如何从wiki syslog读取数据

昨天，试用了wiki的Syslog Manager，我感觉这部分还是比较简便的，从使用状况来看，在windows平台下，使用Wiki Syslog Daemon就是比较不错的选择，但可惜的Wiki Syslog Daemon并不是完全免费的软件，很多比较好的特性是需要收费的。

Features of the Free version

1. GUI based syslog manager

2. Messages are displayed in real-time as they are received

3. 10 virtual displays for organizing your messages

4. Message logging or forwarding of all messages, or based on priority or time of day.

5. Auto Split the log file by priority or time of day

6. Receives messages via UDP, TCP or SNMP

7. Forwards messages via UDP or TCP

8. Automatic log file archiving based on a custom schedule

9. Messages per hour alarm notification with audible sound or e-mail

10. Log file size alarm notification with audible sound or e-mail

11. Daily e-mailing of syslog traffic statistics

12. Minimizes to the system tray

13. Maintains source address when forwarding messages to other syslog hosts

14. Syslog statistics with graph of syslog trends (Last 24 hrs/Last 60 mins.)

15. Syslog message buffering ensuring messages are not missed under heavy load

16. DNS resolution of source host IP addresses with optional domain removal

17. DNS caching of up to 100 entries to ensure fast lookups and minimise DNS lookups

18. Pre-emptive DNS lookup using up to 10 threads

19. Comes with 5 cool skins to change the look of the program

20. Selectable display font, display color, and background wallpaper

21. Also available as an NT Service

22. RFC3164 send and receive options

23. Context based help

24. Free for use for as long as you want

免费版本的特性

1. 图形化Syslog管理工具

2. 消息接收后实时显示

3. 10个虚拟显示器供消息组织

4. 寄予优先级或时间的消息记录和传输

5. 自动按时间或优先级分文件记录

6. 接收承载协议支持UDP,TCP,SNMP

7. 发送承载协议支持UDP,TCP

8. 基于传统规则的自动文件归档

9. 每小时针对消息的声音和e-mail告警通知

10. 针对日志文件大小的声音和e-mail告警通知

11. Syslog日常流量统计邮件通知

12. 减小系统盘

13. 当消息转发到另一Syslog主机时，维护源地址。

14. 图形化统计

15. 消息缓存机制减小压力下时间丢失。

16. 源地址随意迁移域的DNS解决方案

17. 高达100个实体的DNS Caching确保

18. 多达10个线程的DNS预查找

19. 程序外表多达五种cool skins

20. 字体、颜色、背景墙纸可选

21. 可以用作NT Service

22. RFC3164发送和接收选项

23. 帮助

24. 免费使用

但很多很好的特点需要授权：

1. Additional Auto Split log file options

2. Additional filtering options

1. 附加的自动日志分文件功能

2. 附加的过滤功能

从这上面的特性来说，基本上如果使用免费功能，Syslog Manager并不具备日志服务器的需求，所以使用如果使用Syslog Daemon必须使用授权版。

Kiwi Syslog Manager是Kiwi Syslog Daemon Single Install License - $129

Kiwi Syslog Daemon Company Site License - $1290

Kiwi Syslog Daemon Company Country License - $2580

Kiwi Syslog Daemon Company Global License - $6450

使用Kiwi Syslog Manager的感觉来看，还是非常好使的。可以通过SyslogGen进行测试，并使用Syslog Logger进行编程。

/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。

/varlog/dmesg：记录Linux系统在引导过程中的各种事件信息

可通过关键词过滤错误日志：如cat/var/log/message | greperror

硬盘故障分析及处理建议

end_request:I/Oerror

故障分析：内核不能从硬盘上的文件系统读取数据

故障产生原因：硬盘扇区坏&硬盘与磁盘控制器连接信号质量不稳定，导致数据出现异常。

故障处理建议：重新安装 *** 作系统&设备返厂或更换系统硬盘

Remounting filesystem read-only

故障分析：设备异常断电或磁盘、i/o接口不稳定的故障，导致其上的文件系统内部不能正常工作，最终文件系统不能进行写 *** 作。所有与此文件系统有关的业务中断

故障产生原因：与硬盘故障无直接关系，属于磁盘与接口通信不稳定导致的故障&设备异常断电，导致 *** 作系统文件索引损坏

故障处理建议：重新安装 *** 作系统

Correctederror

故障分析：内存通道错误或处理器错误

故障产生原因：内存松动、故障或处理器故障

故障处理建议：尝试插拔内存&更换内存

HANDLING MCEMEMORYERROR

故障分析：内存MCE错误导致系统崩溃

故障产生原因：内存松动、故障或处理器故障

故障处理建议：尝试插拔内存&更换内存

channelerrorregister unreachablechannel enumerationerror

故障分析：通道错误，导致系统异常

故障产生原因：主板或主板连线故障

故障处理建议：更换主板或主板连线

recovery requiredonreadonly filesystem

故障分析：磁盘坏道&设备异常断电或温度过高导致系统文件索引丢失损坏

故障产生原因：硬盘坏道或文件系统索引损坏

故障处理建议：重新安装 *** 作系统

硬件启动类故障

故障：加电开机无反应，电源指示灯不亮

故障原因：电源故障

解决方案：更换电源

故障：开机后“滴滴滴”响三声，为内存报警

故障原因：内存条松动或故障，查看BIOS是否识别到所有内存

解决方案：尝试拔插内存&更换内存

故障：开机一段时间后频繁重启

故障原因：CPU风扇故障导致cpu过热

解决方案：更换cpu风扇

功能介绍：

设备在运行过程中，会发生各种状态变化如链路状态 UP、DOWN 等，也会遇到一些事件如收到异常报文、处理异常等。锐捷产品日志提供一种机制，在状态变化或发生事件时，就自动生成固定格式的消息（日志报文），这些消息可以被显示在相关窗口（控制台、VTY 等）上或被记录在相关媒介（内存缓冲区、FLASH）上或发送到网络上的一组日志服务器上，供管理员分析网络情况和定位问题。同时为了方便管理员对日志报文的读取和管理，这些日志报文可以被打上时间戳和序号，并按日志信息的优先级进行分级。

一、组网需求

设备运行出现异常时，管理员可以通过设备log信息查看设备异常原因，帮助分析及定位故障原因

二、配置要点

1、日志开关

2、开启日志显示在VTY 窗口上

3、配置日志在内存中的缓存空间

4、日志记录到flash

5、日志信息发送到网络上的 Syslog Sever

6、启用日志信息时间戳

三、配置步骤

1、日志开关

日志开关默认情况下是打开的，如果关闭日志开关，设备将不会在用户窗口打印日志信息，不会将日志信息发送给 Syslog 服务器，也不会将日志信息记录在相关媒介（内存缓冲区、FLASH）上。

Ruijie(config)#logging on      //打开日志开关

Ruijie(config)#no logging on          //关闭日志开关，一般情况下，不建议关闭日志开关

2、开启日志显示在VTY 窗口上

注意：

telnet、ssh远程登陆到设备上，默认不显示日志信息，若需要打印出日志信息 需要开启 terminal monitor 命令

Ruijie#terminal monitor           //开启日志信息显示在VTY窗口上

Ruijie#terminal no monitor      //关闭日志信息显示在VTY窗口上

3、配置日志在内存中的缓存空间

Ruijie(config)#logging buffered 1000000  7     //1000000代表日志在内存中缓存空间为1000000byte（日志信息超过设定值后，会覆盖老的日志信息），7代表记录所有日志（包括debug信息）

4、日志记录到flash

Ruijie(config)#logging file flash:log 6000000  7     //6000000代表日志在内存中缓存空间为6000000byte（日志信息超过设定值后，会覆盖老的日志信息），7代表记录所有日志（包括debug信息）

说明：

在设备运行出现异常，需要收集日志信息时，建议把日志信息记录到flash（默认日志只记录到内存中，设备掉电或重启后日志信息会丢失）

5、日志信息发送到网络上的 syslog sever

Ruijie(config)#logging server 192.168.1.2       //192.168.1.2 为Syslog Sever的地址

Ruijie(config)#logging trap 7       //（可选）配置哪些日志信息发往Syslog Sever，7代表记录所有日志（包括debug信息）

Ruijie(config)#logging source interface loopback 0     //（可选）配置设备发送Syslog报文的源ip地址

说明：

在设备运行出现异常，需要收集日志信息时，建议把发送到网络上的 Syslog Sever（默认日志只记录到内存中，设备掉电或重启后日志信息会丢失）

6、启用日志信息时间戳

Ruijie(config)#service timestamps debug datetime msec         //对debug信息启用时间戳

Ruijie(config)#service timestamps log datetime msec           //对普通log信息启用时间戳

---