《網絡安全法》和公安部82號令要求網絡日志留存180天，為了滿足國家網絡安全法要求，企業客戶通常會配置日志審計系統將網絡日志進行集中存儲，那么日志審計系統是如何將華為、Cisco、H3C、中興廠商的網絡設備/安全設備的syslog日志采集到日志審計系統中的呢？下面我就介紹一下華為、Cisco、H3C、中興廠商的網絡設備如何配置syslog日志采集。

一、華為設備配置syslog日志采集

<huawei> system-view //進入系統視圖

[huawei] info-center enable // 開啟信息中心

[huawei] info-center loghost 192.168.1.2 channel loghost

// 指定向日志主機輸出日志信息的通道為 loghost 通道

[huawei] info-center source default channel loghost debug state off log state off trap state off

//關閉所有模塊（模塊：各種信息，如ARP、pppoe、nat）日志主機的 trap、log、debug 的狀態。 Log：日志信息 trap：告警信息 debug：調試信息

[huawei] info-center loghost 192.168.1.2 facility local6 language english

// 將 IP 地址為192.168.1.2的主機作為日志主機，設置信息級別為informational，輸出語言為英文

[huawei] info-center source default channel loghost log level warning

[huawei] info-center source default channel loghost debug state on

// 允許輸出信息的模塊為所有模塊“source：default ”，通道為 loghost，同時log 信息級別warning，trap和state信息

二、Cisco設備配置syslog日志采集

Cisco(config)#logging on //打開日志服務

Cisco(config)#logging host 10.63.81.130 //定義日志服務器地址

Cisco(config)#service timestamps debug datetime localtime show-timezone msec //定義時間戳

Cisco(config)#service timestamps log datetime localtime show-timezone msec //定義時間戳

Cisco(config)#logging facility local7 //定義facility級別，默認為7

Cisco(config)#logging trap 7 //定義severity級別(0-7)，如7則=0-7全部啟用

Cisco#show logging //檢驗

三、中興設備配置syslog日志采集

ZX(config)#ogging on //開啟日志服務

ZX(config)#logging buffer 500 //本地日志記錄500條

ZX(config)#logging mode fullcycle //日志清除方式

ZX(config)#logging console notifications //console口上日志級別為通知

ZX(config)#logging level notifications //設備本身記錄的logging消息的級別

ZX(config)#syslog-server host 10.63.81.130 fport 514 lport 514 //設置日志服務器的IP地址以及源端口和目的端口

ZX(config)#syslog-server facility local1 //上傳local1的syslog

四、H3C設備配置syslog日志采集

<H3C>system-view  //進入系統視圖

[H3C] info-center enable //開啟日志服務

[H3C] info-center loghost 10.63.81.130 facility local5 //配置日志服務地址

總結：在配置syslog日志采集前，請先確保被采集的設備能ping通日志審計系統。根據實際需要采集的日志類型進行配置。

#設備調試##syslog日志采集##經驗分享#