路由器的系统日志如何理解?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了路由器的系统日志如何理解?相关的知识,希望对你有一定的参考价值。

路由器系统日志可以排除故障,通过了解路由器日志对于排除路由器故障是很重要的,可通过修改路由器日志来隐藏入侵痕迹。

    开启系统日志服务器功能

    点开路由器的系统状态——系统日志,启用“系统日志服务器“,并启用IP地址,具体界面如下图:

    启用上图中的系统日志服务,便可在《路由器的系统状态》系统日志中查看路由器的常见系统更改,具体可查考如下界面:

    如图中,以内网192.168.1.3的计算机作为日志服务器,则需要在这台计算机上安装我们的VE日志分析软件,之后便可在此PC机上看见内网用户所浏览网址。

    安装数据库

    下载mysql数据库,官方下载地址:http://www.mysql.com/downloads/

    安装数据库,设置密码、端口号。

    运行

找到设备对应型号进行下载,下载后解压运行,如图,输入数据库的密码、端口号,即可运行,并自动连接获取日志。

 参考技术A 路由器日志写的是你的路由器日常受到攻击以及使用的一些情况,而且是用英文写的,以下是大致的一些语句。
May 26 03:34:01 DHCP lease IP 192.168.0.103 to xue-370bc67673f 00-26-18-12-90-6e
这一句显然不是系统启动时的东西,因为系统已经能够正常工作并且可以分配DHCP客户地址。这一句的意思是5月26日26 03:34:01,DHCP服务为物理地址是00-26-18-12-90-6e,机器名是xue-370bc67673f 的设备分配了192.168.0.103 这个地址。这一句以后还要多次出现,再遇到就不解释了。而且,每一句前面都是日期和时间,也都不再说了。
往上看
May 26 03:34:03 WAN Dialup Try to establish PPPoE line
是外网口通过拔号尝试建立PPPOE连接。
May 26 03:34:09 PPPoE line connected
连接建立很快,6秒时间,两条日志之间的时间差是6秒,本句说PPPOE已经连接上了。
May 26 03:34:12 VPN (IPsec) Pass-Through enabled.
May 26 03:34:12 VPN (PPTP) Pass-Through enabled.
May 26 03:34:12 VPN (L2TP) Pass-Through enabled.
这三句是说,三种VPN方式被允许了:VPN (IPsec) 、VPN (PPTP)、VPN (L2TP)。
May 26 03:34:12 RTSP ALG enabled.
实时流传输协议RTSP被允许通过,这个协议是对流媒体传送的。这个协议不熟,因此不知道ALG什么意思。
May 26 03:34:12 URL Blocking disabled.
这句应该是说禁止URL访问这个功能被禁止了,也就是说允许URL访问
May 26 03:34:12 Block WAN PING enabled.
禁止外网口的PING功能,也就是你PING它的广域网地址,是没有回应的。
May 26 03:34:12 Anti-spoofing disabled.
应该是反IP欺诈功能关闭了。
May 26 03:34:12 Remote management is disabled.
远程管理功能关闭
May 26 04:01:50 PPPoE Idle Timeout!! Disconnect PPPoE line
PPPOE一直没有数据,超时了,PPPOE连接中断了。
May 26 04:02:49 WAN Dialup Try to establish PPPoE line
又尝试建立PPPOE连接
May 26 04:02:55 PPPoE line connected
又建立起来了。
May 26 04:02:58 Remote management is disabled.
May 26 04:02:58 Anti-spoofing disabled.
May 26 04:02:58 Block WAN PING enabled.
May 26 04:02:58 URL Blocking disabled.
May 26 04:02:58 RTSP ALG enabled.
May 26 04:02:58 VPN (IPsec) Pass-Through enabled.
May 26 04:02:58 VPN (PPTP) Pass-Through enabled.
May 26 04:02:58 VPN (L2TP) Pass-Through enabled.
May 26 04:02:55 PPPoE line connected
这些前面都解释过了,不再多说了,再次注意,从下往上看。
May 26 06:06:19 DHCP lease IP 192.168.0.102 to WWW-0CE872D39A3 00-1d-60-51-59-8a
May 26 04:08:27 DHCP lease IP 192.168.0.100 to PC-201108210817 00-50-ba-26-2b-fc
分配了两个地址
May 26 06:29:33 Authentication Success 20-7c-8f-6a-6e-59
May 26 06:29:33 Authenticating...... 20-7c-8f-6a-6e-59
对20-7c-8f-6a-6e-59地址认证,认证成功,下面就要分配地址了。
May 26 06:29:37 DHCP lease IP 192.168.0.101 to MICROSOF-D984E2 20-7c-8f-6a-6e-59
分配成了
May 26 06:29:50 DHCP lease IP 192.168.0.101 to MICROSOF-D984E2 20-7c-8f-6a-6e-59
May 26 06:29:48 DHCP lease IP 192.168.0.101 to MICROSOF-D984E2 20-7c-8f-6a-6e-59
May 26 06:29:41 DHCP lease IP 192.168.0.101 to MICROSOF-D984E2 20-7c-8f-6a-6e-59
不知道是客户端的问题还是服务端的问题,这台机器不停的获取地址,时间间隔有7秒的,也有2秒的,应该是客户在操作什么。

如何启用 syslogd 从 OSX 中的路由器接收 UDP 日志

【中文标题】如何启用 syslogd 从 OSX 中的路由器接收 UDP 日志【英文标题】:How to enable syslogd to receive UDP logs from routers in OSX 【发布时间】:2009-07-26 21:08:10 【问题描述】:

有时路由器坏了,我想获取路由器日志。

虽然有些路由器有内置的日志查看器,但有些没有。大多数路由器似乎都可以使用 syslog 将日志发送到另一台主机。

如何让 OSX(客户端)接收这些日志? OSX 有一个 syslogd,但说明充其量是不透明的。

也许不同的客户端应用程序会更好,但我更喜欢一种我可以直接破解的方式,而无需通过互联网下载刚刚崩溃的工具......

OSX 本身没有 netcat,否则我会尝试的。

【问题讨论】:

【参考方案1】:

使用可能适用于 OS X 的 syslog-ng,虽然我不确定,但我使用以下 3 行通过我的家庭网络从我的 wifi 路由器到我的日志服务器捕获 syslog 消息:

 source net  udp(); ;

 destination wifirouter  file("/opt/var/log/wifirouter.log"); ;

 log  source(net); destination(wifirouter); ;

wifi 路由器随后被配置为使用日志服务器的 IP 地址和 wifirouter 标识符。您可以修改源行以仅接受来自某些源 IP 地址。

【讨论】:

【参考方案2】:

所需的“魔法”,以及库存的 Mac OS syslogd,如下所示。

编辑 syslogd 的启动配置,/System/Library/LaunchDaemons/com.apple.syslogd.plist(您需要是 root,或者使用 'sudo vi' 或您喜欢的其他方法编辑它。)

(有些版本似乎已经注释掉了必要的部分,但我的一个没有。)

在以下之后:

 <key>Sockets</key>
 <dict>
 ...
     <key>BSDSystemLogger</key>
     <dict>
     ...
     </dict>

添加或取消注释(删除前导“”行),此部分:

     <key>NetworkListener</key>
     <dict>
          <key>SockServiceName</key>
          <string>syslog</string>
          <key>SockType</key>
          <string>dgram</string>
     </dict>

然后完全重新启动 syslogd(即使用 launchctl,再次以 root 身份)

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

(我认为这个问题/答案可能属于 superuser.com?也许有人可以把它移过来。)

【讨论】:

/System/Library/LaunchDaemons/com.apple.syslogd.plist 不是我机器上的xml文件(osx lion),它似乎是二进制... 您可以使用 plutil 命令在二进制和文本 plist 文件格式之间进行转换。在终端中输入“plutil”并注意“-convert”选项。 添加将二进制 pl 转换为 xml 的正确 plutil 命令是:plutil -convert xml1 /System/Library/LaunchDaemons/com.apple.syslogd.plist【参考方案3】:

仅供参考,二进制 plist 文件可以使用 XCode 套件附带的属性列表编辑器进行编辑,也可以使用 3rd 方编辑器 Text Wrangler。我没有尝试过,但考虑到它与 TextWrangler 的血统,我怀疑 BBEdit 也可以编辑它。

【讨论】:

plutil -convert xml1 /System/Library/LaunchDaemons/com.apple.syslogd.plist 神奇...(无需将其转换回二进制)【参考方案4】:

对于 OS X 10.7 及更高版本,您应该参考这个 *** answer 来回答这个问题。

【讨论】:

以上是关于路由器的系统日志如何理解?的主要内容,如果未能解决你的问题,请参考以下文章

Beego(简介、配置、路由、日志)

基于数据挖掘的路由器系统日志分析系统——SyslogDigest

Linux系统存储交换机日志

关于路由器日志的问题?

集中管理交换机,路由器的系统日志syslog

电脑怎么接入华三交换机查日志