我正在尝试监控我的华硕路由器生成的日志,以便能够对某些事件做出反应。
一些有趣的事件来自无线局域网控制器事件守护进程(wlceventd),例如 Disassoc - 设备正在离开 Wi-Fi:
wlceventd: wlceventd_proc_event(511): eth7: Disassoc AB:CD:EF:01:23:45, status: 0, reason: Disassociated because sending station is leaving (or has left) BSS (8), rssi:0
我注意到 wlceventd_proc_event 似乎指示了记录的事件类型。511
似乎总是 Disassoc 事件。
我一直在尝试查找 wlceventd 日志的规格。AsusWRT-Merlin 源代码存储库仅包含 wlceventd 的二进制文件。
wlceventd_proc_event 有哪些类型?日志行的结构是怎样的?有哪些不同的部分,例如 eth7、status、rssi?
答案1
欢迎加入社区。
日志消息的结构为:
- 源(wlceventd 守护进程)
- 消息类型(wlceventd_proc_event)
- 事件 ID (511)不同设备/制造商/版本等的 ID 并不统一
- 活动地点(eth7)系统用来识别此无线电的 ID。这也不是标准化的,ethN 只是此系统对它们的引用。
- 事件(客户端 AB:CD:EF:01:23:45 解除关联)
- 事件状态(0 = 成功)
- 事件原因(客户端离开 AP 提供的基本服务集)
- 当前 RSSI(接收信号强度指示器)由于客户端离开了 BSS,无线电不再接收来自它的信号,因此 RSSI = 0。
消息中最相关的部分从事件位置开始。原因和状态代码由 802.11 标准化。
- 此 Cisco Meraki 页面描述802.11关联过程。
- 阿鲁巴岛页面显示原因和状态代码 - 这些基本上是可能的事件类型。如果网络使用 RADIUS、TACACS 或类似方式对客户端/用户进行身份验证,则还会出现 802.1X 身份验证事件。
- 这里是思科社区给出的原因和状态代码 - 更清晰,但缺少 Aruba 页面提供的额外信息。请注意,许多“不支持”的解释仅指特定的思科设备。