用路由器日志快速定位及排除故障

　　等号(=):表示只记录目前这一等级，其上的等级不要记录。例如上面的例子，平常写下info等级时，也会把位于info等级上面的notice.err.warning、crit、alert、emerg等其他等级也记录下来。但若你写=info则就只有记录info这一等级了。

　　惊叹号(!):表示不要记录目前这一等级及其上的等级。

　　3、记录存放的位置

　　sysloqd提供下列方法供您记录系统发生的事件:

　　一般文件

　　这是最普遍的方式。你可以指定好文件路径与文件名称，但是必须以目录符号"/"开始，系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件，系统会自动产生一个。

　　指定的终端机或其他设备

　　你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机，则目前正在使用该终端机的使用者就会直接在屏幕上看到系统信息(例如/dev/conso旧或是/dev/tty1，你可以拿一个屏幕专门来显示系统信息)。若将系统记录写到打印机(例如/dev/!p0)。，则你会有一长条印满系统记录的纸，这样网络入侵者就不能修改日志来隐藏入侵痕迹。

　　指定的远端主机

　　如果你不将系统信息记录在本地机器上，你可以写下网络中另一个主机的名称，然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.int，但被你指定的主机上必须要有sysloqd)。这可以防止由于硬盘错误等情况使日志文件丢失。

　　以上就是syslog各项记录程度及记录方式的写法，可以依照自己的需求记录下自己所需要的内容。但是这些记录都是一直追加上去的，除非将文件自行删除掉，否则这些文件就会越来越大。Syslog设备是一个网络攻击者的显著目标，通过修改日志来隐藏入侵痕迹，因此我们要特别注意。最好养成每周(或更短的时间)定期检查一次记录文件的习惯，并将过期的记录文件依照流水号或是日期备份，以后查阅时也比较容易。千万不要记录下*.*，这样无论什么都被记录下来，结果会导致文件太大，要找资料时根本无法马上找出来。有人在记录网络日志时，连谁去ping他的主机都要记录，这样不仅降低系统效率而且增加了磁盘用量。

　　路由器日志功能的具体设置方法

　　首先在UNIX主机上做下列工作，以超级用户注册进入:

    
    其中168.1.1.2为日志主机的IP地址。这样对路由器进行的一些操作将会记录在mail_debug和r2509_debug这两个文件中。