PIX防火墙日志的保存

　　如何保存日志 　　

　　1、PIX端　　

　　在一般情况下，PIX的日志功能是禁用的。为了启动日志功能，需要使用logging on命令，并把日志发送到某一台日志服务器上。　

　　如：　　

　　net(config)# logging on　　

　　net(config)# logging trap debugging　　

　　net(config)#logging history debugging　　

　　net(config)#logging host inside a.b.c.d （就是日志服务器的地址）　　

　　以下是PIX日志级别　

　　level ?指定系统日志消息等级为一个数字或字符串。你指定的level表示你想显示该等级或低于该等级的系统日志消息。例如，如果level为3，则系统日志显示0，1，2和3级消息。可取的数字和字符串值为：　　

　　l 0——emergencies——系统不可用消息。　　

　　l 1——alerts——立即采取行动。　　

　　l 2——critical——关键状态。　　

　　l 3——errors——出错消息。　　

　　l 4——warrings——警告消息。　　

　　l 5——notifications——正常但有特殊意义的状态。　　

　　l 6——informational——信息消息。　　

　　l 7——debugging——调试消息和FTP命令及WWW URL记录。　　

　　2、日志服务器，推荐使用linux自带的syslog。 我用的是radhat 7.2　　

　　需要修改如下几个文件：　　

　　a、新建/var/log/目录，其实这个目录随便在哪都行，需要一块大点的地方。　　

　　b、修改：/etc/syslog.conf　　

　　增加：　　

　　# PIX Firewall syslog messages　　

　　local4.level /var/log/pixlog　

　　#pixlog是一个文件名，不是目录名　　

　　#注意：local4.level 写的时候，应该改成local4.debug，这是保存日志的级别　　

　　#local4是设备号，一般的syslog server可以支持8个网络设备发送日志，也就是说，其他的路由器、交换机也可以做日志到该服务器。只要保证local号不同就可以分开保存了。　　

　　c、修改：/etc/sysconfig/syslog文件，　　

　　SYSLOGD_OPTIONS="-rx -m 0"　　

　　d、增加：/etc/logrotate.conf　　

　　# system-specific logs may be also be configured here.　　

　　#/var/log/pixlog要和上面的一样。　　

　　/var/log/pixlog{　

　　daily 　　

　　#表示每天一次，可以用weekly等，具体的请看：man logrotate　

　　create　　

　　rotate 10　　

　　#表示10天一循环　　

　　sharedscripts　　

　　postrotate　

　　/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null ||

　　true　　

　　endscript　　

　　}