跳转到主内容
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

事件转发到 syslog 服务器

Views:
125
Visibility:
Public
Votes:
1
Category:
ontap-9
Specialty:
core
Last Updated:

可不使用  

适用场景

  • ONTAP 9
  • Data ONTAP 8.3

问题解答

  • 本文包含常见的系统日志操作和故障排除工作流列表。
    • 但是,这并不是一个全面的列表。
  • 这可用于缩小搜索范围,使其搜索范围更广泛,更广泛地使用故障排除知识库文章,并细分为特定类别。

概述

  • EMS 事件遵循系统日志标准,因为它们可以转发到系统日志服务器进行实时监控。
  • 日志是由集群模式 Data ONTAP 操作系统生成并记录在集群上纯文本文件中的事件触发的消息,其严重性不等。
  • 日志是管理员, NetApp 支持和 AutoSupport™ 系统的主要资源,用于确定和隔离各种问题的根本原因。
  • 可以使用多种不同的方法收集,查看和转发日志。
    • 本文将讨论系统日志。
  •  系统日志是为计算机消息日志记录定义的标准。
  • 此标准由 RFC 5424 中的 IETF 定义。系统日志定义了软件如何格式化和发送消息,以便管理员可以正确监控软件的行为,并利用可接收和分析已发送消息的工具。
  • 由于此标准已获得普遍认可,因此管理员可以实时监控支持系统日志转发的所有资产。
  • 系统日志消息标有一个设施代码,用于指示生成此消息并分配严重性的过程或应用程序。

如何配置系统日志转发

7- 模式和集群模式 Data ONTAP 之间的差异
 
7-模式
  • 在 Data ONTAP 7- 模式中, syslogd 守护进程会将系统消息记录到控制台,日志文件以及其配置文件 /etc/syslog.conf 指定的其他远程系统。
  • syslogd 守护进程在启动操作步骤期间启动时或修改 /etc/syslog.conf 文件后 30 秒内读取其配置文件。
  • 有关配置文件格 [1]式的信息,请参见 na_syslog.conf ( 5 )。
  • 7- 模式中的配置文件示例
  # Log all kernel messages, and anything of level err or
  # higher to the console.
  *.err;kern.*                 /dev/console
 
  # Log anything of level info or higher to /etc/messages.
  *.info                        /etc/messages
 
  # Also log the messages that go to the console to a remote
  # loghost system called adminhost.
  *.err;kern.*                  @adminhost
 
  # Also log the messages that go to the console to the local7
  # facility of another remote loghost system called adminhost2
  # at level info.
  *.err;kern.*                  local7.info@adminhost2
 
  # The /etc/secure.message file has restricted access.
  auth.notice                   /etc/secure.message
 

 
集群模式 Data ONTAP
  •  在集群模式 Data ONTAP 中, /etc/syslog.conf 文件已弃用。
  • 因此,远程系统日志主机的内容由设置控制。
  • 系统日志可以使用 event route 和 event destination 命令进行设置。
ONTAP 9
在 ONTAP 9.x 中更改为 EMS 配置和事件通知系统
  • EMS 操作已针对 ONTAP 9.0 进行了重新设计。
  • 9.0 中已弃用 ‘event route ' 和 ‘event destination ' 命令系列。
  • 现在,可以使用 event notification 命令设置通知 
从 8.3.x 升级

升级到 ONTAP 9.0 后,请使用 EMS 配置快速指南重新配置 EMS 通知。

  • 要删除当前配置,请执行以下操作:
::>event route remove-destinations -message-name !callhome.* -destinations *
::>event route modify -message-name callhome.* -destinations asup
 
什么是系统日志转换器?

已知错误
特定故障现象可能因您的配置和 Data ONTAP 版本而异

错误: NFS mountd 跟踪消息未登录 /etc/messages 或未记录到控制台。
故障排除
  • 在对系统日志相关问题进行故障排除时,最常见的问题指向:
    • 配置问题
    • 与系统日志服务器的连接
    • 对于配置问题:
      •  有关其他帮助,请查看设置指南和相关文章
    • 对于连接测试:
      • 如果在系统日志服务器上未收到消息时遇到问题,则可以使用一个免费的数据包捕获程序,例如, wiwire.
      • 通过此程序,可以捕获发送到网络接口卡( NIC )的数据包。通过筛选和分析此流量,您将能够确定网络设备是否正在向系统实际发送预期信息
要进行设置:
  1. Wireshark 下载并安装该程序
  2. 使用 " 捕获 " 菜单打开 " 捕获选项 " 表单。
  3. 选择 NIC 并定义一个捕获筛选器,用于查找发送到 UDP 端口 514 (默认系统日志端口)的所有数据包。
  4. 按 " 开始 " 按钮,此时您将看到正在发送的数据包。
  5. 停止捕获并查看数据。它应显示协议为 Syslog 的数据包。
  6. 如果未收到任何消息,请使用 ping 和 traceroute 命令检查与系统日志服务器的连接。
 
ONTAP 9
  • 在 9.x 中,您可以运行以下命令来验证是否已创建 EMS 消息,并验证与系统日志服务器的连接。
::>event notification destination check
::>event notification history show
  • event notification destination check命令会通过向目标发送测试消息来检查与目标的连接。
    • 必须已使用 event notification destination 命令配置目标。
    • 命令将显示一个结果,指示消息是否已成功发送到目标。
    • 如果发生故障,可以在 notifyd.log 文件中找到更详细的信息。
    • 注意:目前,此命令只能检查与 Rest API 类型的目标的连接。
  • event notification history show 命令可显示已发送到通知目标的事件消息列表。
    • 命令为每个事件显示的信息与 event log show 命令显示的信息相同。
    • 此命令显示发送到通知目标的事件,而 event log show 命令则显示已记录的所有事件。

 

Scan to view the article on your device