在锐捷交换机的日常运维和管理中,查看命令日志是一项关键操作,它能够帮助管理员追溯历史操作、排查故障、审计安全行为等,命令日志通常包括用户登录记录、执行的命令历史、系统日志中的操作事件等,本文将详细介绍锐捷交换机查看命令日志的多种方法,涵盖本地查看、日志服务器集中管理以及高级审计功能,并结合实际场景说明操作步骤和注意事项。
查看本地历史命令记录
本地历史命令记录是指当前登录会话或设备本地的命令缓存,适用于快速回顾当前或近期的操作命令。
查看当前会话历史命令
在用户视图(>)或系统视图([])下,可通过display history-command
命令查看当前登录会话中已执行的历史命令,默认情况下,交换机会缓存最近执行的命令(数量通常为10-100条,具体取决于设备型号和配置)。
操作示例:
Ruijie> display history-command display history-command display version display current-configuration save quit
说明:
- 命令按执行时间倒序排列,最新执行的命令显示在最前面。
- 若需清空当前会话的历史命令,可在用户视图下执行
reset history-command
(需管理员权限)。
查看全局历史命令缓存
部分锐捷交换机支持全局历史命令缓存,即即使退出登录后重新登录,仍可查看之前执行过的命令,需通过history size
命令设置缓存大小,并在系统视图下启用。
配置与查看步骤:
- 进入系统视图,设置历史命令缓存大小(最大支持256条,默认为0,即不保存):
Ruijie> enable Ruijie# configure terminal Ruijie(config)# history size 100
- 保存配置后,后续所有登录会话的命令均会缓存,可通过
display history-command
查看全局历史命令。
查看用户登录与操作日志
用户登录日志记录了登录交换机的用户名、登录时间、登录方式(Console、Telnet、SSH等)、IP地址等信息,结合命令日志可完整还原操作轨迹。
查看当前在线用户
通过display users
命令可查看当前登录交换机的用户列表,包括用户名、登录时间、登录方式和源IP地址。
操作示例:
Ruijie> display users User-Interface Username IP Address AccessType Network Address LoginTime 0 admin 192.168.1.100 telnet 192.168.1.100 2023-10-01 14:30:00 1 monitor - console - 2023-10-01 15:45:00
字段说明:
User-Interface
:用户接口编号,0代表VTY(远程登录),1代表Console(本地登录)。AccessType
:登录方式,如telnet、ssh、console等。LoginTime
:登录时间,精确到秒。
查看历史登录记录
锐捷交换机默认不保存历史登录记录,需通过配置日志功能将登录信息记录到系统日志缓冲区或日志服务器,具体方法见本文“三、查看系统日志中的命令操作相关条目”。
查看系统日志中的命令操作相关条目
系统日志(Syslog)是交换机记录各类事件(包括命令执行、错误告警、状态变化等)的集中记录,可通过过滤命令操作相关的日志条目,追溯历史命令。
查看系统日志缓冲区
交换机内置日志缓冲区(Logbuffer),用于存储最近的日志条目,可通过display logbuffer
命令查看。
操作示例:
Ruijie> display logbuffer Syslog Logging: enabled Buffer Size: 4096 Logging Level: informational Timestamp: 2023-10-01 15:50:00 Ruijie %%01IFNET/5/UPDOWN: Interface Vlan1 is up Timestamp: 2023-10-01 15:51:30 Ruijie %%01CFG/6/CONFIG_I: Configured by admin from 192.168.1.100, command: interface Vlan1 Timestamp: 2023-10-01 15:52:00 Ruijie %%01CFG/6/CONFIG_I: Configured by admin from 192.168.1.100, command: ip address 192.168.1.1 255.255.255.0
说明:
- 日志级别包括
emergencies
(紧急)、alerts
(严重)、critical
( critical)、errors
(错误)、warnings
(警告)、notifications
(通知)、informational
(信息)、debugging
(调试),默认级别为informational
。 - 命令操作相关的日志通常以
%%01CFG/6/CONFIG_I
为标识,其中CFG
表示配置类日志,6
表示informational
级别,CONFIG_I
表示配置信息。
过滤命令操作日志
若需精准查看命令执行日志,可在display logbuffer
后结合| begin
、| include
、| exclude
等参数进行过滤。
示例:
- 查看所有包含“command”的日志:
Ruijie> display logbuffer | include command Configured by admin from 192.168.1.100, command: interface Vlan1 Configured by admin from 192.168.1.100, command: ip address 192.168.1.1 255.255.255.0
- 查看从指定时间开始的日志(需日志支持时间戳过滤):
Ruijie> display logbuffer | begin 2023-10-01 15:50:00
配置日志级别与缓冲区大小
若需记录更详细的命令操作日志,需调整日志级别和缓冲区大小:
Ruijie(config)# info-center loghost level debugging # 设置日志级别为调试级(记录所有命令) Ruijie(config)# info-center logbuffer size 8192 # 设置缓冲区大小为8KB(默认4KB)
通过日志服务器集中查看命令日志
当交换机数量较多时,通过本地查看日志效率低下,可配置日志服务器(如Syslog服务器、ELK平台等),将所有交换机的日志(含命令日志)集中存储和分析。
配置日志服务器
在系统视图下,通过info-center loghost
命令指定日志服务器的IP地址和端口(默认UDP 514):
Ruijie(config)# info-center loghost 192.168.1.200 port 514 Ruijie(config)# info-center source default channel loghost # 将默认日志通道发送至服务器
说明:
- 日志服务器需配置允许接收交换机的UDP 514端口数据。
- 可通过
display logging
查看日志服务器配置状态:Ruijie> display logging Loghost: 192.168.1.200, Port: 514, Status: UP Channel: loghost, Facility: local7
在日志服务器中查看命令日志
登录日志服务器(如Linux系统的Syslog服务器),使用grep
命令过滤交换机发送的命令操作日志:
grep "CONFIG_I" /var/log/syslog | grep "192.168.1.100" # 过滤来自IP 192.168.1.100交换机的命令日志
或使用日志分析工具(如Graylog、ELK)可视化展示命令操作轨迹。
查看审计日志(高端型号支持)
对于锐捷高端交换机(如RG-S系列),支持审计日志功能,可记录更详细的命令执行信息,包括命令执行时间、用户、权限、命令内容等,满足合规性审计需求。
启用审计日志功能
Ruijie(config)# info-center audit log enable # 启用审计日志 Ruijie(config)# info-center audit log buffer size 16384 # 设置审计缓冲区大小
查看审计日志
通过display auditlog
命令查看审计日志:
Ruijie> display auditlog Timestamp: 2023-10-01 16:00:00 User: admin Action: Executed Command: display interface Timestamp: 2023-10-01 16:01:00 User: admin Action: Executed Command: configure terminal Timestamp: 2023-10-01 16:01:30 User: admin Action: Executed Command: interface GigabitEthernet0/0/1
常用命令日志查看方法总结
为方便快速查阅,以下将核心命令及功能整理为表格:
命令/功能 | 功能描述 | 适用视图 |
---|---|---|
display history-command |
查看当前或全局历史命令 | 用户/系统视图 |
display users |
查看当前在线用户信息(登录时间、方式、IP等) | 用户视图 |
display logbuffer |
查看系统日志缓冲区,含命令操作记录 | 用户视图 |
display logging |
查看日志服务器配置状态 | 用户视图 |
display auditlog |
查看审计日志(高端型号,含详细命令执行信息) | 用户视图 |
info-center loghost |
配置日志服务器IP和端口 | 系统视图 |
info-center logbuffer |
设置日志缓冲区大小和级别 | 系统视图 |
注意事项
- 权限要求:部分命令(如
reset history-command
、info-center
相关配置)需管理员权限(enable
模式)。 - 日志覆盖风险:日志缓冲区大小有限,当日志量超过缓冲区容量时,旧日志会被覆盖,建议及时导出或配置日志服务器。
- 型号差异:不同型号的锐捷交换机(如RG-S系列与RG-N系列)在命令支持上可能存在差异,建议参考对应型号的《命令参考手册》。
- 安全性:命令日志可能包含敏感信息(如配置命令、IP地址),需妥善保管,避免未授权访问。
相关问答FAQs
Q1:为什么执行display history-command
后,部分近期执行的命令没有显示?
A:可能原因包括:① 命令缓冲区大小不足,旧命令被覆盖,可通过history size
命令增大缓存(如history size 200
);② 当前用户权限不足,普通用户可能无法查看所有历史命令;③ 交换机重启后,未保存的历史命令会丢失,需重新执行命令后才会记录,建议检查缓冲区配置并确保登录账户具有管理员权限。
Q2:如何将交换机的命令日志保存到外部服务器(如FTP/TFTP)?
A:可通过以下步骤实现:① 在系统视图下配置文件传输功能(如ftp server
或tftp server
);② 使用copy
命令将日志缓冲区或配置文件导出至服务器,示例:
Ruijie(config)# ftp server 192.168.1.200 username admin password password123 Ruijie(config)# exit Ruijie# copy logbuffer ftp://192.168.1.200/logs/switch_log.txt # 将日志缓冲区导出至FTP服务器
导出后,可通过FTP客户端从服务器下载日志文件进行备份或分析。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/21045.html