​​syslog到底要记哪些东西？​​
你肯定见过交换机突然抽风，但查日志时啥记录都没有的抓狂情况。华为设备默认只记录critical级别的日志，得手动调成info级别才能看到详细过程。重点盯住这三个模块：端口状态变更、MAC地址表刷新、STP拓扑变化。某次机房环路故障，就是靠syslog里每分钟500条port up/down记录锁定问题的。

​​配置日志服务器要注意啥？​​
别以为填个IP地址就完事，这些参数错一个都白瞎：

• 端口号必须用514（部分防火墙会封非标端口）
• 传输协议选UDP（TCP模式需要额外license）
• 日志格式必须选RFC3164标准
  去年某银行配置时漏选时间戳时区，结果凌晨三点日志全显示成15:00，查错查得人崩溃。

​​这些命令你肯定用得到​​
跟着敲就对了：

markdown复制
info-center loghost 192.168.1.100 port 514  
info-center source default loglevel informational  
info-center timestamp debugging short-date  

第二条命令最容易漏——不给日志源开权限，服务器收不到任何信息。记得在接口视图下补条log trap enable，否则网口状态变化不会触发告警。

​​怎么验证配置生效了？​​
三步检测法：

1. 本地执行display info-center看状态是否为active
2. 在交换机疯狂插拔网线，观察服务器是否收到port down日志
3. 用抓包软件过滤UDP514端口，看是否有明文日志
   某运维团队曾因服务器防火墙没放行，白等三天日志，后来用Wireshark抓包才发现根本没数据出去。

​​日志爆满怎么办？​​
遇到存储空间警告时，紧急处理方案：

1. 临时调低日志级别到warning：logbuffer level 4
2. 开启自动覆盖功能：info-center logfile overwrite
3. 按特征过滤垃圾日志：info-center filter loghost facility local5
   某电商平台大促期间日志暴涨，靠第三招过滤了80%的冗余信息，硬盘使用率从95%降到62%。

​​时间不同步有多要命？​​
日志时间错乱堪比灾难现场！必须做这两件事：

1. 配置NTP服务器同步时间：ntp-service unicast-server 192.168.1.200
2. 强制写入时区信息：clock timezone BJ add 08:00:00
   华北某数据中心曾因时区设置错误，故障时间戳显示成UTC时间，导致定位延误4小时。

​​高级玩家都玩转发策略​​
想精准分类日志？试试这两个骚操作：

• 给不同业务VLAN打标记：log facility local4
• 指定日志类型走特定服务器：

markdown复制
info-center loghost source Vlanif10 10.1.1.1  
info-center loghost source Vlanif20 10.1.1.2  

某跨国企业用这招把财务和办公日志分流，审计效率提升三倍。

小编现在给客户配置必开日志压缩功能，用info-center loghost compress命令能省30%带宽。但切记别开加密传输，那个功能吃性能能让万兆交换机掉到千兆水平。记住啊，日志不是摆设，关键时刻能救命的！