为什么办公网络需要做日志记录
在公司里,网络一卡,打印机连不上,视频会议掉线,大家第一反应就是找IT。其实很多问题不是突然发生的,而是有迹可循。关键就在于——有没有打开网络设备的监控和日志记录。
比如上周某公司会议室Wi-Fi频繁断开,查了半天发现是AP(无线接入点)每隔两小时自动重启。翻日志才发现是固件bug触发了异常,而这条信息早就记在系统日志里,只是没人看。
哪些设备该记录日志
常见的办公网络设备都得开启日志功能:路由器、交换机、防火墙、无线控制器、甚至PoE供电的IP电话和摄像头。这些设备默认可能只在本地存少量日志,一旦出问题就清掉了。
建议把核心交换机和防火墙的日志级别调到“informational”或“debug”,这样连配置变更、登录尝试、端口状态变化都能留下痕迹。
怎么集中收集日志
一个个登录设备看日志太费劲。可以搭个简单的Syslog服务器,比如用开源的Rsyslog跑在内网一台Linux机器上,所有设备统一发日志过去。
在华为交换机上开启发送日志的命令像这样:
info-center enable
info-center loghost 192.168.10.100
info-center source default channel loghost level informational思科设备则是:
logging on
logging 192.168.10.100
logging trap informational只要配上IP,设备就会自动把日志推送到服务器。
日志怎么看才有效
一堆文本日志堆着没用,得有人定期翻。建议每天花五分钟扫一眼前24小时的关键事件。重点关注这几类:
- 多次登录失败(可能是有人试探密码)
- 端口频繁up/down(可能是网线松动或设备故障)
- CPU或内存持续过高(设备快扛不住了)
- ACL拒绝流量突增(策略可能拦了正常业务)
有个公司发现财务部电脑老是访问一个奇怪的外网IP,查日志发现是某台主机被植入了挖矿程序,靠的就是防火墙日志里的连接记录。
保存多久合适
小公司至少保留30天,中大型建议保留90天以上。有些安全事件是潜伏发作的,比如黑客先潜入,过两周才动手。没有历史日志,根本追不回来。
日志文件别全堆在设备上,容易撑爆存储。设置好远程发送后,本地只留最近几小时的,其余都由中心服务器归档。
顺手做的几个优化建议
时间同步很重要。如果各设备时间差了几分钟,查日志对不上点,会误事。所有网络设备都配上NTP:
ntp enable
ntp server 192.168.10.1再给日志加个简单过滤规则,把重复的、无关紧要的信息屏蔽掉,比如某些设备每秒发一次的心跳日志。不然硬盘很快就被占满。
最后提醒一句:别等出事才想起看日志。平时养成了查日志的习惯,问题往往还没爆发,你就已经发现了。