嗨，收集日志很重要。在我的日常工作中，我处理很多系统的日志，比如WMware、Application、Linux、Windows、Cisco、checkpoint、pfSense。日志提供有关系统、应用程序等的信息。安全事件管理系统严重依赖于日志。

示例日志

日志由日期系统名称和事件详细信息组成，如

Aug  1 05:39:30.992: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up

在这里 八月  1 05:39:30.992 是日期信息， %%链接-3-向上向下 是关于端口的子系统信息， 接口Ethernet0/0，状态更改为up 表示以太网0/0接口更改为up。这个日志看起来很简单，但是很多日志意味着特殊的东西。如果你正确的关联，你可以得到很多关于整个系统的信息，特别是从安全的角度。但第一步是从系统中收集日志。有很多日志收集方法，但系统可能不提供所有这些方法。网络设备通常使用Syslog技术，使用UDP包和端口514来传输日志。以最简单的方式在没有任何CIA的情况下传输日志（机密性、完整性、可用性）。为了收集日志，我们需要一个从网络接受Syslog的Syslog服务器。我们假设它设置正确。不，我们将配置Cisco交换机以发送日志。

指定日志服务器

在此处设置日志服务器的IP地址如果交换机具有名称解析，则可以使用主机名。

S1(config)#logging host 10.250.1.1

指定日志记录级别或严重性

这一步很重要，因为我们设置了日志级别。将日志级别设置为高会生成大量日志，特别是当系统是核心系统时，但是查看有关事件的所有详细信息非常有用。调试为7级，紧急情况为0级，您可以根据需要选择。

S1(config)#logging trap debugging

指定日志源接口

如果从多个系统收集日志，则此配置非常有用。许多系统的日志都是由它们的源IP分开的。使用此选项，可以设置源接口和源IP。

S1(config)#logging source-interface ethernet 0/0

指定设施

Syslog使用这个工具来分离日志。您可以像使用源接口一样使用这个选项，但是您没有太多的空间可以使用。

S1(config)#logging facility syslog

相关文章： 更改Cisco主机名并禁用Cisco域查找