前言

随着教育城市网络的发展，网络设备、用户数量和应用类型不断增加，网络管理者不仅要管理网络设备，还要分析网络运行情况。如果你想为用户提供一个安全可靠的网络环境，这对网络管理者来说是一个更高的挑战。面对这种情况，依靠单一的日志收集很难全面监控和管理网络工作状态。

日志收集内容及方法

日志采集内容：日志主要结合网络管理的需要进行采集，一般需要采集设备MIB库信息、设备Syslog信息、数据流量镜像和网络flow流信息。

以天津教育科研网为例，网络管理软件需要基于SNMP收集设备MIB库信息来完成设备管理和监控；网络设备本身的Syslog对网络管理也非常重要，可以填补设备密布库中没有信息，如设备硬件报警和设备应用异常；网络分析软件基于网络七层结构分析数据流，然后收集完整的网络流量，即镜像流量；网络flow流可以提供网络带宽等信息，便于收集和处理。

日志采集方式

MIB库数据采集：MIB库数据采集主要是网络管理软件根据SNMP协议读取设备团队字来完成数据采集。设备配置案例如下：

snmp-agent

snmp-agent local-engineid 80006A20370BAEF04B5

snmp-agent community write TJRW

snmp-agent community read TJpublic

snmp-agent sys-info version all

设置可写团队字为TJRW，可读团队字为TJPublic，允许所有SNMP版本。

Syslog数据采集：Syslog数据采集主要依靠网络设备将Syslog信息推送到日志分析服务器，设备配置案例如下：

info-center loghost 192.168.1.2

192.168.168.168.192.168.168.1.2。

网络flow流采集

网络flow流量采集主要是利用NETFlow协议将网络设备接口流量取样后发送到采集服务器，设备配置案例如下：

set forwarding-options sampling input rate 300

set forwarding-options sampling input run-length 0

set forwarding-options sampling input maximum-packet-length 9192

set forwarding-options sampling family inet output flow-server 192.168.1.2 port 2056

set forwarding-options sampling family inet output flow-server 192.168.1.2 version 5

取样比为1：192.168.168.1300采样数据发送到采集服务器.2.

镜像流量采集：镜像流量采集主要采用网络设备将运行中的接口流量以1为主：1比例输出到指定端口，完成取样分析。设备配置案例如下：

set interfaces xe-0/3/0 unit 0 family inet filter output port JINGXIANG

set forwarding-options port-mirroring instance JINGXIANG input rate 1

set forwarding-options port-mirroring instance JINGXIANG input run-length 0

set forwarding-options port-mirroring instance JINGXIANG family inet output interface xe-0/0/0.0 next-hop 192.168.1.1

将接口xe-0/3/0流量镜像到接口xe-0/0/0。

教育城市网络管理日志采集设计

本部分以天津教育科研网为例，结合应用需求，从设备MIB库信息、设备Syslog信息、数据流量镜像、网络流量信息四个方面进行部署实施。扑结构如下：

设备MIB库数据采集:设备MIB库信息主要为网络管理软件提供监控信息。这部分比较简单，可以配置网络中要管理的设备，所有信息都可以通过网络管理软件进行汇总呈现。这部分主要可以监控网络设备的运行状态，如设备CPU、温度、接口状况、接口流量等。

设备Syslog数据采集：设备Syslog信息可用于记录路由器、交换机、服务器，IDS，系统管理人员可以通过查看系统日志来找出错误的原因。Syslog是一种工业标准协议，得到了更多制造商产品的支持。Syslog协议的数据表达形式简洁明了，其消息存储方式灵活。它不仅可以保存在本地文件中，还可以通过一定的设备通过网络将Syslog消息发送到Syslog服务器中。本文采用Syslog协议在系统中添加设备，将Syslog消息统一发送到Syslog服务器进行分析。本部分主要实现网络硬件问题和异常运行的发现和处理。

网络flow流量数据采集:本文主要用于网络客户流量统计分析。基于NETFlow协议，网络边界设备出口流量以flow的形式发送到网络统计分析软件进行分析，结合客户IP地址组完成流量总结和呈现，主要解决天津教育城网用户基于时间的流量监控问题。数据流量镜像采集:与上述三种日志采集相比，网络镜像需要更多的应用，涉及网络安全、加速和分析。相应的业务系统包括入侵检测设备、DDOS防御设备、CACHE设备和流量分析软件。

如果业务系统所需的所有镜像流量都来自边界路由设备，则存在以下问题：（1）对设备性能是一个挑战。（2）占用核心网络设备接口。（3）占用核心设备之间的光纤链路资源。为了解决上述问题，我们使用分流设备，分流器可以根据应用程序的不同需要进行数据精细分流、过滤处理，实现多接口负载平衡算法，确保所需的流量平衡导出到每个后端设备。通过分流器的合理部署，我们需要边界网络路由设备只将出口流量镜像转移到分流器上，分流器可以将不同类型的镜像转移到应用分析设备上，以解决多应用网络镜像过程中遇到的问题。

结语

随着网络的发展，网络管理将进一步深化，不同的业务分析系统将更加完善，合理的网络日志采集可以更好地为网络管理者提供网络管理的基本条件。