DHCP 日誌分析

2021-09-22 04:33:36 字數 2151 閱讀 1301

dhcp(dynamic host configuration protocol,動態主機配置協議)是一種有效的ip 位址分配手段,現已經被廣泛地應用在各種區域網管理。它能動態地向網路中每台計算機分配唯一的ip 位址,並提供安全、可靠、簡單和統一的tcp/ip網路配置,確保不發生ip位址衝突。當在伺服器上啟用dhcp後,我們希望了解服務的運**況,希望看到詳細日誌。可以通過下面的命令了解到dhcp server的日誌檔案在什麼地方。以rhel系統為例,命令如下:

#rpm –ql dhcp-server

dhcp服務的預設日誌不會輸出到指定檔案,而是和nfs服務一樣,輸出到/var/log/messages檔案中,成了日誌的大雜燴,不便於分辨,也不便於查詢故障,一旦messages檔案遭到破壞,dhcp的日誌也跟著受影響。

對於以上日誌我們可以把在1.2節學到的指令碼放到這裡進行分析。還有沒有其他什麼檔案,記錄了dhcp的分配ip的資訊呢?那就是/var/lib/dhcp/db/dhcpd.leases檔案,它記錄了客戶機分配ip的詳細資訊。下面我們通過乙個例子解讀一下。

客戶機每次獲取位址後會產生如下資訊:

lease 192.168.150.207

每當發生租約變化的時候,都會在檔案結尾新增新的租約記錄,也就是說這個檔案是在不斷變化的。

表1做出解釋。

表1 dhcp日誌含義

引數

含義

lease

租用ip

starts

開始時間

end

結束時間

tstp

指定租約過期時間

cltt

客戶端續約時間

binding state

租約繫結狀態自由(

free

)、啟用(active)

hardware ethernet

客戶機網絡卡

mac位址

uid

客戶端識別符號由三位八進位制表示用於與

mac匹配

client-hostname

客戶機名稱

從上面分析看到,dhcp伺服器的日誌在messages和dhcpd.leases裡分別有一部分都不全面,如何將dhcp的日誌專門轉儲到特定檔案中呢?下面介紹一種方法。

假設我們需要將日誌記錄在/var/log/目錄下,我們先touch乙個dhcp.log檔案。

1).建立dhcp.log檔案

#touch /var/log/dhcp.log

#chmod 640 /var/log/dhcp.log

2).修改/etc/dhcpd.conf配置檔案,然後儲存並退出。(注意不同linux發行版配置檔案路徑有所不同)

log-facility local4;

3).在/etc/rsyslog.conf檔案中新增

local4.* /var/log/dhcp.log

注意要把下面這行語句登出

local4,local5.* -var/log/localmessages;rsyslog_traditionalfileformat

重啟dhcp服務即可生效,這時的日誌檔案就是dhcp伺服器出現故障後排除錯誤的乙個重要基礎資料。所以,我們還需要定期對這個日誌檔案作好備份工作。否則,當這個日誌意外丟失後,我們就很難查清dhcp伺服器的故障。

另外,對於windows server 平台dhcp日誌,請參考

更多日誌分析精彩實戰請參考《unix/linux網路日誌分析與流量監控》一書

日誌 遠端日誌 日誌輪詢 DHCP

日誌 etc init.d syslog start 啟動系統日誌 tail f var log messages 系統日誌 var log 日誌存放位置 日誌配置檔案 etc syslog.conf 日誌物件.日誌級別 日誌檔案 日誌級別越低資訊越詳細 man 5 syslog.conf 常見日誌...

DHCP報文分析

1 dhcp報文結構 2 dhcp報文圖示 操作 用來指出這個資料報是dhcp請求還是dhcp回覆 跳數 中繼 用來幫助尋找dhcp服務,通過中繼應該hop會加1 事務id 用來匹配請求和響應的乙個隨機數 標記 dhcp客戶端能夠接受的流量型別 單播 廣播以及其他 3 dhcp協議 在早期bootp...

DHCP之簡要分析

dhcp之簡要分析 www.2cto.com 1 發現階段,即dhcp客戶端尋找dhcp伺服器的階段。客戶端以廣播方式傳送dhcp discover報文。2 提供階段,即dhcp伺服器提供ip位址的階段。dhcp伺服器接收到客戶端的dhcp discover報文後,根據ip位址分配的優先次序選出乙個...