交换机日志信息里提示配置改变的案例分析

交换机日志信息里提示配置改变的案例分析

一、       组网：

无。

二、       问题描述：

某客户的交换机设备上打印如下日志信息:

%Jul 19 11:15:16:246 2010 K-RMDS-SW HWCM/4/TRAPLOG:

        1.3.6.1.4.1.25506.2.4.2.1 configure changed:

 EventIndex=18,CommandSource=2,ConfigSource=4,ConfigDestination=2

客户发现日志里提示配置改变“configure changed”，但客户明确表示并没有人对配置做过改动，甚至报日志的时间点，客户根本没有登录到设备。因为设备位置比较重要，客户联系我们要弄清楚这条日志的意义以及这条日志产生的根本原因。

三、       过程分析：

针对此信息，我们可以看到，这是一条由设备本身产生的Trap日志信息，我们的设备平台会在以下列表所列出的情况下打印此类配置改变的Trap信息，这包含对配置的一些Copy、Save等操作，并不一定非得真正产生配置改变的时候才打印。

CommandSource	ConfigSource	ConfigDestination	事件说明
cmdLine(1) / snmp(2)	commandSource(3)	startupData(4)	覆盖当前启动配置文件的Copy操作
cmdLine(1) / snmp(2)	erase(1)	startupData(4)	当前启动配置文件为源文件的Delete/Rename/Move操作
cmdLine(1) / snmp(2)	local(5)	startupData(4)	当前启动配置文件为目的文件的Rename/Move操作
cmdLine(1) / snmp(2)	netFtp(6)	startupData(4)	当前启动配置文件为目的文件的FTP/TFTP GET操作
cmdLine(1)	runningData(2)	startupData(4)	Save
cmdLine(1)	runningData(2)	local(5)	Save + filename
cmdLine(1)	erase(1)	startupData(4)	Reset saved-configuration
cmdLine(1)	commandSource(3)	runningData(2)	命令行用户进入系统视图
cmdLine(1)	hotPlugging(7)	runningData(2)	发生热插拔（目前不支持）
snmp(2)	commandSource(3)	runningData(2)	SNMP SET操作
snmp(2)	startupData(4)	runningData(2)	十分钟CCHK配置改变（包括获取运行Buildrin失败）；startup2Running操作
snmp(2)	runningData(2)	startupData(4)	running2Startup操作
snmp(2)	netFtp(6)	runningData(2)	net2Running操作（FTP/TFTP）
snmp(2)	runningData(2)	netFtp(6)	running2Net操作（FTP/TFTP）
snmp(2)	netFtp(6)	startupData(4)	net2Startup操作（FTP/TFTP）
snmp(2)	startupData(4)	netFtp(6)	startup2Net操作（FTP/TFTP）

对列表中部分操作含义说明如下：

running2Startup，把当前运行的配置保存到下次启动配置文件中，相当于执行save命令。如果下次启动配置文件不存在，则创建一个默认的配置文件并把当前配置保存到其中（不同型号的产品创建的文件的名称可能不同）；

startup2Running，用下次启动配置文件更新系统当前配置，即执行该配置文件中的内容。如果当前启动的配置文件不存在，则操作失败并返回错误码；

running2Net，把当前系统运行的配置通过网络发送到远端服务器指定位置的文件中；

net2Running，用从网络上通过某种文件传输协议获取的配置文件更新当前系统的配置，即在Agent上执行一次该配置文件；

net2Startup，用从网络上通过某种文件传输协议获取的配置文件替代当前启动配置文件的内容，并将该文件设置为下次启动配置文件。如果当前启动的配置文件不存在，则创建一个默认的配置文件来保存传过来的文件内容（不同型号的产品创建的文件的名称可能不同）；

startup2Net，把下次启动配置文件通过某种文件传输协议传送到网络上指定的位置。如果当前启动的配置文件不存在，则操作失败并返回错误码；

在弄明白上述列表的内容含义之后，我们再回过头来看客户设备里打印的日志信息：

%Jul 19 11:15:16:246 2010 K-RMDS-SW HWCM/4/TRAPLOG:

        1.3.6.1.4.1.25506.2.4.2.1 configure changed:

 EventIndex=18,CommandSource=2,ConfigSource=4,ConfigDestination=2

通过查询上面的表我们可以查到客户日志信息的含义，此日志对应表项中的这一条：

snmp(2)

startupData(4)

runningData(2)

十分钟CCHK配置改变（包括获取运行Buildrin失败）；startup2Running操作

CommandSource=2 意味着这是通过SNMP网管进行的操作；

ConfigSource=4 ：表示 startupdata

ConfigDestination=2：表示 runningData

因此这条日志表示通过SNMP进行的每十分钟check配置或通过snmp  执行startup2Running 操作用下次启动配置文件更新系统当前配置，即执行该配置文件中的内容。

四、       解决方法：

此日志并非异常日志，是网管相关操作导致，可以建议客户检查相关网管操作。