- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
配置举例
资料版本:5W100-20241008
产品版本:E7101
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
Syslog可以提供比较方便的集中日志管理功能,对日志进行操作操作,比如转存、转储等。当系统或设备出现问题时,管理员可以通过Syslog管理功能查看具体日志信息,迅速定位问题并保存长期日志,便于后期查看和管理。
系统以列表形式展示接收到的Syslog日志信息,用户可以浏览系统中所有的日志。列表中包含每条日志的接受时间、级别、系统名称、模块名称、资源IP、描述、摘要。这一功能方便管理员定位和保存日志。
如需在环境上进行Syslog日志信息的查看,需要在设备上进行相关配置,将设备的Syslog日志推送到相应的环境上。进行设备配置时,环境的端口号需要与Syslog组件部署时的端口号保持一致,默认为514;设备配置命令如下:
[H3C-208]info-center enable
[H3C-208]info-center loghost 10.121.45.85 facility local5
#其中IP为接收环境的北向虚IP,默认推送到514端口
#如需发送到其他端口,需进行如下配置:
[H3C-208]info-center loghost 10.121.45.85 port 30200 facility local5
#其中IP为北向虚IP,30200为端口号。
企业A对日志提出了以下需求:
· 在系统页面上能够查看设备上的Syslog。如果存在级别、系统名称、模块名称、资源IP、描述、摘要完全相同的日志,则只展示最新的一条。
· 可以过滤符合规则的Syslog日志,并且列表中不展示相应信息。
· 将符合规则的Syslog日志升级为告警。
· 仅接收加入本系统设备的、符合规则的Syslog。
· 对Syslog日志进行转存和转发。
(1) 配置告警升级规则。
(2) 配置解析模板库。
(3) 高级配置:包括过滤规则;解码格式;转存;转发。
(1) 进入统一数字底盘的[告警>Syslog管理>浏览Syslog]页面,系统以列表的形式展示接收到的Syslog日志信息,包括每一条日志的接收时间、级别、系统名称、模块名称、资源IP、描述、摘要等,如下图所示。
图1 浏览Syslog
(2) 单击<导出>按钮,即可将界面上的Syslog信息以csv格式的文件形式导出进行查看。单击<打开聚合>按钮,即可将列表中级别、系统名称、模块名称、资源IP、描述、摘要均相同的日志信息聚合在一起,只展示最新的一条,并在列表中新增一列“聚合数量”,展示被聚合日志的具体数量,如下图所示。
图2 打开聚合
(3) 单击“聚合数量”列的数字,即可查看被聚合日志的详细信息,如下图所示。
图3 聚合日志
(4) 单击<关闭聚合>按钮,即会取消聚合,Syslog日志信息正常在列表中进行显示,如下图所示。
图4 关闭聚合
(5) 单击<转存记录>按钮,即可查看生成转存文件的文件名、文件大小以及文件数据日期,转存配置见转存,此处仅进行转存记录的查看,如下图所示。
图5 转存记录
(6) 单击Syslog列表操作列的
按钮,即可进入“快捷过滤规则定义”页面,在该页面,用户可以根据需要配置各项参数信息,如下图所示。
图6 快捷过滤规则定义
过滤范围:所有设备、当前设备、自定义设备;
¡ 所有设备:适用于系统收到的所有资源IP。
¡ 当前设备:会自动将当前资源IP添加到目标设备中。如需设置其他设备,可单击“选择设备”选择系统中资源IP。设置完成后,该过滤规则将适用于目标设备中的所有IP,如下图所示。
图7 过滤范围“当前设备”
¡ 自定义设备:可以添加系统中不存在的资源IP或已存在的资源IP,还可以选择自定义资源组。设置完成后,该过滤规则将适用于目标设备和自定义资源组中的所有IP,如下图所示。
图8 自定义设备
关键词:可以设置一个或多个关键词,当设置多个关键词时,Syslog日志需同时满足设置的所有关键词才会被过滤,如下图所示。
图9 多个关键词
设置完成后,新接收到的Syslog日志信息若符合过滤规则,将会被过滤,并且不会在列表上展示。
(7) 将鼠标悬停在Syslog描述上,单击复制图标,即可复制该Syslog描述。
图10 复制Syslog描述
(1) 进入[告警>Syslog管理>升级告警规则]页面,该页面展示了用户配置的所有升级告警规则以及系统预定义的升级告警规则。规则列表中包括规则的名称、描述、统计方式、告警级别、类型、状态,如下图所示。
图11 升级告警规则列表
(2) 升级告警规则名称是用户在添加规则时配置的,单击规则名称可以查看升级告警规则的详细信息,如下图所示。
图12 升级告警规则详情
(3) 单击<增加>按钮即可进入“增加升级告警规则”页面,用户可以根据需要配置各项规则信息,如基本信息、作用设备范围、告警生成规则、告警恢复规则。
a. 基础信息:包含名称、是否启用、描述三个字段。
|
参数 |
说明 |
|
名称 |
必填,有效长度1-32字符。 |
|
是否启用 |
选择启用时,该规则将在列表中默认显示为已启用状态;选择不启用时,该规则在列表中默认显示为未启用状态。 |
|
描述 |
非必填,有效长度为0-64字符。 |
图13 基本信息
b. 作用设备范围:非必填,不填写时对所有资源生效,填写后对已选择的资源或资源组生效。配置项包括设备IP、目标设备、自定义资源组。
|
参数 |
说明 |
|
设备IP |
用户可以自定义资源IP(不强制要求该资源是否被纳管),单击“增加”后添加到目标设备中。 |
|
目标设备 |
选择系统中已纳管存在的资源,单击“选择设备”进行资源的选择。 |
|
自定义资源组 |
选择系统中的资源组,单击“选择资源组”按钮进行资源组的选择。 |
图14 作用设备范围
c. 告警生成规则:包括统计方式、Syslog重复间隔、Syslog重复次数、告警级别、告警描述、解析模板、计数方式、参数配置。
|
参数 |
说明 |
|
统计方式 |
包括全网统计、单资源统计两种方式。 全网统计方式,则可以统计所有IP。 单资源统计方式,则需按照资源IP分别进行统计。 |
|
Syslog重复间隔、重复次数 |
表示多长时间段内重复出现多少次。 若重复间隔配置为m,重复次数配置为n,则表示在m秒内重复出现n+1次,才满足该规则升级为告警。 |
|
告警级别 |
表示生成的告警所属级别。 |
|
告警描述 |
表示生成的告警所展示的告警信息。 |
|
解析模板 |
符合该条解析模板的Syslog日志才能够匹配该条升级告警规则。 |
|
计数方式 |
分为汇总计数、分类计数两种。 汇总计数表示接收到的Syslog日志满足规则中的解析模板即可,对于Syslog日志中的参数值不限制。 分类计数表示接收到的Syslog日志需要满足规则中设置的参数值,满足参数值后才会进行重复计数。 |
|
参数配置 |
确定哪些参数生效,生效的参数匹配的内容。 只有选择分类计数时才可以进行填写。 |
图15 告警生成规则
d. 告警恢复规则:可以选择设置或者不设置,设置时需要填写描述、解析模板、恢复告警关键参数,符合填写内容的生成告警会自动恢复之前的告警。
|
参数 |
说明 |
|
描述 |
表示生成的恢复告警所展示的告警信息。 |
|
解析模板 |
符合该条解析模板的Syslog日志才能够升级为恢复告警。 |
|
恢复告警关键参数 |
解析模板中所带的参数信息(选择解析模板后自动显示)。 |
图16 告警恢复规则
e. 如果告警选择的解析模板存在两个参数,分别为IP和Interface,那么恢复告警选择的解析模板必须有且仅有两个参数,分别为IP和Interface,才能够互相设置为告警和恢复告警。
(4) 当升级告警规则状态为“已启用”状态时,该规则才会生效,单击状态可以切换“已启用/未启用”状态。其中,升级告警规则分为自定义和预定义两种类型。
|
参数 |
说明 |
|
自定义升级告警规则 |
支持复制、修改、删除操作。 |
|
预定义升级告警规则 |
仅支持复制操作。 |
图17 自定义和预定义类型
(5) 单击升级告警规则页面中操作列的
图标可进入该规则的修改页面,修改页面和增加页面相同,但规则名称不允许修改。
(6) 单击操作列的
图标可进入该规则的复制页面,各配置项自动填充该规则的内容,用户可以根据需要进行相应修改。
(7) 单击操作列的
图标可以删除单条升级告警规则,删除后该规则不再生效。选中多个升级告警规则,单击<删除>按钮即可进行批量删除,其中预定义的升级告警规则不支持删除操作,如下图所示。
图18 批量删除
(1) 进入[告警>Syslog管理>解析模板库]页面,该页面展示了系统预定义以及用户自定义的解析模板,模板列表包括模板名称、模板内容、类型信息,如下图所示。
图19 解析模板列表
(2) 模板名称是用户增加解析模板时配置的信息,单击模板名称可以查看解析模板的详细信息,如下图所示。
图20 解析模板详细信息
解析模板分为自定义和预定义两种类型,其中自定义模板类型支持复制、修改、删除操作,预定义模板类型只支持复制操作,如下图所示。
图21 预定义和自定义解析模板类型
(3) 单击<增加>按钮,即可进入“增加解析模板”页面,用户可以根据需要设置各项解析模板配置项信息,包括名称、是否使用正则表达式、模板内容、描述,如下图所示。
图22 增加解析模板页面
当不使用正则表达式时,模板内容中支持匹配文本带有参数信息,参数的形式为:$(参数名称),系统中接收到的符合该模板的Syslog日志信息均能正确匹配;如下图所示。
图23 不使用正则表达式
当使用正则表达式时,模板中必须要定义一个或者多个参数,正则表达式要以组“()”来定义,并需要为模板中的参数定义参数名称,系统中接收到的符合该模板的Syslog日志信息均能正确匹配,如下图所示。
图24 使用正则表达式
单击<测试>按钮,将Syslog的描述内容复制到测试文本框中,然后单击“测试”即可验证该Syslog是否能够匹配到当前新增的解析模板。符合该条Syslog日志信息的解析模板显示在列表中,如未匹配到任何解析模板,需检查解析模板定义是否准确
图25 测试新增解析模板
(4) 单击列表上方的<测试>按钮,弹出测试弹窗。在Syslog输入框中输入Syslog日志信息,单击“测试”按钮,即可将符合该条Syslog日志信息的解析模板显示在列表中,如未匹配到任何解析模板,需检查解析模板定义是否准确,如下图所示。
图26 测试
(5) 单击解析模板列表操作列的
图标可进入该模板的修改页面,修改页面和增加页面相同,但解析模板名称不允许修改。修改解析模板后,如果想使用修改后的解析模板进行升级告警,需要编辑或新建升级告警规则。
(6) 单击
图标可进入该模板的复制页面,各配置项将自动填充该模板的内容,用户可以根据需要进行相应修改。
(7) 单击
图标可以删除单条解析模板(已被升级告警规则使用的不允许删除),删除后该模板不再生效。选中多个解析模板,单击<删除>按钮即可进行批量删除,其中预定义及已被升级告警规则使用的解析模板不支持删除操作,如下图所示。
图27 批量删除
(1) 进入[告警>Syslog管理>高级配置>过滤规则]页面,该页面展示了用户配置的所有过滤规则,规则列表包括规则名称、描述、状态等信息。
图28 过滤规则列表
(2) 过滤规则名称是用户增加过滤规则时配置的信息,单击规则名称可以查看过滤规则详细信息。
图29 过滤规则详情
(3) 单击“增加”按钮即可进入“增加过滤规则”页面,在“增加过滤规则”页面,用户可以根据需要设置各项过滤规则信息,包括:规则名称、是否启用、规则描述、设备IP、目标设备、自定义资源组、匹配策略、关键词。
|
参数 |
说明 |
|
规则名称 |
必填,有效长度1-32字符。 |
|
是否启用 |
选择启用时该规则默认为已启用状态;选择不启用时该规则默认为未启用状态。 |
|
规则描述 |
有效长度0-64个字符。 |
|
设备IP |
用户根据自己需要填写相应IP(不强制要求为系统已纳管资源的IP),单击“增加”后添加到目标设备中。 |
|
目标设备 |
选择系统中已纳管存在的资源,单击“选择设备”进行资源的选择。 |
|
自定义资源组 |
选择系统中的资源组,单击“选择资源组”进行资源组的选择; |
|
匹配策略 |
包括保持关键词顺序和不保持关键词顺序两种方式。若选择保持关键词顺序,则需要与填写的多个关键词顺序保持一致,才满足该过滤规则。若选择不保持关键词顺序,则只要包含填写的多个关键词即可,对顺序没有要求。 |
|
关键词 |
可以填写一个或多个,与匹配策略相关联。 |
图30 增加过滤规则页面
图31 多个关键词
(4) 当过滤规则的状态为“已启用”时,此规则才能启用,单击状态可以切换“已启用/未启用”状态。
(5) 单击过滤规则列表操作列的
图标可进入该过滤规则的修改页面,修改页面和增加页面相同,但是规则名称不允许修改。
(6) 单击
图标可对该过滤规则进行复制,复制页面各配置项条件和增加时一样,用户可以根据需要进行相应修改。
(7) 单击
图标可以删除单条过滤规则,删除后该规则不再生效。
(8) 选中多个过滤规则,单击<删除>按钮,即可批量删除过滤规则,删除后该过滤规则不再生效。
图32 批量删除
(9) 列表上方显示过滤策略,单击“修改”,即可进入过滤策略修改页面,包括Syslog来源和匹配方式两种过滤策略,两种过滤策略取交集。
|
参数 |
说明 |
|
Syslog来源 |
接收所有设备的Syslog、仅接收加入本系统设备的Syslog,两种来源二选一。 |
|
匹配方式 |
仅接收所有不符合规则的Syslog、仅接收所有符合规则的Syslog,两种方式二选一。 |
图33 过滤策略
(1) 进入[告警>Syslog管理>高级配置>解码格式]页面,该页面展示了用户配置的所有解码格式规则,列表展示资源IP、解码格式信息,如下图所示。
图34 解码格式列表
(2) 单击“增加”按钮弹出“增加解码格式”窗口,用户可以根据需要配置资源IP、解码格式信息,配置完成后即可对系统接收到的该资源的Syslog信息进行解码。
|
参数 |
说明 |
|
资源IP |
该规则适用的资源。 |
|
解码格式 |
GBK、UTF-8两种格式二选一。 |
图35 增加解码格式
(3) 单击
图标可以删除单条解码格式规则,删除后该解码格式不再生效。
(1) 进入[告警>Syslog管理>高级配置>转存]页面,该页面展示了转存的各个配置项,包括转存开关、转储区间、磁盘状态。
图36 转存
(2) 转存开关默认为“关闭”状态,开启后系统会在每天凌晨对前一天的数据进行转存,转存记录可以在[告警>Syslog管理>浏览Syslog]页面中的转存记录中进行查看。
图37 转存记录
(3) 转储区间即为保留转存文件的日期,如果配置为10,即转存文件会保留最近10天的文件,其他文件进行删除。
(4) 磁盘状态可以实时查看各个节点上的磁盘是否正常,如有异常及时发现并修复。
(1) 进入[告警>Syslog管理>高级配置>转发]页面,该页面展示了转发的相关配置项以及转发记录监控。
(2) 转发配置默认为不启用状态,如需使用需进行启用。
(3) 转发目的为接收端的IP地址,端口为接收端监听消息的端口。
(4) 转发目的可以配置为两个,在发送监控趋势图中会实时监控转发到目的地址的数量。
Syslog转发格式为:<+整数+>+时间+空格+主机名+空格+%%组件名+ /+操作结果(整数型)+ /OPERLOG:+操作员名称+(操作员主机ip)+[组件]+操作描述+空格+[操作结果(整数型对应的操作描述)]。例如:<189>Dec 03 11:16:28 2021 RDVDI-C13328V %%jserver/6/OPERLOG:admin(0:0:0:0:0:0:0:1)[设备资源]管理设备“27中(10.114.115.27)”。
图38 转发配置
支持
