一、名词解释
Syslog常被称为系统日志或系统记录,是一种用来在互联网协议(TCP/IP)的网上中传递记录档消息的标准。这个词汇常用来指涉实际的syslog 协议,或者那些提交syslog消息的应用程序或数据库。
二、功能介绍
通过syslog方式将信息存储到日志服务器,长期保留您的日志信息、包含NAT日志、行为管理日志、URL访问日志等日志内容。
记录访问日志并支持更多的内网终端,同步实现长时间保留的筛选和分析。
三、收费标准及支持版本
1.官方硬件免费开通。
2.免费版120元/路由器/年。2年95折,3年9折。
3.6.4版本及以上支持Syslog,如路由版本低于3.6.4则授权状态展示为:路由版本低。
官方硬件默认开通服务,无需付费,用户可点击【开启】按钮开启服务,非官方硬件可点击开通进行付费,首次付费成功后默认开启服务。
开启服务后,可单选或批量进行配置,服务器IP、协议类型、端口号不允许为空,配置完成后,将自动下发,请确保设备在线。
授权到期后,服务将自动关闭,请确保授权时间充足。
四、如何使用syslog服务及配置说明
服务端配置示例:
案例1:爱快syslog对接群辉
案例2:爱快syslog对接Visual Syslog server
案例3:爱快syslog对接Syslog Watcher Manager
本教程以爱快客户提供的群辉日志中心为例,同时开启syslog服务器功能:
群辉中国区官网地址:https://www.synology.cn/zh-cn
客户如需使用群辉日志中心套件作为syslog服务器,请联系群辉官方购买。
1、进入群辉系统,依次打开套件中心—搜索日志中心并安装,
2、安装完毕后,启动日志中心服务,进行相关配置,如下图所示:
爱快云端配置示例:
1、我们登录爱快云,依次打开配置管理—syslog服务,选择设备并开启Syslog服务。
2、配置服务器IP、协议类型、端口、勾选发送日志。
3、最后确认服务状态为已开启
查看输出的日志:
1、我们回到日志中心查看日志,打开群辉服务器的 “日志中心”。
2、即可看到前50条TOP日志信息,如下图所示:
打开日志中心,新增接收日志,传输协议和端口与爱快云设置一致,设置完成点击确定后应用此配置。
设置完成后在“概述”中可查看到接收到的日志信息。
案例2:爱快syslog对接Visual Syslog server
1.下载开源日志服务器Visual Syslog server(https://github.com/MaxBelkov/visualsyslog)
2.进入setup设置监听协议和监听端口,ip为本机ip
3. 进入file选项卡设置日志文件,如图保存的文件每达到10MB,日志文件将syslog_{yyyy-mm-dd-hh-nn}命名,Number of files为日志文件最大数量
4. 进入爱快云开启syslog,ip为运行Visual Syslog server的终端ip,选择发送日志类型
5. 观察到正常接收日志但出现乱码,进入setup启用utf-8编码解决
6. 软件GUI部分功能如下
案例3:爱快syslog对接Syslog Watcher Manager
Syslog Watcher Manager服务器下载链接:https://ezfive.com/syslog-watcher
打开链接后选择“Download syslog watcher 6.5.4(MISI installer)”进行下载安装。
安装完成后打开服务器,选择“Configure”进入设置页面。
Local IPv4/IPv6 address:设置服务器IP地址,即安装此服务器本机地址。
syslog Port:设置服务器端口,此处端口号要与爱快云上填写端口号一致。
爱快云syslog服务配置:
服务器IP:填写syslog服务器IP地址。
协议类型:选择所使用协议。
端口:与syslog服务器端口填写一致。
分隔符类型:选择分隔符类型。
发送日志:选择哪些日志可以在日志服务器查看。
start server:开启日志记录。
view:Latest:查看输出日志信息。
Export:导出日志信息,可选择导出不同时间段的日志信息。
导出日志到桌面后,打开文件可查看日志详细信息。
五、常见问题
1、关于syslog各种标准格式:
syslog协议标准
目前业界存在常见两种syslog日志协议,一个是2009年起草协议RFC524,另外一个是2001年的RFC3164协议,在这里爱快使用RFC5424协议包含以下字段信息
各个事件内容日志字段含义如下:
(1)网页浏览记录
事件名称:url
事件内容:
|
字段名 |
字段含义 |
|
IP |
IP地址 |
| MAC | MAC地址 |
| URL | 访问的网页的地址 |
(2)im记录
事件名称:im
事件内容:
|
字段名 |
字段含义 |
|
Type |
类型 |
|
Account |
账号 |
|
Imopt |
操作 |
|
Ip |
Ip |
|
Mac |
Mac |
|
Eventv |
备注 |
(3)NAT记录
事件名称:nat
事件内容:
|
字段名 |
字段含义 |
|
SrcIp |
源ip |
|
SrcPort |
源端口 |
|
DestIp |
目的ip |
|
DestPort |
目的端口 |
|
Protocol |
协议 |
(4)无线终端日志
事件名称:iktimerd_ac
事件内容:
|
字段名 |
字段含义 |
|
MAC |
终端MAC |
|
MacRemark |
终端MAC备注 |
|
ApMAC |
APmac |
|
ApRemark |
APmac备注 |
|
Bssid |
Bssid |
|
Ssid |
Ssid |
|
SigStrength |
信号强度 |
|
Event |
事件类型 |
|
Operate |
操作行为 |
(5)认证日志
事件名称:pppauth
事件内容:
|
字段名 |
字段含义 |
|
AuthIp |
认证ip |
|
UserName |
用户名 |
|
AuthType |
认证类型 |
|
Mac |
ip/mac |
|
Result |
事件 |
|
Interface |
接口 |
|
Event |
日志详情/备注 |
(6)终端上下线日志
事件名称:offline
事件内容:
|
字段名 |
字段含义 |
|
Onlinetime |
上线时间 |
|
Ip |
IP |
|
Mac |
Mac |
|
Ontime |
在线时长 |
|
Total_up |
累计上传 |
|
Total_down |
累计下载 |
|
Systype |
系统类型 |
|
Devtype |
终端类型 |
|
Event |
备注 |
(7)DHCP
事件名称:ik_dhcpd
事件内容:
|
字段名 |
字段含义 |
|
MsgType |
消息类型 |
|
Interface |
接口 |
|
IpAddr |
Ip |
|
Mac |
Mac |
|
Event |
备注 |
(8)ARP
事件名称:arp
事件内容:
|
字段名 |
字段含义 |
|
Event |
备注 |
(9)外网拨号日志
事件名称:pppd
事件内容:
|
字段名 |
字段含义 |
|
Interface |
线路 |
|
Event |
备注 |
(10) 动态域名日志
事件名称:ddns
事件内容:
|
字段名 |
字段含义 |
|
Ip |
Ip |
|
Domain |
域名 |
|
Interface |
解析网卡 |
|
Result |
更新结果 |
|
Event |
日志详情 |
(11)操作日志
事件名称:webadmin
事件内容:
|
字段名 |
字段含义 |
|
UserName |
用户名 |
|
IpAddr |
IP |
|
Function |
功能 |
|
Event |
事件 |
(12)系统日志
事件名称:sys_event
事件内容:
|
字段名 |
字段含义 |
|
Event |
事件 |
完!
