F5设备的日志管理.doc

密级： 文档编号： 第 版 分册名称： 第 册/共 册 F5设备的日志管理 SINOGRIDF5 NETWORKS 北京信诺瑞得信息技术有限公司 邸加欣 总页数 3 正文 2 附录 生效日期： 编制： 审核： 批准： F5设备的日志管理 一 系统日志的配置 系统日志的配置可以定义需要纪录的消息的种类和日志文件保存的位置。系统可以捕获多种类型的消息，可以按照消息产生的方式和严重程度两种方法对消息进行分类。对任意一种类型的消息，系统有三种处理方法：保存到日志文件中，转发或者忽略，这些选择都可以通过修改配置文件 /?etc/syslog.conf 来实现。 按照消息产生的应用方式可以分为以下几类： auth、authpriv、cron、daemon、ftp、kern、lpr、mail、news、ntp、syslog、user、uucp和local0到local7 按照消息的严重程度可以分为以下几种：（按有重到轻排列） emerg、alert、crit、err、warning、notice、infor、和debug BIG-IP和3-DNS通常使用local0到local4： Local0：BIG-IP系统事件，比如定义或修改Virtual Server，Pool，或者NATs。 Local1：BIG-IP系统事件，比如服务器的健康状况。 Local2：3-DNS系统事件，比如服务器、Virtual Server的可用性。 Local3：与SSL代理相关的事件。 Local4：与iControl API相关的事件。 系统配置的一个例子： 以下的例子都出自文件/etc/syslog.conf 将local2的警告事件保存到文件/var/log/3dns中 local2.warning /var/log/3dns 将所有local1的事件保存到/var/log/bigd中 local1.* /var/log/bigd 将所有local0的事件转交给SNMP的进程处理 local0.* | exec /usr/local/sbin/checktrap.pl 将所有local1的敬告事件通过mail发送 local1.warning | exec log2mail root 将所有local2的事件发送到远程主机 local2.* @remote IP or host name /etc/syslog.conf文件修改之后，可以通过重启设备或通过下面的命令重启进程： kill –HUP `cat /var/run/syslog.pid` 二 日志文件 缺省状态下，系统会纪录大量的日志信息，除了当天系统正在维护的日志文件之外，系统还会保存前8天以内的日志文件。为了节省设备资源，系统将其压缩成.gz文件，例如：昨天的日志文件会以’.0.gz’结尾，前天的日志文件会以’.1.gz’结尾。日志文件的位置和主要内容见下表： 系统日志文件 文件名 /var/log/message 压缩文件 /var/log/message.0.gz through /var/log/message.7.gz 主要内容 包含所有的daemon.*和kernal.*事件，例如系统启动和登陆消息 BIG-IP日志文件 文件名 /var/log/bigip 压缩文件 /var/log/bigip.0.gz through /var/log/bigip.7.gz 主要内容 包含所有的local0.*的事件，例如定义或修改一个Virtual Server或Pool 健康检查日志文件 文件名 /var/log/bigd 压缩文件 /var/log/bigd.0.gz through /var/log/bigd.0.gz 主要内容 包含所有的local1.*的事件，主要取决于Node and Services的状态。 3DNS日志文件 文件名 /var/log/3dns 压缩文件 /var/log/3dns.0.gz through /var/log/3dns7.gz 主要内容 包含所有的local2的警告事件，主要集中在3DNS和3DNS与BIGIP之间的通信上。 iProxyD日志文件 文件名 /var/log/proxyd.log 压缩文件 /var/log/proxyd.0.gz through /var/log/pr