F5设备的日志管理

密级：

文档编号：第版

分册名称：第册/共册

F5设备的日志管理SINOGRID&F5 NETWORKS

北京信诺瑞得信息技术有限公司邸加欣

F5设备的日志管理

一系统日志的配置

系统日志的配置可以定义需要纪录的消息的种类和日志文件保存的位置。系统可以捕获多种类型的消息，可以按照消息产生的方式和严重程度两种方法对消息进行分类。对任意一种类型的消息，系统有三种处理方法：保存到日志文件中，转发或者忽略，这些选择都可以通过修改配置文件/ etc/syslog.conf来实现。

按照消息产生的应用方式可以分为以下几类：

auth、authpriv、cron、daemon、ftp、kern、lpr、mail、news、ntp、syslog、user、uucp和local0到local7

按照消息的严重程度可以分为以下几种：（按有重到轻排列）

emerg、alert、crit、err、warning、notice、infor、和debug

BIG-IP和3-DNS通常使用local0到local4：

Local0：BIG-IP系统事件，比如定义或修改Virtual Server，Pool，或者NATs。

Local1：BIG-IP系统事件，比如服务器的健康状况。

Local2：3-DNS系统事件，比如服务器、Virtual Server的可用性。

Local3：与SSL代理相关的事件。

Local4：与iControl API相关的事件。

系统配置的一个例子：

以下的例子都出自文件/etc/syslog.conf

1．将local2的警告事件保存到文件/var/log/3dns中

local2.warning /var/log/3dns

2．将所有local1的事件保存到/var/log/bigd中

local1.*/var/log/bigd

3．将所有local0的事件转交给SNMP的进程处理

local0.* | exec /usr/local/sbin/checktrap.pl

4．将所有local1的敬告事件通过mail发送

local1.warning | exec log2mail root

5．将所有local2的事件发送到远程主机

local2.* @

/etc/syslog.con f文件修改之后，可以通过重启设备或通过下面的命令重启进程：

kill –HUP `cat /var/run/syslog.pid`

二日志文件

缺省状态下，系统会纪录大量的日志信息，除了当天系统正在维护的日志文件之外，系统还会保存前8天以内的日志文件。为了节省设备资源，系统将其压缩成.gz文件，例如：昨天的日志文件会以’.0.gz’结尾，前天的日志文件会以’.1.gz’结尾。日志文件的位置和主要内容见下表：

查看日志文件

查看普通文本文件是可以使用命令行或者管理界面，查看压缩文件时就必须使用命令行。

通过F5的Web配置界面查看日志文件

通过F5的配置界面可以方便的查看日志。在BIGIP系统上面，可以查看系统日志、BIGIP日志、健康检查日志；3DNS系统上面可以查看系统日志、3DNS日志。

通过命令行查看当前日志文件

在命令行下面有很多命令可以查看日志文件，例如cat、grep、more、tail等。

通过命令行查看压缩的日志文件

可以使用命令：gzcat 来查看压缩的日志文件，例如：

gzcat messages.0.gz | more