日志管理的運維技巧

查看設(shè)備日志

在現(xiàn)場查看設(shè)備日志的方法，一般都比較簡單。例如，對于H3C品牌的交換機設(shè)備來說，可以先進入交換機后臺系統(tǒng)，通過“dis logbuff”命令，就能快速查看到交換機的詳細日志信息。而對于部署在Windows系統(tǒng)下的服務(wù)器設(shè)備來說，可以在視窗界面下，根據(jù)相關(guān)菜單命令，有針對性地進行日志查看操作。

以Windows Server 2003服務(wù)器系統(tǒng)為例，在查看系統(tǒng)相關(guān)日志內(nèi)容時，只要依次單擊“開始”、“設(shè)置”、“控制面板”命令，展開系統(tǒng)控制面板窗口，雙擊“管理工具”圖標，進入系統(tǒng)管理工具列表窗口。

點選“事件查看器”選項，并用鼠標雙擊之，打開如圖1所示的事件查看器界面。在該界面左側(cè)顯示窗格，管理員能夠看到服務(wù)器系統(tǒng)中包含的各種日志文件類型，比方說系統(tǒng)日志文件、安全日志文件、應(yīng)用程序日志文件等。用鼠標雙擊其中的某個記錄選項，可以在對應(yīng)事件的屬性設(shè)置對話框中，直觀地查看到目標記錄的詳細內(nèi)容，這樣管理員就能大概判斷出服務(wù)器系統(tǒng)究竟發(fā)生了什么事情。

圖1 事件查看器窗口

圖2 Internet信息服務(wù)（IIS）窗口

除了現(xiàn)場查看，管理員還能通過合理的配置，實現(xiàn)設(shè)備日志的遠程查看操作。例如，要遠程查看Windows Server 2003服務(wù)器主機的日志信息時，可以先用管理員權(quán)限登錄服務(wù)器主機，逐一點選“開始”、“設(shè)置”、“控制面板”選項，再依次雙擊其后界面中的“添加或刪除程序”、“添加/刪除Windows組件”等功能選項，勾選“應(yīng)用程序服務(wù)器”，按下“詳細信息”按鈕。

接著勾選“Internet信息服務(wù)（IIS）”選項，點擊“詳細信息”按鈕，選中“萬維網(wǎng)服務(wù)”選項（如圖2所示），點擊“詳細信息”按鈕，選中“遠程管理（html）”選項，單擊“確定”按鈕退出服務(wù)器遠程管理組件安裝向?qū)υ捒颉?/p>

之后，網(wǎng)絡(luò)管理員就能在單位網(wǎng)絡(luò)的任何角落，通過Web訪問方式，遠程查看服務(wù)器主機的系統(tǒng)日志內(nèi)容了。只要在一臺能上網(wǎng)的終端系統(tǒng)中，打開IE瀏覽窗口，在地址欄中輸入“http://服務(wù)器 IP 地址 ：8098”，展開服務(wù)器系統(tǒng)登錄頁面，輸入合適權(quán)限的帳號名稱和密碼內(nèi)容，就可以進入服務(wù)器系統(tǒng)的遠程管理維護頁面。在這里，就能自由訪問服務(wù)器主機中的所有日志內(nèi)容，而不需要到服務(wù)器設(shè)備現(xiàn)場去查看日志了。

備份設(shè)備日志

一些技術(shù)高明的惡意用戶都知道網(wǎng)絡(luò)設(shè)備日志的缺省存放路徑，他們可能會通過外力工具，悄悄修改設(shè)備日志內(nèi)容，來將非法攻擊時遺留下來的“痕跡”抹除掉，那樣一來網(wǎng)管員就不能及時知道設(shè)備存在的安全隱患了。為此，及時備份網(wǎng)絡(luò)設(shè)備的日志內(nèi)容相當有必要。

對 于Windows Server服務(wù)器主機來說，它包含三種類型，它們分別為系統(tǒng)日志、應(yīng)用程序日志和安全日志。每種類型的日志都有各自對應(yīng)的日志文件，其中系統(tǒng)日志內(nèi)容保存在%systemroot%/system32/config/SysEvent.EVT文件中，應(yīng)用程序日志內(nèi)容保存在%systemroot%/system32/config/AppEvent.EVT文件中，安全日志內(nèi)容保存在%systemroot%/system32/config/SecEvent.EVT文件中。將每個日志文件拷貝到其他位置，就能達到備份設(shè)備日志的目的。

在復(fù)制日志文件時，只要先進入服務(wù)器系統(tǒng)的資源管理器窗口，進入到日志文件的原始目錄窗口，選中特定類型的日志文件，用鼠標右鍵單擊處于選中狀態(tài)的文件，從彈出的快捷菜單中執(zhí)行“復(fù)制”命令。

再打開新目錄窗口，并在該窗口的空白位置處單擊鼠標右鍵，并執(zhí)行快捷菜單中的“粘貼”命令，這樣一來服務(wù)器系統(tǒng)的特定日志文件就被備份到新目錄窗口中了。

對于交換機之類的網(wǎng)絡(luò)設(shè)備來說，正常情況下通過配置Syslog服務(wù)，就能實現(xiàn)設(shè)備日志的備份操作，這種備份方法能擁有較好的安全性，特別是涉及到網(wǎng)絡(luò)核心設(shè)備的時候。

不過因為配置操作十分復(fù)雜，要是不需要每天備份交換機之類的設(shè)備日志，在單位局域網(wǎng)內(nèi)的所有交換機等設(shè)備上，統(tǒng)一配置Syslog服務(wù)，會產(chǎn)生不小的工作量。

其實，管理員只要使用一款名為“AutoIt”的工具，通過生成模擬遠程登錄交換機的腳本程序，來實現(xiàn)交換機設(shè)備日志的高效備份操作。

例如，在備份Cisco U2960型號的交換機日志時，只要生成編譯一個aaa.exe的腳本程序，在該程序輸入代碼內(nèi)容：

上述代碼中的10.176.0.32表示待備份日志的交換機設(shè)備IP地址，10.176.0.12為部署在單位局域網(wǎng)中的ftp服務(wù)器IP地址，該服務(wù)器專門用來備份交換機設(shè)備日志內(nèi)容的，需要管理員事先配置好，其中的“sh log |directftp://10.176.0.12/log.txt”命令代碼表示將交換機日志信息輸出到指定ftp服務(wù)器的某個位置，備份文件為“l(fā)og.txt”。

日后，只要定期執(zhí)行aaa.exe的腳本程序，就能實現(xiàn)遠程登錄交換機，并自動對設(shè)備的日志進行備份的操作目的了。

圖3 IIS窗口

圖4 日志文件屬性對話窗口

轉(zhuǎn)移設(shè)備日志

為安全起見，建議大家將服務(wù)器設(shè)備的系統(tǒng)日志轉(zhuǎn)移到系統(tǒng)分區(qū)以外的位置。

例如，在轉(zhuǎn)移Windows服務(wù)器主機的系統(tǒng)日志存儲路徑時，只要逐一點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。

在編輯界面左側(cè)顯示窗格中，將鼠標定位于“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog” 注 冊表節(jié)點上，找到指定節(jié)點下的“System”、“Security”、“Application”等注冊表選項，分別對應(yīng)服務(wù)器系統(tǒng)的系統(tǒng)日志文件、安全日志文件以及應(yīng)用程序日志文件。

雙擊“System”選項下的“File”鍵值，在其后彈出的編輯對話框中，將新日志存儲路徑填到“數(shù)值數(shù)據(jù)”文本框中，單擊“確定”按鈕退出設(shè)置對話框，系統(tǒng)日志的存儲路徑就被修改成功了。

同樣地，再設(shè)置好安全日志、應(yīng)用程序日志的新存儲路徑，最后重啟計算機系統(tǒng)讓上述設(shè)置正式生效。

部署在Windows服務(wù)器主機中的Web服務(wù)器，其日志文件默認存儲于“%Windir%System32LogFiles”，要想將其存儲路徑指向其他位置時，可以逐一點擊“開始”、“控制面板”、“管理工具”命令，雙擊管理工具列表中的“Internet服務(wù)管理器”圖標，切換到如圖3所示的IIS窗口。

從該窗口左側(cè)顯示區(qū)域，將鼠標定位到“目標主機名稱”、“網(wǎng)站”節(jié)點上，找到目標節(jié)點下的特定站點名稱，打開該站點的右鍵菜單，點選“屬性”命令，彈出Web站點屬性設(shè)置框。

點選“網(wǎng)站”選項卡，在對應(yīng)選項設(shè)置頁面中，將“啟用日志記錄”勾選起來，在“活動日志格式”設(shè)置項處指定好日志文件的格式，缺省使用W3C日志文件格式，按下“屬性”按鈕，展開如圖4所示的日志文件屬性對話框。在這里，按需定義好日志文件的大小和新的存儲路徑即可。