如何认识日志、利用日志

　　事实上，在很多案例中可以发现，一个企业的网络管理员每天有接近一半的时间被花费在处理信息上面，这只是例行的日志阅读工作，其次他们往往还需要抽出一些时间(甚至加班)来对这些信息进行深入的分析，以发现系统中的安全隐患。

　　要想利用好日志，必须要了解日志、认识日志，更要熟悉日志结构，这样才能很快就能提取所需相关信息，来处理相关的网络故障。网络设备毕竟不是人脑，对日志的描述不是很生动。为了让网络设备自己收集运行状态信息，往往会给其设置固定的格式。一般来说，同一个品牌的产品，虽然其产品类型不同，但是，其格式往往是固定的。日志信息都有其固定的开头符号。在产品中，一般都是以%开头。参数PIX表示设备消息的功能代码，即这条日志消息对应的是设备中一种功能，如是访问控制列表发出的，还是VPN服务器发出的。参数-level表示日志消息级别的严重性，这个数字越小说明日志所反映的信息越严重。参数-Message-Number表示这个信息所对应的唯一数字标号。一般我们在遇到难以解决的问题时，可以利用这个数字编号去网络上寻求帮助。而参数Message-Text，则是对情况的一般性描述。有时候，这个描述中，会显示IP地址、端口以及用户名等有用信息。 把一些网络设备日志的固定格式做成了小卡片。当有需要的时候，可以及时拿过来看。不过当你看多了，就自然而然会熟悉这个格式。这在刚开始接触一个牌子的设备的时候，非常有用。例如：前段时间，我们网络经常出现有丢包现象，把所有怀疑的故障点都逐步排除，故障现象依然存在。发生的丢包现象，不是整个网络，而是部分vlan内用户有问题，也不是经常，在一个时间段内网络正常，有间断性。后来发现交换机有这样一条告警信息：

　　An alarm 512 level 4 cleared at 16:01:26 05/23/2008 UTC sent by MCP %PORT% Interface up on fei_1/15

　　从这个告警信息上看，级别为4，发生在fei_1/15接口，端口上有漂移现象，当出现这种告警时，就会出现一段时间丢包现象，说明该接口下网络有故障。