DHCP 日志分析

?? DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一種有效的IP 地址分配手段，現(xiàn)已經(jīng)被廣泛地應(yīng)用在各種局域網(wǎng)管理。它能動(dòng)態(tài)地向網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)分配唯一的IP 地址，并提供安全、可靠、簡(jiǎn)單和統(tǒng)一的TCP/IP網(wǎng)絡(luò)配置，確保不發(fā)生IP地址沖突。當(dāng)在服務(wù)器上啟用DHCP后，我們希望了解服務(wù)的運(yùn)行情況，希望看到詳細(xì)日志。可以通過(guò)下面的命令了解到dhcp server的日志文件在什么地方。以RHEL系統(tǒng)為例，命令如下：

#rpm –ql dhcp-server

?? DHCP服務(wù)的默認(rèn)日志不會(huì)輸出到指定文件，而是和NFS服務(wù)一樣，輸出到/var/log/messages文件中，成了日志的大雜燴，不便于分辨，也不便于查找故障，一旦messages文件遭到破壞，DHCP的日志也跟著受影響。

?

??? 對(duì)于以上日志我們可以把在1.2節(jié)學(xué)到的腳本放到這里進(jìn)行分析。還有沒(méi)有其他什么文件，記錄了DHCP的分配IP的信息呢？那就是/var/lib/dhcp/db/dhcpd.leases文件，它記錄了客戶(hù)機(jī)分配IP的詳細(xì)信息。下面我們通過(guò)一個(gè)例子解讀一下。

客戶(hù)機(jī)每次獲取地址后會(huì)產(chǎn)生如下信息：

Lease 192.168.150.207 {

?? Starts 12012/12/31 11:23:32

?? End? 1 2012/12/31 11:25:32;

?? Tstp? 1 2012/12/31 11:25:32;

?? Cltt? 1 2012/12/31 11:25:32;

?? Bindingstate free;

?? Hardwareethernet? 00:0c:29:51:b3:d9;

?? Uid“\001\000\014)Q\263\331”;

?Client-hostname “l(fā)inux-5jlv”;

}

?? 每當(dāng)發(fā)生租約變化的時(shí)候,都會(huì)在文件結(jié)尾添加新的租約記錄，也就是說(shuō)這個(gè)文件是在不斷變化的。表1做出解釋。

表1 DHCP日志含義

參數(shù)	含義
Lease	租用IP
starts	開(kāi)始時(shí)間
end	結(jié)束時(shí)間
tstp	指定租約過(guò)期時(shí)間
cltt	客戶(hù)端續(xù)約時(shí)間
Binding state	租約綁定狀態(tài)自由（free）、激活（active）
Hardware ethernet	客戶(hù)機(jī)網(wǎng)卡MAC地址
UID	客戶(hù)端標(biāo)識(shí)符由三位八進(jìn)制表示用于與MAC匹配
Client-hostname	客戶(hù)機(jī)名稱(chēng)

??? 從上面分析看到，DHCP服務(wù)器的日志在messages和dhcpd.leases里分別有一部分都不全面，如何將DHCP的日志專(zhuān)門(mén)轉(zhuǎn)儲(chǔ)到特定文件中呢？下面介紹一種方法。

假設(shè)我們需要將日志記錄在/var/log/目錄下，我們先touch一個(gè)dhcp.log文件。

1）.創(chuàng)建dhcp.log文件

#touch /var/log/dhcp.log

#chmod 640 /var/log/dhcp.log

2）.修改/etc/dhcpd.conf配置文件，然后保存并退出。（注意不同Linux發(fā)行版配置文件路徑有所不同）

log-facility local4;

3）.在/etc/rsyslog.conf文件中添加

Local4.* /var/log/dhcp.log

注意要把下面這行語(yǔ)句注銷(xiāo)

Local4,local5.*?-var/log/localmessages;RSYSLOG_TraditionalFileFormat

重啟DHCP服務(wù)即可生效，這時(shí)的日志文件就是DHCP服務(wù)器出現(xiàn)故障后排除錯(cuò)誤的一個(gè)重要基礎(chǔ)數(shù)據(jù)。所以，我們還需要定期對(duì)這個(gè)日志文件作好備份工作。否則，當(dāng)這個(gè)日志意外丟失后，我們就很難查清DHCP服務(wù)器的故障。

另外，對(duì)于Windows Server 平臺(tái)DHCP日志，請(qǐng)參考http://support.microsoft.com/kb/298367/zh-cn。

?

更多日志分析精彩實(shí)戰(zhàn)請(qǐng)參考《UNIX/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書(shū)

總結(jié)

以上是生活随笔為你收集整理的DHCP 日志分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。