简介
日志管理是网络设备运维的核心功能,它记录设备的运行状态、错误信息、安全事件和性能数据。通过合理配置日志系统,您可以:
- 实时监控 设备运行状态
- 快速定位 网络故障原因
- 追踪安全 事件和异常行为
- 分析性能 趋势和瓶颈
- 满足合规 审计要求
配置步骤
基础参数配置
System log buffer size(系统日志缓冲区)
- 作用:定义设备内存中可缓存的日志容量。
- 建议值:生产环境 2048–4096 kiB;排障阶段可临时提高至 8192 kiB 及以上。
- 注意:缓冲区过小可能导致历史日志被快速覆盖;过大可能挤占内存资源。
Write system log to file(写入系统日志到文件)
- 默认:关闭。
- 启用条件:短期调试或需在本机留存证据时。
- 风险:占用存储空间,可能影响性能与闪存寿命。
- 要求:调试结束后关闭该选项。
远程日志配置(强烈建议启用)
Enable remote logging(启用远程日志):勾选。
Remote log server(服务器地址):填写 IPv4 或 FQDN,例如
192.168.10.50或syslog.company.com。Server port(端口):
- 默认:514(UDP)。
- 可选:6514(TLS/加密)、1514(自定义),以服务器配置为准。
Protocol(协议):
- UDP:轻量、常用,但不保证消息送达。
- TCP:可靠传输,适用于审计与关键系统;需确保服务器端口开放。
Source IP address(源 IP):
- 用途:指定日志发送的本地地址。
- 要求:在多接口/多 VRF 设备中选用管理接口 IP,以便策略控制与识别。
Syslog Format(标准格式):开启,确保日志遵循 RFC 格式,便于解析与兼容。
Identifier(标识符):
- 要求:采用“站点-设备名-用途”结构,如 BJ-Edge1-WAN,便于远端检索与归档。
VRF instance(VRF 实例):
- 选择:在启用 VRF 的网络中选择正确实例;未使用 VRF 时保持默认。
日志查看与理解
进入查看页面
- 路径:Status > System Log。
- 功能:实时滚动查看,支持“DOWNLOAD LOG”导出完整日志。
日志基本结构
- 时间戳:事件发生时间。
- 级别与来源:如 kern.info、daemon.notice,指明模块与重要性。
- 进程信息:进程名与 PID,如 kernel、netifd、zebra、bgpd。
- 消息内容:具体事件描述。
常见日志类型与含义
接口与内核事件(kernel、netifd)
- 示例:IPv6: ADDRCONF(NETDEV_CHANGE): wlan1: link becomes ready;Network device 'wlan1' link is up。
- 含义:接口链路状态变化、转发就绪、上下线。
路由与转发进程(zebra、bgpd、ospfd、isisd、pimd、ldpd、bfdd、watchfrr)
- 示例:watchfrr: bgpd state -> up : connect succeeded;zebra: Configuration Read in Took: 00:00:00。
- 含义:协议组件加载配置、会话建立或失败、控制面状态变化。
配置读入与文件异常(mgmtd 等)
- 示例:vty_open_config: failed to open configuration file /etc/frr//ripd.conf。
- 含义:指定协议配置文件缺失或路径错误;未启用该协议时出现此提示可视为非致命。
日志级别说明
- debug:调试信息,最详细。
- info/notice:状态与通知,常用于运行观测。
- warn:警告信息,需关注可能问题。
- err:错误信息,需及时处理。
故障排查流程
明确时间点
- 确定异常发生的具体时刻,并在该时刻前后 1–3 分钟范围内检视日志;必要时使用“DOWNLOAD LOG”导出。
模块分层分析
- 物理/链路层:kernel、netifd(接口抖动、驱动与介质问题)。
- 控制面:watchfrr、zebra、各路由协议守护进程(邻居会话、配置加载、认证)。
- 管理与系统:mgmtd、系统服务(配置文件、权限与路径)。
建立因果链
- 若接口频繁 Up/Down,优先排查物理层与无线环境,再观察路由会话是否随之波动。
- 若仅协议会话异常且接口稳定,多为配置错误、邻居不可达或 VRF/源 IP 不匹配。