目录
目录 (1)
syslog 配置 (2)
第一章类UNIX系统syslog配置 (2)
一、syslog.conf文件配置说明 (2)
二、Syslog 服务启停： (3)
三、测试产生日志 (4)
第二章Windows 平台syslog配置 (4)
一、安装配置 (4)
二、参数说明： (4)
第三章网络设备syslog配置 (4)
一、配置步骤 (4)
二、检验结果 (5)
syslog 配置
第一章类UNIX系统syslog配置
一、syslog.conf文件配置说明
/etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。

而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头，可以是：
kern 由kernel产生的信息；
user 由用户进程产生的信息。

对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”;
mail 邮件系统产生的信息；
daemon 系统守护进程的信息，如in.ftpd、telnetd；
auth 由login, su, gett y等进行身份认证时产生的信息；
s yslog 由s yslogd自己内部产生的信息；
lpr 行打印spooling系统的信息；
news USENET 网络新闻系统的信息；
uucp UUCP系统信息；
cron cron和at工具信息；
local0-7 保留为local使用；
mark syslogd内部产生的时间戳信息；
* 除mark之外的所有其它类型（此符号不可用以代表所有级别）。

保留字段中的“级别”代表信息的重要性，可以是：
emerg 紧急，处于Panic状态。

通常应广播到所有用户；
alert 告警，当前状态必须立即进行纠正。

例如，系统数据库崩溃；
crit 关键状态的警告。

例如，硬件故障；
err 其它错误；
warning 警告；
notice 注意；非错误状态的报告，但应特别处理；
info 通报信息；
debug 调试程序时的信息；
none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。

如*.debug;mail.none表示调试时除邮件信息外其它信息都送出。

“动作”域指示信息发送的目的地。

可以是：
/filename 日志文件。

由绝对路径指出的文件名，此文件必须事先建立；
@host 远程主机；
user1, user2 指定用户。

如果指定用户已登录，那么他们将收到信息；
* 所有用户。

所有已登录的用户都将收到信息。

配置重点：
在Mocha BSM 被监控端的syslog 配置时，可以直接将需要监控的信息直接发送到Mocha BSM S yslog Server：
daemon.notice @S yslog Server的IP
例如：daemon.notice @192.168.40.10
前面daemon.notice的日志源类型和日志级别可根据实际需要来设置。

二、Syslog 服务启停：
s yslogd进程在系统启动时由/etc/rc2.d/S74syslog启动。

如果需要手工启动或停止syslogd，可以使用命令：
（Solaris /Linux平台）
启动# /etc/init.d/syslog start
停止# /etc/init.d/syslog stop
(HP-UX 平台)
启动# /sbin/init.d/syslog start
停止# /sbin/init.d/syslog stop
（AIX 平台）
启动#startsrc -s syslogd
停止#stopsrc -s syslogd
三、测试产生日志
logger -p日志类型.日志级别string
例如：logger –p auth.err testtesttest
第二章Windows 平台syslog配置
一、安装配置
1、下载软件evtsys
地址：
/pa ges/viewpa ge.action?pa geId=465
2、将下载的软件包解压到Windows\s ystem32
目录下。

3、安装：打开cmd 窗口。

输入命令：evtsys –i –h [syslog 服务器ip]
net start evtsys
4、卸载：打开cmd 窗口
输入命令：net stop evts ys
evtsys –u
二、参数说明：
evtsys –i -h -u // -i 表示安装–h 表示主机–u 卸载
第三章网络设备syslog配置
一、配置步骤
1．cisco#conf t ///进入配置模式
2. cisco(config)#logging on
3. cisco(config)#logging a.b.c.d //日志服务器的IP地址
4. cisco(config)#logging facility local1
//facility标识, RFC3164 规定的本地设备标识为local0 - local7
5. cisco(config)#logging trap errors //日志记录级别，可用"?"查看详细内容
6. cisco(config)#logging source-interface fa0/0 //日志发出用的源IP地址
7. cisco(config)#service timestamps log datetime localtime
//日志记录的时间戳设置，可根据需要具体配置
二、检验结果
cisco #show logging。