مقدمه

در شبکه‌های سازمانی و مراکز داده، ثبت و مدیریت رویدادها (Logging) یکی از پایه‌های حیاتی برای عیب‌یابی، امنیت و پایش عملکرد شبکه است. تجهیزات سیسکو (Routers, Switches, Firewalls) امکانات متنوعی برای ثبت لاگ‌ها ارائه می‌دهند که به مدیران شبکه امکان می‌دهد فعالیت‌ها، خطاها و هشدارها را کنترل کنند.

این مقاله به بررسی انواع Logging در سیسکو، روش مشاهده لاگ‌ها، سطوح Severity، و نحوه پاک کردن آن‌ها می‌پردازد.


1. انواع Logging در تجهیزات سیسکو

سیسکو چند روش اصلی برای ثبت لاگ‌ها ارائه می‌دهد که هرکدام کاربرد و محدودیت‌های خاص خود را دارند:

1.1 Console Logging

  • تعریف: ارسال لاگ‌ها به پورت کنسول دستگاه برای مشاهده در زمان واقعی.

  • ویژگی‌ها:

    • مناسب راه‌اندازی اولیه و عیب‌یابی سریع.

    • لاگ‌ها در حافظه RAM ذخیره نمی‌شوند و فقط روی کنسول نمایش داده می‌شوند.

  • دستور فعال‌سازی:

    Router(config)# logging console
  • مثال کاربرد: مشاهده خطاهای مرتبط با پیکربندی یا راه‌اندازی Interfaces.


1.2 Terminal Logging (Monitor)

  • تعریف: ارسال لاگ‌ها به ترمینال‌های متصل از طریق SSH یا Telnet.

  • ویژگی‌ها:

    • مشاهده لحظه‌ای رویدادها بدون نیاز به اتصال فیزیکی.

    • نیازمند فعال‌سازی دستور terminal monitor روی Session است.

  • دستور فعال‌سازی:

    Router# terminal monitor

1.3 Buffered Logging

  • تعریف: ذخیره لاگ‌ها در حافظه داخلی (RAM) دستگاه.

  • ویژگی‌ها:

    • دسترسی سریع به آخرین رویدادها.

    • با راه‌اندازی مجدد دستگاه، لاگ‌ها پاک می‌شوند مگر ذخیره شوند.

    • حجم بافر قابل تنظیم است.

  • دستور فعال‌سازی و مشاهده:

    Router(config)# logging buffered 4096
    Router# show logging
  • مثال کاربرد: بررسی وقایع اخیر در سوئیچ یا روتر برای تشخیص اختلال‌ها.


1.4 Syslog Server Logging

  • تعریف: ارسال لاگ‌ها به سرور Syslog خارجی برای ذخیره بلندمدت.

  • ویژگی‌ها:

    • امکان آرشیو، تحلیل و هشداردهی خودکار.

    • مناسب شبکه‌های بزرگ و محیط‌های تولیدی.

  • دستورات نمونه:

    Router(config)# logging host 192.168.1.100
    Router(config)# logging trap informational
  • نکته: سرور Syslog می‌تواند فایل‌های لاگ را به صورت روزانه، هفتگی یا بر اساس حجم ذخیره کند.


1.5 External Logging (SIEM)

  • تعریف: ارسال لاگ‌ها به سیستم‌های مدیریت امنیت و رویداد (SIEM) یا نرم‌افزارهای تحلیل داده مانند Splunk و ELK Stack.

  • ویژگی‌ها:

    • تحلیل پیشرفته، هشداردهی خودکار و گزارش‌دهی.

    • اغلب با Syslog ترکیب می‌شود.

  • مزیت: امکان شناسایی تهدیدات امنیتی و رخدادهای غیرمعمول شبکه.


2. سطوح Severity در Logging

سیسکو لاگ‌ها را بر اساس Severity Level دسته‌بندی می‌کند (0 بحرانی، 7 اطلاعاتی):

سطح Severity توضیح
0 Emergency وضعیت بحرانی و غیرقابل استفاده دستگاه
1 Alert اقدام فوری نیاز است
2 Critical خطای بحرانی سیستم
3 Error خطای عملیاتی
4 Warning هشدار غیر بحرانی
5 Notification اطلاعات مهم عملکردی
6 Informational اطلاعات عمومی
7 Debug اطلاعات جزئی برای اشکال‌زدایی
  • با دستور زیر می‌توان سطح لاگ‌ها را تنظیم کرد:

    Router(config)# logging trap warnings

3. مشاهده و مدیریت Logها

  • مشاهده بافر داخلی:

    Router# show logging
  • مشاهده Log های Syslog ارسال شده به سرور:

    • باید از طریق رابط مدیریت سرور یا ابزارهای تحلیل (مثل Splunk) انجام شود.

  • مشاهده Log های کنسول یا Terminal:

    Router# terminal monitor

4. پاک کردن Logها در تجهیزات سیسکو

4.1 پاک کردن بافر داخلی

  • دستور اصلی:

    Router# clear logging
  • توضیح: تمام لاگ‌های بافر RAM حذف می‌شوند، اما لاگ‌های ارسال شده به سرور Syslog دست نخورده باقی می‌مانند.

4.2 غیر فعال کردن Console و Terminal Logging

  • برای جلوگیری از نمایش لاگ‌های جدید:

    Router(config)# no logging console
    Router(config)# no logging monitor

4.3 پاک کردن Logهای سرور Syslog

  • لاگ‌های ذخیره‌شده روی سرور خارجی باید از طریق سرور پاک شوند، مثلاً در Linux:

    sudo truncate -s 0 /var/log/syslog

4.4 ذخیره قبل از پاک کردن

  • برای جلوگیری از از دست رفتن اطلاعات:

    Router# copy logging buffered tftp://192.168.1.50/logs.txt

5. نکات حرفه‌ای

  1. پشتیبان‌گیری: قبل از پاک کردن، همیشه نسخه پشتیبان از لاگ‌ها تهیه کنید.

  2. کنترل حجم بافر: برای جلوگیری از پر شدن حافظه، حجم بافر را تنظیم کنید:

    Router(config)# logging buffered 8192
  3. تنظیم سطح Severity: با تنظیم logging trap روی سطح مورد نظر، می‌توان از پر شدن بافر جلوگیری کرد.

  4. ترکیب با Syslog: استفاده همزمان با سرور Syslog برای تحلیل بلندمدت توصیه می‌شود.


جمع‌بندی

سیسکو امکانات متنوعی برای Logging ارائه می‌دهد: از نمایش لحظه‌ای روی کنسول تا ارسال لاگ به سرورهای خارجی و سیستم‌های SIEM. مدیریت صحیح Logها، شامل مشاهده، ذخیره و پاک کردن آن‌ها، برای پایداری، امنیت و تحلیل شبکه حیاتی است. با رعایت نکات حرفه‌ای و تنظیم صحیح بافر و سطح Severity، می‌توان از حجم لاگ‌ها و خطاهای احتمالی جلوگیری کرد.