syslog監控華爲交換機

• syslog協議

    syslog也是個cs結構的協議，走UDP方式，與snmp的get、set方式不同，其結構更近似snmp的trap，也就是採用被動接受方式。在被監控上有個產生消息的agent，在監控端有個server進行偵聽。

    syslog是個簡單的協議，主要定義了個報文結構（rfc3164）。報文由報頭（PRI part、Header Part）和報體（MSG part）組成。PRI part是用“<”、“>”包起來的ASCII數值，接收程序中處理成整數後，前面5個bit表示來源（Facilities），後3個bit表示嚴重性（Severity）。Header Part主要是時間。MSG part就是內容了。報文是ASCII碼的字符串。

http://www.networkdictionary.cn/Protocol/Syslog-Protocol.php底部可下載rfc3164.pdf

    該協議雖簡單，但麻煩就來源於簡單。由於協議中未給出詳細的規定，各家廠商都有自己的Header Part、MSG part結構。這樣解析消息時間、內容都不相同。

    例如：華爲交換機的格式爲:

<189>Jun 7 05:22:03 2003 Quidway IFNET/6/UPDOWNine protocol on interface Ethernet0/0/0, changed state to UP

 

cicso格式爲：

<189>931: *Sep 11 20:07:26: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down

 

•   交換機配置

華爲：

>sys

>info-center loghost xxx.xxx.xxx.xxx     //監控端IP

>info-center channel 2    //往哪個通道輸出消息。缺省情況下，通道0～9的名稱分別爲console，monitor，loghost，trapbuffer，logbuffer，snmpagent，channel6，channel7，channel8，channel9。

>info-center enable //啓動

>dis  info-center   //查看配置

cicso:

>config terminal

>logging xxx.xxx.xxx.xxx

>logging facility local7 //將Facilities>local7消息都報告

>logging source-interface xxxx.xxx.xxx.xxx //指定本設備發送消息時用的IP

>logging on   //啓動

•  編程
  syslog用的是UDP方式，直接用jdk的java.net包下的類就成。

package com.lingtong.agent.syslogd; import java.io.IOException; import java.net.DatagramPacket; import java.net.DatagramSocket; import java.net.SocketException; import java.util.logging.Logger; import com.lingtong.agent.db.DBPool; public class SyslogServer extends Thread { final static Logger logger = Logger.getLogger(SyslogServer.class.getName()); private static final int IN_BUF_SZ = (8 * 1024); // private static final int SYSLOG_PORT = 514; private boolean socketOpen; private int port; private DatagramSocket inSock; private DatagramPacket inGram; private byte[] inBuffer; private SyslogConfig configuration; // private FeedbackDisplayer feedback; public SyslogServer() { this(SyslogDefs.DEFAULT_PORT); } public SyslogServer(int port) { super(); this.port = port; socketOpen = false; inBuffer = null; inGram = null; // feedback = null; configuration = null; } public SyslogConfig getConfiguration() { return configuration; } public void setConfiguration(SyslogConfig configuration) { this.configuration = configuration; } public void startupServices() { try { inSock = new DatagramSocket(port); inBuffer = new byte[SyslogServer.IN_BUF_SZ]; socketOpen = true; } catch (SocketException ex) { ex.printStackTrace(); logger.severe("-------->創建偵聽端口" + port + "出錯！！！"); interrupt(); } } public void shutdownServices() { if (socketOpen) { inSock.close(); socketOpen = false; } } public void finalize() { logger.info("---------->終止服務...."); shutdownServices(); } public void run() { //int packetCount = 0; logger.info("---------->啓動服務...."); startupServices(); logger.info("---------->開始偵聽...."); for (;;) { try { inGram = new DatagramPacket(inBuffer, inBuffer.length); inSock.receive(inGram); } catch (IOException ex) { ex.printStackTrace(); logger.warning("--------->讀取端口數據錯誤!"); break; } String msgBuf = new String(inGram.getData(), 0, inGram.getLength()); //++packetCount; String hostName = inGram.getAddress().getHostName(); logger.info("<---------數據包["+hostName+":" + inGram.getLength() + "]" + msgBuf); if (hostName == null) hostName = "localhost"; processMessage(msgBuf, hostName); } finalize(); } /** * 根據IP獲取配置並解析消息結構，最後提交處理 * @param message * @param hostName */ public void processMessage(String message, String ip) { try { ConfigEntry entry= configuration.getConfigEntry(ip); if (entry!=null){ entry.processMessage(ip,message); } }catch(Exception e){ e.printStackTrace(); } } static public void main( String argv[] ){ //建立數據庫連接池 DBPool pool = DBPool.getInstance(); pool.initPool((String)argv[0]); //讀取配置 SyslogConfig config = new SyslogConfig(); config.loadConfiguration((String)argv[0]); SyslogServer server = new SyslogServer(); server.setConfiguration( config ); //Thread thread= new Thread(server); server.start(); } }