《网络安全法》和公安部82号令要求网络日志留存180天，为了满足国家网络安全法要求，企业客户通常会配置日志审计系统将网络日志进行集中存储，那么日志审计系统是如何将华为、Cisco、H3C、中兴厂商的网络设备/安全设备的syslog日志采集到日志审计系统中的呢？下面我就介绍一下华为、Cisco、H3C、中兴厂商的网络设备如何配置syslog日志采集。

一、华为设备配置syslog日志采集

<huawei> system-view //进入系统视图

[huawei] info-center enable // 开启信息中心

[huawei] info-center loghost 192.168.1.2 channel loghost

// 指定向日志主机输出日志信息的通道为 loghost 通道

[huawei] info-center source default channel loghost debug state off log state off trap state off

//关闭所有模块（模块：各种信息，如ARP、pppoe、nat）日志主机的 trap、log、debug 的状态。 Log：日志信息 trap：告警信息 debug：调试信息

[huawei] info-center loghost 192.168.1.2 facility local6 language english

// 将 IP 地址为192.168.1.2的主机作为日志主机，设置信息级别为informational，输出语言为英文

[huawei] info-center source default channel loghost log level warning

[huawei] info-center source default channel loghost debug state on

// 允许输出信息的模块为所有模块“source：default ”，通道为 loghost，同时log 信息级别warning，trap和state信息

二、Cisco设备配置syslog日志采集

Cisco(config)#logging on //打开日志服务

Cisco(config)#logging host 10.63.81.130 //定义日志服务器地址

Cisco(config)#service timestamps debug datetime localtime show-timezone msec //定义时间戳

Cisco(config)#service timestamps log datetime localtime show-timezone msec //定义时间戳

Cisco(config)#logging facility local7 //定义facility级别，默认为7

Cisco(config)#logging trap 7 //定义severity级别(0-7)，如7则=0-7全部启用

Cisco#show logging //检验

三、中兴设备配置syslog日志采集

ZX(config)#ogging on //开启日志服务

ZX(config)#logging buffer 500 //本地日志记录500条

ZX(config)#logging mode fullcycle //日志清除方式

ZX(config)#logging console notifications //console口上日志级别为通知

ZX(config)#logging level notifications //设备本身记录的logging消息的级别

ZX(config)#syslog-server host 10.63.81.130 fport 514 lport 514 //设置日志服务器的IP地址以及源端口和目的端口

ZX(config)#syslog-server facility local1 //上传local1的syslog

四、H3C设备配置syslog日志采集

<H3C>system-view  //进入系统视图

[H3C] info-center enable //开启日志服务

[H3C] info-center loghost 10.63.81.130 facility local5 //配置日志服务地址

总结：在配置syslog日志采集前，请先确保被采集的设备能ping通日志审计系统。根据实际需要采集的日志类型进行配置。

#设备调试##syslog日志采集##经验分享#