搭建集中管理日志服务器技术及应用_王春璞

2011年11月（上）

［摘要］本文论述了搭建集中管理日志服务器的技术及配置，并分析了在H3C 交换机上的应用。

［关键词］日志服务器；交换机；安全搭建集中管理日志服务器技术及应用

王春璞

卢宁

（河北省电力研究院，河北石家庄

050021）

随着信息网络的互联，无论对企业还是个人都提供了更多更快的信息和造就了更大的商机，同时也为黑客大开方便之门，提供了大量的入侵机会。黑客攻击变得相当容易，而且通过互联网可以轻而易举的窃取信息、篡改数据和非法攻击，对网络使用者及社会造成的危害和损失日益增加。

同时伴随企业信息化的不断发展和壮大，企业原有的网络变得日益庞大而复杂，面对很多7×24的实时运行的网络设备、主机系统以及各种业务应用系统，对如何通过集中式管理来提高企业网络管理的透明性和安全性提出了挑战。

综合上述两个原因，利用日志服务器记录设备运行信息，强化日志安全审计功能，分析日志信息的特点，抵御黑客攻击，提升IT 部门的服务质量，成为网络管理中很重要的工作。根据实际工作经验，介绍一种集中管理日志服务器架设的技术及相关应用，为设备的统一管理提供详细的日志数据。

1集中管理日志服务器的搭建

集中管理日志服务器可利用Syslog 标准协议实现日志信息的接收。Syslog 是一种工业标准协议，用来记录设备的行为日志。Syslog 允许一个设备通过IP 地址，把事件信息传递给该信息的接收者，同时也允许设备（如：路由器、交换机、防火墙、服务器等）向日志服务器发送事件信息。因此，使用Syslog 协议接收和发送日志信息是搭建集中管理日志服务器简单而有效手段。

集中管理日志服务器是一套软硬件结合的系统。为了确保日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，具有足够的存储空间即可。在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。同时，日志服务器还需要软件系统来完成日志的传输和管理。在Windows2003下使用3CSyslog 软件作为日志主机软件。日志主机软件按照约定的传输类型收集从设备发送过来的日志信息，集中进行管理。同时通过Windows 任务计划和批处理脚本实现日志信息每日自动备份。

在Windows2003Server 服务器中，安装3CSyslog 日志软件，采用默认安装。安装完成后打开3CSyslog 程序，点击“Configure ”按钮对3CSyslog 软件进行配置。

1）在日志软件的“SecuritySettings ”页面中，配置需要将日志信息收集到日志服务器的设备。可选择将所有设备的日志信息收集到日志服务器或根据工作实际设置具体的发送日志信息的设备。如图1

。

图１“ＳｅｃｕｒｉｔｙＳｅｔｔｉｎｇｓ”配置页面

2）在日志软件的“LogFileDestinations ”页面中，配置日志信息的存放目录及日志信息的命名规则。可根据日志信息的优先级或严重等级进行命名，方便日志信息的浏览分析。如图2

。

图２“ＬｏｇＦｉｌｅＤｅｓｔｉｎａｔｉｏｎｓ”配置页面

3）日志信息自动备份设置。在日志服务器上，利用任务计划和批处理脚本设置日志信息每日自动备份并存放在以当日日期命名的文件夹中，方便日志信息的查找和保存。

批处理脚本如下：@echooff

path=%path%;C :\Program Files\3Com Corp\3CSyslog taskkill/f /im 3CSyslog.EXE set dd=%date:~8,2%set mm=%date:~5,2%set yy=%date:~0,4%

set folder="%yy%.%mm%.%dd%"mde:\SYSLOG\%folder%

xcopyd:\sysloge:\SYSLOG\%folder%/A del/Qd:\syslog start 3CSyslog.EXE 。

在日志服务器中设置任务计划，利用该批处理脚本可实现每日自动备份。

2在H3C 交换机上的应用2.1交换机日志文件系统介绍

日志是设备对于每天发生的事件的文件记录。交换机每天都在产生大量的日志，这些日志记录了设备的运行情况、用户对设备的访问操作和通过设备流转的数据的简要信息。日志文件默认分布于交换机自身的日志缓存或者日志文件中，信息比较庞杂，一个个设备查看日志有很大的盲目性，工作量也不是日常维护管理可以承担的，这就导致了日志文件仅仅存在一段时间后被新的日志所覆盖，没有得到有效的利用。要利用日志信息，就要对日志进行有效的管理，建立日志服务器能够胜任这一工作。集中管理日志服务器利用日志服务器软件，采集网络交换机日志信息，建立完整的日志系统，实现日志信息的集中存储和统一管理。

2.2H3C 交换机日志配置

H3C 交换机使用信息中心系统实现日志信息的管理、输出和筛选

130

TECHNOLOGY WIND

［参考文献］

［１］陈务超主编．湖北省水利科学研究所．底栏栅坝的应用［Ｍ］．１９８２．［２］周素真，钱尧华，梁振声主编．武汉水利电力学院．底栏栅式取水枢纽试验研究［Ｍ］，１９８２．［３］中华人民共和国水利部．溢洪道设计规范（ＳＬ２５３－２０００）．中国水利水电出版社，２０００．

（上接第121页）

q 1=

Q 1l ，q 2=Q

2l =Q-Q 1l

；其中：q 1、q 2———栏栅上下游边缘上的单宽流量，m 3

/s ·m ；Q 1、Q 2———栏栅上下游流量，m 3

/s ·m 。计算结果见表3。

表３

各支流钢栏栅计算成果

5结语

“底栏栅取水”（bottom-gratingintake ）方式在设计引用流量较小的工程中广泛采用。引用流量一般为0.2~30.0m 3/s 。取水廊道断面一般采用矩形，宽度为1.5~2.0m 。如果计算结果需要更大的宽度时，可

以考虑两条或多条并行廊道。廊道净空高度应高出廊道内水面线0.30米以上。为改善廊道上游侧的进水条件，设计时可将廊道上游墙顶修成全角，角度可采用60°~75°。钢栏栅取水面积设计时应该考虑栅孔局部被砾石、树枝、杂草等堵塞的影响，实际取值应该大于计算值20%~30%。

本文结合老挝HOUAYLAMPHANGNAI （会兰庞雅）水电站工程的实际情况，介绍了该电站入库引流系统5条支流的“底栏栅取水”（bottom-gratingintake ）方式，可供类似工程参考。

作者简介：冯娟玲，1981年生，女，陕西人，中级工程师，学士，主要从事水工水电设计工作；苏宏敏，1979年生，男，广西人，中级工程师，学士，主要从事水工水电施工与设计工作。

等功能。信息中心系统是H3C 交换机中不可或缺的一部分，它是系统软件模块的信息枢纽。信息中心管理大多数的信息输出，通过进行细致的分类，有效地进行信息筛选。信息中心为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。

1）开启信息中心system-view [H3C ]info-centerenable

2）向日志主机输出信息。将IP 地址为192.168.1.1的主机用作日志主机，只允许严重等级高于errors 的日志信息输出至日志主机，输出语言为英文，允许输出信息的模块为所有模块。

[H3C ]info-center loghost 192.168.1.1facility local4language English

3

）H3C 交换机能够按日志严重等级进行信息过滤，采用的规则是：禁止严重等级数值大于所设置阈值的信息输出。H3C 交换机的信息分为三类：日志信息、调试信息和告警信息。按信息的严重程度或紧急程度，交换机把信息划分为八个等级。严重性越高的信息，其严重等级数值越小，emergencies 表示的等级为1，debugging 为8。严重等级的定义和说明如下表所示

。

4）同时H3C 交换机能够按照日志信息的来源模块进行信息过滤。如只允许来源为arp 模块且严重程度高于informational 的日志信息输

出至日志服务器，配置如下。

[H3C ]info-centersourcearpchannelloghost levelinformational debugstateoff trapstateoff 。

3总结分析

在充分利用3CSyslog 日志软件功能的基础上，分析和设计出一种集中管理日志服务器架设方案，并且实际应用中收到了良好的效果。为保证搭建的集中管理日志服务器安全、可靠运行，应注意以下问题：

1）为保证日志服务器本身安全，最好使用一个单独的登录服务器用于syslog 服务，关闭服务器多余的服务。

2）应充分利用内部的安全设备（如IDS 、防火墙等）对接收信息的日志服务器进行安全防护。

3）由于产生的日志文件会很大，应该对日志文件做轮换，并拥有足够大的磁盘空间来保证接收到的日志文件的安全存储。

4）可利用加密或认证的方式来保证日志信息的可靠性，从而实现日志服务器的安全性。

作者简介：王春璞，1979年生，男，籍贯河北省石家庄市，工程师，现任河北省电力研究院电力信息专业工程师岗位，主要从事信息网络管理与运行维护工作。

［参考文献］

［１］温炜，郭玲．Ｓｙｓｌｏｇ在企业网络管理中的应用．宁夏电力．２００９．

［２］胡雅娟，韩臻，刘吉强．构建安全日志服务器的密钥管理系统．２００４．［３］刘东远，程东．日志服务器的研究和应用．中国信息科技［Ｊ］，２０１０．［４］（美）里德（Ｒｅｉｄ，Ａ．），（美）洛伦茨（Ｌｏｒｅｎｚ，Ｊ．）等著，思科网络技术学院教程ＣＣ－ＮＡＤｉｓｃｏｖｅｒｙ：企业中的路由和交换简介，２００９．［５］ＫｉｗｉＥｎｔｅｒｐｒｉｓｅｓ．ＫｉｗｉＳｙｓｌｏｇＤａｅｍｏｎ［ＥＢ／ＯＵ］．ｈｔｔｐ：／／ｗｗｗ．ｋｉｗｉｓｙｓｌｏｇ．Ｃｏｍ／ｉｎｆｏ＿ｓｙｓｌｏｇ．ｈｔｍ．２００５．

应用科技

131