DHCP 日志分析

?? DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）是一種有效的IP 地址分配手段，現已經被廣泛地應用在各種局域網管理。它能動態地向網絡中每臺計算機分配唯一的IP 地址，并提供安全、可靠、簡單和統一的TCP/IP網絡配置，確保不發生IP地址沖突。當在服務器上啟用DHCP后，我們希望了解服務的運行情況，希望看到詳細日志?？梢酝ㄟ^下面的命令了解到dhcp server的日志文件在什么地方。以RHEL系統為例，命令如下：

#rpm –ql dhcp-server

?? DHCP服務的默認日志不會輸出到指定文件，而是和NFS服務一樣，輸出到/var/log/messages文件中，成了日志的大雜燴，不便于分辨，也不便于查找故障，一旦messages文件遭到破壞，DHCP的日志也跟著受影響。

?

??? 對于以上日志我們可以把在1.2節學到的腳本放到這里進行分析。還有沒有其他什么文件，記錄了DHCP的分配IP的信息呢？那就是/var/lib/dhcp/db/dhcpd.leases文件，它記錄了客戶機分配IP的詳細信息。下面我們通過一個例子解讀一下。

客戶機每次獲取地址后會產生如下信息：

Lease 192.168.150.207 {

?? Starts 12012/12/31 11:23:32

?? End? 1 2012/12/31 11:25:32;

?? Tstp? 1 2012/12/31 11:25:32;

?? Cltt? 1 2012/12/31 11:25:32;

?? Bindingstate free;

?? Hardwareethernet? 00:0c:29:51:b3:d9;

?? Uid“\001\000\014)Q\263\331”;

?Client-hostname “linux-5jlv”;

}

?? 每當發生租約變化的時候,都會在文件結尾添加新的租約記錄，也就是說這個文件是在不斷變化的。表1做出解釋。

表1 DHCP日志含義

參數	含義
Lease	租用IP
starts	開始時間
end	結束時間
tstp	指定租約過期時間
cltt	客戶端續約時間
Binding state	租約綁定狀態自由（free）、激活（active）
Hardware ethernet	客戶機網卡MAC地址
UID	客戶端標識符由三位八進制表示用于與MAC匹配
Client-hostname	客戶機名稱

??? 從上面分析看到，DHCP服務器的日志在messages和dhcpd.leases里分別有一部分都不全面，如何將DHCP的日志專門轉儲到特定文件中呢？下面介紹一種方法。

假設我們需要將日志記錄在/var/log/目錄下，我們先touch一個dhcp.log文件。

1）.創建dhcp.log文件

#touch /var/log/dhcp.log

#chmod 640 /var/log/dhcp.log

2）.修改/etc/dhcpd.conf配置文件，然后保存并退出。（注意不同Linux發行版配置文件路徑有所不同）

log-facility local4;

3）.在/etc/rsyslog.conf文件中添加

Local4.* /var/log/dhcp.log

注意要把下面這行語句注銷

Local4,local5.*?-var/log/localmessages;RSYSLOG_TraditionalFileFormat

重啟DHCP服務即可生效，這時的日志文件就是DHCP服務器出現故障后排除錯誤的一個重要基礎數據。所以，我們還需要定期對這個日志文件作好備份工作。否則，當這個日志意外丟失后，我們就很難查清DHCP服務器的故障。

另外，對于Windows Server 平臺DHCP日志，請參考http://support.microsoft.com/kb/298367/zh-cn。

?

更多日志分析精彩實戰請參考《UNIX/Linux網絡日志分析與流量監控》一書

總結

以上是生活随笔為你收集整理的DHCP 日志分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。