我正在嘗試監視華碩路由器產生的日誌,以便我可以對某些事件做出反應。
一些有趣的事件來自無線 LAN 控制器事件守護程序 (wlceventd),例如 Disassoc - 裝置正在離開 Wi-Fi:
wlceventd: wlceventd_proc_event(511): eth7: Disassoc AB:CD:EF:01:23:45, status: 0, reason: Disassociated because sending station is leaving (or has left) BSS (8), rssi:0
我注意到 wlceventd_proc_event 似乎指示了記錄的事件類型。似乎511總是發生 Disassoc 事件。
我一直在嘗試尋找 wlceventd 日誌的規格。 AsusWRT-Merlin 來源儲存庫僅包含 wlceventd 的二進位檔案。
wlceventd_proc_event 有哪些型別?日誌行的結構是什麼?有哪些不同的部分,例如 eth7、狀態、RSSI?
答案1
歡迎來到社區。
日誌訊息的結構為:
- 來源(wlceventd 守護程式)
- 訊息類型(wlceventd_proc_event)
- 事件 ID (511)ID 未在裝置/製造商/版本/等之間標準化
- 活動地點(eth7)系統用來識別此無線電的 ID。這也不是標準化的,ethN 只是這個系統對它們的稱呼。
- 事件(客戶端 AB:CD:EF:01:23:45 解除關聯)
- 事件狀態(0 = 成功)
- 事件原因(客戶端離開 AP 提供的基本服務集)
- 當前 RSSI(接收訊號強度指示器)當客戶端離開 BSS 時,無線電不再接收來自它的訊號,因此 RSSI = 0。
訊息中最相關的部分從事件位置開始。原因和狀態代碼由 802.11 標準化。
- 此思科 Meraki 頁面描述 802.11 關聯過程。
- 此阿魯巴島頁面顯示原因和狀態代碼 - 這些基本上是可能的事件類型。如果網路使用 RADIUS、TACACS 或類似方式對用戶端/使用者進行身份驗證,則也會出現 802.1X 驗證事件。
- 這裡是來自 Cisco 社群的原因和狀態代碼 - 更清晰,但缺乏 Aruba 頁面提供的額外資訊。請注意,許多「不支援」解釋僅指特定的 Cisco 設備。