日志
1. 简介
日志管理是网络设备运维的核心功能。它记录设备的运行状态、错误信息、安全事件和性能数据。通过合理配置日志系统,您可以:
- 实时监控 设备运行状态
- 快速定位 网络故障原因
- 追踪安全 事件和异常行为
- 分析性能 趋势和瓶颈
- 满足合规 审计要求
2. 配置步骤
2.1 日志设置页面
3. 基础参数配置
3.1 System log buffer size(系统日志缓冲区)
- 作用:定义设备内存中可缓存的日志容量。
- 建议值:生产环境
2048–4096 kiB;排障阶段可临时提高至8192 kiB及以上。 - 注意:缓冲区过小可能导致历史日志被快速覆盖;过大可能挤占内存资源。
3.2 Write system log to file(写入系统日志到文件)
- 默认:关闭
- 启用条件:短期调试或需在本机留存证据时
- 风险:占用存储空间,可能影响性能与闪存寿命
- 要求:调试结束后关闭该选项
3.3 远程日志配置(强烈建议启用)
Enable remote logging(启用远程日志):勾选Remote log server(服务器地址):填写 IPv4 或 FQDN,例如192.168.10.50或syslog.company.comServer port(端口):- 默认:
514(UDP) - 可选:
6514(TLS/加密)、1514(自定义),以服务器配置为准
- 默认:
Protocol(协议):UDP:轻量、常用,但不保证消息送达TCP:可靠传输,适用于审计与关键系统;需确保服务器端口开放
Source IP address(源 IP):- 用途:指定日志发送的本地地址
- 要求:在多接口或多 VRF 设备中选用管理接口 IP,以便策略控制与识别
Syslog Format(标准格式):开启,确保日志遵循 RFC 格式,便于解析与兼容Identifier(标识符):- 要求:采用“站点-设备名-用途”结构,例如
BJ-Edge1-WAN,便于远端检索与归档
- 要求:采用“站点-设备名-用途”结构,例如
VRF instance(VRF 实例):- 选择:在启用 VRF 的网络中选择正确实例;未使用 VRF 时保持默认
4. 日志查看与理解
4.1 进入查看页面
- 路径:
Status > System Log - 功能:支持实时滚动查看,并可通过
DOWNLOAD LOG导出完整日志
4.2 日志基本结构
- 时间戳:事件发生时间
- 级别与来源:如
kern.info、daemon.notice,用于标识模块和重要性 - 进程信息:进程名与 PID,如
kernel、netifd、zebra、bgpd - 消息内容:具体事件描述
4.3 常见日志类型与含义
接口与内核事件(kernel、netifd)
- 示例:
IPv6: ADDRCONF(NETDEV_CHANGE): wlan1: link becomes ready、Network device 'wlan1' link is up - 含义:接口链路状态变化、转发就绪、上下线
路由与转发进程(zebra、bgpd、ospfd、isisd、pimd、ldpd、bfdd、watchfrr)
- 示例:
watchfrr: bgpd state -> up : connect succeeded、zebra: Configuration Read in Took: 00:00:00 - 含义:协议组件加载配置、会话建立或失败、控制面状态变化
配置读入与文件异常(mgmtd 等)
- 示例:
vty_open_config: failed to open configuration file /etc/frr//ripd.conf - 含义:指定协议配置文件缺失或路径错误;未启用该协议时出现此提示通常可视为非致命
4.4 日志级别说明
debug:调试信息,最详细info/notice:状态与通知,常用于运行观测warn:警告信息,需关注潜在问题err:错误信息,需及时处理
5. 故障排查流程
5.1 明确时间点
- 确定异常发生的具体时刻,并在该时刻前后 1 至 3 分钟范围内检视日志;必要时使用
DOWNLOAD LOG导出
5.2 模块分层分析
- 物理层 / 链路层:
kernel、netifd,重点查看接口抖动、驱动与介质问题 - 控制面:
watchfrr、zebra及各路由协议守护进程,重点查看邻居会话、配置加载和认证状态 - 管理与系统:
mgmtd及系统服务,重点查看配置文件、权限与路径问题
5.3 建立因果链
- 若接口频繁
Up/Down,优先排查物理层与无线环境,再观察路由会话是否随之波动 - 若仅协议会话异常且接口稳定,多为配置错误、邻居不可达或 VRF / 源 IP 不匹配