日志记录概述
日志文件记录系统中各项活动的正常操作及异常。使用日志可以监控思科内容安全设备,解决问题并评估系统性能。
大多数日志以纯文本 (ASCII) 格式记录;但是,为了提高资源效率,跟踪日志以二进制格式记录。ASCII 文本信息在任何文本编辑器中均可读。
日志记录与报告
使用日志记录数据来调试消息流,显示基本的日常操作信息(如 FTP 连接详细信息、HTTP 日志文件,以及将其用于合规性存档)。
您可以直接在邮件安全设备上访问此日志记录数据,或将其发送到任何外部 FTP 服务器以进行归档或读取。您可以通过 FTP 连接到设备以访问日志,或将纯文本日志推送到外部服务器以便备份。
要查看报告数据,请使用设备 GUI 上的“报告”(Report) 页面。您无法以任何方式访问基础数据,而且此数据无法发送到除思科内容管理设备以外的任何设备。
Note |
安全管理设备会为所有报告和跟踪提取信息,但垃圾邮件隔离区数据除外。此数据从 ESA 推送。 |
日志检索
可以使用下表中介绍的文件传输协议检索日志文件。您可以在 GUI 中创建或编辑日志订阅时设置协议,也可以通过在 CLI 中使用 logconfig
命令来设置协议。
FTP 轮询 |
使用此类文件传输协议时,远程 FTP 客户端使用管理员级别或操作员级用户的用户名和口令来访问设备以检索日志文件。在配置日志订阅以使用 FTP 轮询方法时,您必须提供要保留的最大日志文件数量。在达到最大数量时,系统会删除最旧的文件。 |
||
FTP 推送 |
使用此类文件传输协议时,设备会定期将日志文件推送到远程计算机上的 FTP 服务器。订用要求提供远程计算机上的用户名、口令和目标目录。系统会根据配置的滚动更新计划传输日志文件。 |
||
SCP 推送 |
使用此类文件传输协议时,设备会定期将日志文件推送到远程计算机上的 SCP 服务器。此方法要求远程计算机上的 SSH SCP 服务器使用 SSH2 协议。这种订用需要提供远程计算机上的用户名、SSL 密钥和目标目录。系统会根据配置的滚动更新计划传输日志文件。 |
||
系统日志推送 |
使用此类文件传输协议时,设备会将日志消息发送到远程系统日志服务器。此方法符合 RFC 3164 标准。您必须提交系统日志服务器的主机名并将 UDP 或 TCP 用于日志传输。默认使用的端口是 514。在 AsyncOS 14.1.0 中,端口号范围为 1-65535。可以为日志选择工具;但是,日志类型的默认值已在下拉菜单中预先选择。仅基于文本的日志可以使用系统日志推送传输。 输入要发送到远程服务器的日志消息的最大大小。[对于 TCP 协议] 最大消息大小值必须是一个介于 1024 和 65535 之间的整数,[对于 UDP 协议] 最大消息大小值必须是一个介于 1024 和 9216 之间的整数 使用 TLS 选项通过 TLS 连接将日志消息从思科安全邮件和 Web 管理器发送到远程系统日志服务器。
|
||
Syslog Push |
系统日志磁盘缓冲区 - [仅适用于 TCP 协议]:选中此复选框可为系统日志推送日志订用配置本地磁盘缓冲区,以允许思科安全邮件和 Web 管理器在远程系统日志服务器不可用时缓存日志事件。当系统日志服务器可用时,思科安全邮件和 Web 管理器开始将缓冲区中用于该日志订用的所有数据发送到系统日志服务器。 注:
|
文件名和目录结构
AsyncOS 会根据日志订阅中指定的日志名称为每个日志订阅创建目录。目录中的日志文件名包含日志订阅中指定的文件名、启动日志文件时的时间戳和单字符的状态代码。以下示例显示有关目录和文件名的约定:
/<Log_Name>/<Log_Filename>.@<timestamp>.<statuscode>
状态代码可以是 .c(表示“当前”)或 .s(表示“已保存”)。您只应传输具有已保存状态的日志文件。
日志回滚和传输计划
在创建日志订用时,您为何时进行日志滚动更新、传输旧文件和创建新的日志文件指定触发因素。
从以下触发因素中进行选择:
- 文件大小
- 时间
-
按指定的时间间隔(以秒、分钟、小时或天为单位)
在输入值时仿照屏幕上的示例。
要输入复合时间间隔,例如两个半小时,请仿照示例 2h30m。
或
-
在您指定的每天时间
或
-
在您所选星期几的指定时间
-
在指定时间时使用 24 小时制,例如用 23:00 表示 11pm。
要在一天内安排多个滚动更新时间,请用逗号将时间隔开。例如,要在午夜和中午滚动更新日志,请输入 00:00, 12:00
将星号 (*) 用作通配符。例如,要在每个整点和半点滚动更新日志,请输入 *:00, *:30
在达到指定的限制(或达到第一个限制,如果您同时配置了基于文件大小的限制和基于时间的限制)时,日志文件会滚动更新。基于 FTP 轮询传输机制的日志订用会创建文件并将其存储在设备的 FTP 目录中,直到检索文件为止或直到系统需要更多的日志文件空间为止。
Note |
如果在达到下一个限制时滚动更新正在进行,则会跳过新的滚动更新。系统会记录错误,并发送警报。 |
日志文件中的时间戳
以下日志文件包括日志自身的开始和结束日期、AsyncOS 版本和 GMT 时差(在日志开头以秒为单位提供):
- 邮件日志
- 安全列表/阻止列表日志
- 系统日志
默认启用的日志
安全管理设备经过预配置,并且已启用以下日志订阅。
日志名称 |
日志类型 |
检索方法 |
---|---|---|
cli_logs |
CLI 审核日志 |
FTP 轮询 |
euq_logs |
垃圾邮件隔离区日志 |
FTP 轮询 |
euqgui_logs |
垃圾邮件隔离区 GUI 日志 |
FTP 轮询 |
gui_logs |
HTTP 日志 |
FTP 轮询 |
mail_logs |
文本邮件日志 |
FTP 轮询 |
reportd_logs |
报告日志 |
FTP 轮询 |
reportqueryd_logs |
报告查询日志 |
FTP 轮询 |
slbld_logs |
安全列表/阻止列表日志 |
FTP 轮询 |
smad_logs |
SMA 日志 |
FTP 轮询 |
system_logs |
系统日志 |
FTP 轮询 |
trackerd_logs |
跟踪日志 |
FTP 轮询 |
所有预先配置的日志订阅的日志记录级别均设置为“信息”(Information)。有关日志级别的详细信息,请参阅设置日志级别。
您可以根据自己应用的许可证密钥配置其他日志订阅。有关创建和编辑日志订阅的信息,请参阅日志订用。