所以,也可以配置防火墙日志,让其把日志信息同步传送到控制台中。三是Telnet控制台。大部分时候,我们都喜欢通过Telnet来远程管理网络设备。此时,CIO也可以让防火墙把系统日志传送到Telent平台上来。四是日志服务器。若企业网络比较复杂的话,可以在企业内部网络中专门设置一个日志服务器,用来收集各个设备的日志信息。五是SNMP管理工作站。其实,这是日志服务器的一个简化工作站。
笔者现在采用的是第五种方式,即让防火墙把相关的日志信息传送到笔者所指定的一个SNMP管理工作站。如此设置,笔者在没有连接到相关设备上,就可以及时的了解网络设备的运行状态。毕竟像PDM日志、控制台、Telnet缓冲区等等都需要连接到设备上才能够获得日志信息。而若采用日志服务器的话,则还要有一定的硬件投资。故笔者认为,采用SNMP工作站的方式,是一种价廉物美的选择。他可以满足大部分CIO日常工作的需要。
在Cisco防火墙中,可以利用Logging On命令,让系统日志消息传送到CIO所指定的位置。也可以用No Logging On命令,让防火墙不发送系统日志信息。另外,在防火墙调试的时候,我们希望日志信息能够显示在控制台上。此时,就可以利用Logging Console命令。二、CIO只需要知道自己想知道的信息
一般来说,系统日志会记录很多内容。其中包括一些正常的信息。如有哪个用户访问了哪个网站等等。但是,作为CIO来说,其实并不需要关注所有的信息。所以,我们也希望,各个网络设备能够对日志信息进行过滤,只发送一些关系到系统正常运行的日志信息。而不是“大事不汇报,小事天天报”。为此,我们可以通过系统日志的级别来进行控制。
当日志信息被发送到指定的管理平台时,指示服务器通过什么管道发送信息时非常重要的。在网络设备中,通常有一个日志组件,他就是决定服务器将其接收到的日志信息发送到何处去,也就是说写到哪个文件中去的管道。
不过,笔者在实际工作中,则希望采用日志级别来对是否需要发送日志进行控制。不同的严重性级别被附加于日志信息上。当级别达到某个程度的时候,网络设备就需要把这个日志信息发送到笔者制定的SNMP管理平台上。
默认情况下,Cisco防火墙其日志级别分为8类。如第六类是Informational。这个级别的日志信息主要记录着防火墙的日常工作信息。如用户平时访问了哪些网站,当前正常的连接有多少等等。这些信息的话,对于CIO来说,往往没有多大的实际价值。笔者现在所关心的是一些三类级别以下的日志信息。在Csico防火墙中,第三个级别表示错误信息,第二个级别表示危机状态,第一个级别表示立即采取行动,第零个级别表示系统不能使用。这些日志信息,才是我们CIO需要关注的内容。其他一些简单的信息,就让企业网络管理员去操心吧。
以上是系统日志的默认级别。在有需要的情况下,我们还可以改变这个级别,以符合我们信息收集的需要。如在Cisco防火墙6.3以上的版本中,就可以修改某个特定的日志信息发布时的级别,以及禁用特定的日志信息等等。如用户访问QQ等娱乐性网站,其安全级别可能没有达到错误信息的级别,一般是不会发送到我们指定的平台。但是,我们可以利用Logging命令,让这些特定的日志信息也发送到特定的平台上。故,在一些版本比较高的网络设备上,CIO还可以利用命令指定一些自己感兴趣的日志信息 。
三、了解各个日志的结构
网络设备毕竟不是人脑,对日志的描述不是很生动。为了让网络设备自己收集运行状态信息,往往会给其设置固定的格式。CIO要想知道这些信息所表示的含义,往往需要先去了解日志的格式。一般来说,同一个品牌的产品,虽然其产品类型不同,但是,其格式往往是固定的。
如Cisco公司其提供的日志格式如下:
%PIX –leve –message-number: message-tesx.
一般情况下,日志信息都有其固定的开头符号。在Cisco的产品中,一般都是以%开头。参数PIX表示防火墙产生消息的功能代码,即这条日志消息对应的是防火墙中的哪个功能,如是访问控制列表发出的,还是VPN服务器发出的。参数-level表示日志消息级别的严重性,这个数字越小说明日志所反映的信息越严重。参数-Message-Number表示这个信息所对应的唯一数字标号。一般我们在遇到难以解决的问题时,可以利用这个数字编号去网络上寻求帮助。而参数Message-Text,则是对情况的一般性描述。有时候,这个描述中,会显示IP地址、端口以及用户名等有用信息。
笔者把一些网络设备日志的固定格式做成了小卡片。当有需要的时候,可以及时拿过来看。不过当你看多了,就自然而然会熟悉这个格式。这在刚开始接触一个牌子的设备的时候,非常有用。
可见,让网络设备自动报警,把日志信息传送到CIO的手边,也不是什么难事。这不仅可以节省CIO的工作时间,而且可以防止下面的员工知情不报。这一举多得的事情,相信很多企业CIO会乐此不彼。若大家有这方面的需要,可以根据这篇文章的内容,配置自己喜欢的日志管理模式。日志管理其实很简单,确定日志的显示位置、选择自己需要查看的日志信息、系统日志的显示格式。做好这三项工作,日志管理的难题也就迎刃而解了。