办公室网络突然断了,排查问题时,很多人会问:交换机管理能不能看历史记录?这个问题很实际,尤其在故障发生后,没人承认动过设备,查日志就成了唯一线索。
大多数交换机支持操作日志
现在的主流交换机,无论是华为、H3C还是思科,基本都支持日志功能。只要提前开启,就能看到谁在什么时候执行了哪些命令。比如某员工误删了VLAN配置,日志里会清楚记录登录IP、操作时间、具体命令。
怎么开启和查看日志?
以常见的H3C交换机为例,进入命令行后,先开启日志功能:
info-center enable
info-center loghost 192.168.10.100上面这句是把日志发送到内网一台日志服务器(IP为192.168.10.100)。如果没有专门的日志服务器,也可以用display logbuffer命令查看本地缓存的日志:
display logbuffer输出内容类似这样:
%Apr 5 14:22:31 2025 SZ-SW01 %%01IFPDT/4/IF_DOWN(l)[0]:Interface GigabitEthernet0/0/1 has turned into DOWN state.
%Apr 5 14:23:10 2025 SZ-SW01 %%01CONFIG/6/CFG_CMD_EXEC(f)[1]:Command "undo port link-type trunk" was executed by console user 'admin'.从第二条就能看出,有人在14:23执行了取消Trunk的命令,操作账户是admin,定位问题就方便多了。
不是所有交换机都能长期保存记录
便宜的非网管型或简易网管交换机,通常不支持日志功能。这类设备连命令行都没有,自然没法查历史。如果公司用的是这种设备,出了问题只能靠经验推测。
建议日常做这几件事
一是启用远程日志服务器(syslog),避免设备重启后日志丢失;二是设置NTP时间同步,确保多台设备时间一致,排查时不会混乱;三是给不同管理员分配独立账号,别共用admin,不然查到操作也不知道是谁干的。
某公司曾经发生过网络中断,查日志发现是凌晨三点有人拔了核心交换机的光纤。监控一调,原来是保洁大姐打扫时不小心碰掉了——要不是有日志记录操作时间,可能真以为是黑客攻击。
所以,交换机管理能不能看历史记录,答案是:能,但得提前设置好。临时抱佛脚,多半来不及。