查看日志前，你漏掉了哪些关键步骤？

查看日志前需明确目标、确认访问权限、准备分析工具、了解日志位置与格式，并备份原始数据确保安全。

路由器是网络的核心设备,其运行日志记录了设备状态、接口变化、协议交互、安全事件以及错误信息等关键数据，对于网络管理员和工程师来说，掌握在命令行界面（CLI）查看这些日志的技能至关重要，它能帮助快速诊断网络故障、监控设备运行状况、进行安全审计和性能优化，本文将详细介绍几种主流品牌路由器（如华为、H3C、思科）在命令行下查看日志的常用方法。

1. 登录路由器： 你需要通过控制台（Console）线、Telnet或SSH等方式登录到路由器的命令行界面，这通常需要管理员级别的用户名和密码。
2. 进入系统视图/特权模式： 在大多数路由器上，查看日志需要进入特定的配置模式（如华为/H3C的系统视图）或特权执行模式（如思科）。
   • 华为/H3C： 登录后通常处于用户视图 (<RouterName>)，输入 system-view 或 sys 进入系统视图 ([RouterName])，查看日志通常可以在用户视图或系统视图下进行，但更详细的配置需要在系统视图。
   • 思科： 登录后通常处于用户执行模式 (Router>)，输入 enable 或 en，然后输入特权密码，进入特权执行模式 (Router#)，查看日志主要在此模式下进行。
3. 了解日志缓冲区： 路由器通常将最近的日志信息存储在内存的一个特定区域，称为“日志缓冲区”（Logging Buffer），这是最常用、最快速的查看方式，缓冲区大小有限，旧日志会被新日志覆盖。
4. 了解日志文件： 部分路由器支持将日志保存到设备的存储介质（如Flash、CF卡）或外部的日志服务器（Syslog Server），查看文件需要相应的文件系统操作权限。

主流品牌路由器查看日志命令详解

华为路由器 (VRP系统)

• 查看日志缓冲区内容 (最常用)：

  • display logbuffer 或简写 dis logb
  • 这会显示日志缓冲区中存储的所有日志条目,按时间倒序排列（最新的在最上面）。
  • 常用参数：
    • level <级别>： 按日志级别过滤，级别包括：emergencies (0), alert (1), critical (2), errors (3), warnings (4), notifications (5), informational (6), debugging (7)。dis logb level warnings 只显示警告及以上级别的日志。
    • size <行数>： 指定显示最近多少行日志。dis logb size 50 显示最近50行。
    • reverse： 按时间正序显示（最旧的日志先显示）。
    • | include <关键词>： 使用管道符过滤包含特定关键词的日志行。dis logb | include OSPF 查找所有包含“OSPF”的日志。
    • | exclude <关键词>： 排除包含特定关键词的日志行。
    • | begin <关键词>： 从包含特定关键词的行开始显示。
    • | more： 分页显示，按空格键翻页，按回车键下一行，按 q 退出。
  • 示例： display logbuffer level errors size 20 | include GigabitEthernet0/0/1 (显示最近20条包含“GigabitEthernet0/0/1”的错误级别日志)

• 查看保存到文件的日志 (如果配置了保存)：

  • 首先进入日志文件所在的目录视图（通常是 flash:/logfile/ 或类似路径）：
    • cd flash:/logfile/
  • 然后使用 dir 命令查看目录下的日志文件列表。
  • 使用 more <filename.log> 命令查看文件内容，同样可以使用 | include 等管道符过滤。more huawei.log | include %LINK-3-UPDOWN.

• 实时监控日志 (类似tail -f)：

  • terminal monitor (确保终端监控已开启，默认通常是开启的)
  • terminal logging (确保日志输出到终端已开启)
  • debugging <具体模块或协议> (谨慎使用！Debug命令会产生大量日志，可能影响性能，仅用于临时故障排查)
  • 开启debug后,新的相关日志会实时显示在终端上，务必在排查结束后使用 undo debugging all 或 undo debugging <具体模块或协议> 关闭所有debug！

H3C/新华三路由器 (Comware V7系统)

• 查看日志缓冲区内容 (最常用)：

  • display logbuffer 或简写 dis logb
  • 功能、参数和用法与华为的 display logbuffer 高度相似，同样支持 level, size, reverse, | include, | exclude, | begin, | more 等。
  • 示例： display logbuffer level warning | exclude Vlan-interface | more (显示警告级别日志，排除包含“Vlan-interface”的条目，并分页显示)

• 查看保存到文件的日志 (如果配置了保存)：

  • 进入文件系统视图：cd flash:/ (或其他存储路径)
  • 查看文件：dir 查看文件列表，more <filename.log> 查看内容并过滤。

• 实时监控日志：

  • terminal monitor (确保开启)
  • terminal logging (确保开启)
  • debugging <具体模块或协议> (谨慎使用！)
  • 排查后务必 undo debugging all。

思科路由器 (IOS/IOS XE系统)

• 查看日志缓冲区内容 (最常用)：

  • show logging 或简写 sh log
  • 这是思科查看日志缓冲区的标准命令。
  • 常用参数/过滤方法：
    • show logging | include <关键词>： 过滤包含关键词的日志行。
    • show logging | exclude <关键词>： 排除包含关键词的日志行。
    • show logging | begin <关键词>： 从包含关键词的行开始显示。
    • show logging | section <关键词>： 显示包含关键词的“节”（通常用于特定接口或协议的大段日志）。
    • 思科命令本身没有直接的 level 或 size 参数，但可以通过 | include 结合日志级别关键词（如 %LINEPROTO-5-UPDOWN, %LINK-3-UPDOWN，其中数字3、5代表级别）来过滤，或者结合 | last <行数> (在部分IOS版本中支持) 或 | tail <行数> (在IOS XE中更常见) 来限制行数。
    • show logging 后按回车会持续显示，按 Ctrl+C 中断，也可以使用 show logging | more 分页。
  • 示例：
    • show logging | include %LINEPROTO-5-UPDOWN (查找所有接口协议状态变化的日志)
    • show logging | include OSPF | exclude adjacency (查找包含“OSPF”但不包含“adjacency”的日志)
    • show logging | last 30 (显示最后30行日志 – 部分版本支持)
    • show logging | tail 30 (显示最后30行日志 – IOS XE)

• 查看保存到内部存储的日志 (如果配置了保存)：

  • show flash: 查看Flash中的文件列表，查找日志文件（如 logfile.txt）。
  • more flash:logfile.txt 或 more nvram:logfile 查看文件内容，同样可以使用 | include 等管道符过滤。more flash:logfile.txt | include %BGP-5-ADJCHANGE.

• 实时监控日志：

  • terminal monitor (确保开启 – 在用户或特权模式下执行)
  • logging console (确保日志输出到控制台已开启 – 在全局配置模式下配置，通常默认开启)
  • debug <具体协议或命令> (谨慎使用！)
  • 开启debug后,新的相关日志会实时显示在终端上，务必在排查结束后使用 undebug all 或 no debug all 关闭所有debug！

通用技巧与注意事项

1. 理解日志级别： 日志级别从高到低（严重到普通）通常为：Emergency(0), Alert(1), Critical(2), Error(3), Warning(4), Notice(5), Informational(6), Debug(7)，查看时根据问题严重性选择合适的级别过滤，避免信息过载，重点关注 Error(3) 和 Warning(4) 级别。
2. 善用过滤 (| include/exclude/begin): 这是最强大的工具，能快速定位关键信息，结合接口名、协议名、IP地址、错误代码等进行精准搜索。
3. 时间戳是关键： 日志条目通常包含精确的时间戳，注意时区设置是否正确，这对于关联多个设备上的事件至关重要，在排查问题时，记录下故障发生的大致时间，然后查看该时间点前后的日志。
4. Debug命令的谨慎使用： debug 命令是强大的诊断工具，但它会消耗大量CPU和内存资源，可能严重影响路由器性能甚至导致设备不稳定，务必：
   • 只在必要时使用。
   • 尽可能精确指定要debug的模块或协议（如 debug ip ospf events 而不是 debug ip ospf all）。
   • 在非业务高峰时段使用。
   • 使用后立即关闭 (undo debugging all / undebug all)。
   • 考虑将debug输出重定向到日志缓冲区或文件,而不是终端，避免刷屏： (华为/H3C: info-center logbuffer; 思科: logging buffered <size> 配合 debug 命令)。
5. 配置日志保存： 定期将日志缓冲区内容保存到文件或发送到外部Syslog服务器是良好的运维习惯，防止重要日志被覆盖丢失，这需要在系统视图（华为/H3C）或全局配置模式（思科）下配置。
6. 查阅官方文档： 不同型号、不同版本的设备，命令细节可能略有差异，遇到不确定的命令或参数时，使用 查看帮助（如 display logbuffer ?），或查阅对应品牌和型号的官方配置指南/命令参考手册。

熟练掌握在命令行下查看路由器日志是网络运维人员的基本功,通过 display logbuffer (华为/H3C) 或 show logging (思科) 命令，结合强大的过滤功能，你可以高效地从海量日志信息中提取出诊断网络问题、监控设备状态所需的关键线索，请始终牢记谨慎使用 debug 命令，并养成定期备份和归档日志的良好习惯，通过实践这些方法，你将能更自信地管理和维护你的网络基础设施。

引用说明：

• 本文档中涉及的命令语法和功能描述,主要参考了以下厂商的官方文档和通用实践：
  • 华为技术有限公司. 华为路由器产品文档 (VRP系统). [华为企业支持网站]
  • 新华三技术有限公司. H3C路由器产品文档 (Comware V7系统). [新华三官网技术支持]
  • Cisco Systems, Inc. Cisco IOS/IOS XE Command Reference. [Cisco DevNet 或 Cisco Support Documentation]
• 关于日志级别 (Syslog Severity Levels) 的定义参考了 IETF RFC 5424 (The Syslog Protocol).
• 网络运维最佳实践部分参考了通用的 ITIL 和网络管理框架原则。