演示目标：配置网络环境中的交换机和路由器将日志发送到syslog日志服务器。

演示环境：如下图10.54所示的演示环境。

演示背景：要求部署网络中的syslog服务器，集中的收集交换机S1和路由器R1所产生的日志，并且使用协议分析器，分析日志文件的构成和传输形式。

演示步骤：

第一步：完成基础配置，其中包括为交换机S1和路由器R1配置接口地址，必须确保交换机和路由器都能成功的与日志服务器192.168.3.100通信。

路由器R1上的基础配置：

R1(config)#interface e1/0

R1(config-if)#ip address 192.168.4.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)#interface e1/1

R1(config-if)#ip address 192.168.3.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

在交换机S1上的基础配置：

S1(config)#interface vlan 1

S1(config-if)#ip address 192.168.4.100 255.255.255.0 *为交换机配置网络管理IP

S1(config-if)#no shutdown

S1(config-if)#exit

S1(config)#ip route 0.0.0.0 0.0.0.0192.168.4.1 *为交换机指定默认网关

注意：必须正确的在交换机S1上完成配置，保证交换机能成功的与日志服务器192.168.3.100通信，否则交换机S1所产生的日志将无法发送到192.168.3.100，事实上，此时的交换机S1在日志收集这个行为中，它就是一台被网络管理的IP结点，VLAN1接口上的IP地址192.168.4.100就是它的管理地址，而默认路由中的下一跳192.168.4.1就是交换机S1的默认网关。

第二步：现在开始在日志服务器192.168.3.100上安装日志软件（kiwi syslog），在安装时需要注意，如下图10.54所示，选择将syslog以一个服务进行安装，而不是以应用程序，将syslog以一个服务进行安装时，不需要用户登陆windows系统，它就可以运行。

安装完成后，如下图10.55所示，配置日志服务器所使用的IP地址、端口和日志的编码格式，默认情况下syslog使用UDP514号端口，请保持默认的日志编码格式。在完成上述配置后，打开日志的mange菜单，选择“start the syslogd service”以启动syslog服务。如下图10.56所示。

第三步：配置交换机S1和路由器R1支持日志功能，并将它们所产生的日志发送到日志服务器192.168.3.100上。具体配置如下：

配置交换机S1发送日志到192.168.3.100

S1(config)#logging on   *启动日志功能

S1(config)#logging host 192.168.3.100transport udp port 514  *申明日志服务器的IP和端口

S1(config)#logging source-interface vlan 1  *申明发送日志的更新源接口

配置交换机R1发送日志到192.168.3.100

R1(config)#logging on

R1(config)#logging host 192.168.3.100transport udp port 514

R1(config)#logging source-interface e1/1

第四步：现在来验证，交换机S1和路由器R1是否能将本地生产的日志成功的发送到日志服务器，你可以在交换机S1或者路由器R1的全局配置模式下，通过执行exit退出全局配置模式，就可以产生相关的日志。然后再到日志服务器192.168.3.100查看syslog服务，如下图10.57所示，syslog服务器成功的收集到S1和R1的日志。

如果你在产生日志的同时开启了协议分析器，那么可以捕获到如下图10.58所示的日专协议数据帧，可清晰的看出发送日志的源主机和接收日志的目标主机，使用的端口号，日志的具体内容等，默认情况下日志是没有被加密的，以明文的行式体现。

本文转自 kingsir827 51CTO博客，原文链接：http://blog.51cto.com/7658423/1331801，如需转载请自行联系原作者