Syslog, est une façon normalisée (ou protocole) de produire et d’envoyer des informations de journaux et d’événements à partir de systèmes Unix/Linux et Windows (qui produit des journaux d’événements) et de dispositifs (routeurs, pare-feu, commutateurs, serveurs, etc.) sur le port UDP 514 vers un collecteur centralisé de messages de journaux/d’événements qui est connu comme un serveur Syslog.
L’une des principales raisons pour lesquelles Syslog a été si largement accepté dans toute l’industrie était sa simplicité – Il y a peu ou pas d’uniformité ou de normalisation quand il s’agit du contenu qu’un dispositif, un serveur ou un système d’exploitation est écrit et envoie des informations de journal.
Il envoie et transporte simplement des messages sur le protocole Syslog sans accusé de réception (d’où l’utilisation d’UDP).
En outre, il n’y a pas d’exigences complexes entre le dispositif d’envoi et le serveur de réception/collecte, car les messages Syslog sont simplement envoyés, qu’il y ait ou non un récepteur configuré à l’autre bout.
Les bases
- Définition et aperçu
- Ports et couche OSI
- Collecteur et serveur
- Parties du message/paquet Syslog
.
Définition et aperçu
Syslog est l’abréviation de » System Logging Protocol, » et est utilisé sur des appareils tels que les routeurs, les commutateurs, les pare-feu, les points d’accès wifi, les serveurs Unix/Linux (les serveurs Windows utilisent les journaux d’événements, qui peuvent être utilisés en conjonction avec un serveur Syslog) et d’autres appareils réseau.
Il est utilisé pour stocker des événements ou des messages de journal localement dans le périphérique et envoyer les informations sur les événements/journaux à un collecteur (autrement appelé serveur Syslog) pour collecter, organiser et filtrer tous les journaux et les données.
Simplement, un serveur ou un autre périphérique réseau sur votre réseau peut être configuré pour générer des messages Syslog/événements et les transmettre à un serveur Syslog (ou Daemon), ce qui permet ensuite aux administrateurs réseau de suivre et de surveiller ces périphériques en réseau de toute question ou problème qui doit être pris en charge immédiatement.
Un message/événement est envoyé de l’appareil à un collecteur (ou serveur) en utilisant UDP, qui est un protocole sans connexion.
Les messages sont généralement du texte et ne dépassent généralement pas 1024 octets.
Puisqu’ils sont envoyés en utilisant UDP, aucun accusé de réception de transmission ou d’arrivée n’est envoyé à l’expéditeur, ce qui signifie que si un paquet se perd pendant la transmission, il a disparu !
Un Serveur/Daemon vous permet de collecter, filtrer, organiser, configurer des alertes pour certains événements à partir d’un emplacement dans votre réseau.
Avoir toutes les données d’information des journaux en un seul endroit vous donne également la possibilité de créer des rapports élaborés, des diagrammes et des graphiques pour visualiser certains aspects de vos systèmes et de votre infrastructure.
Port et couche OSI
Syslog fait partie de la couche Transport du modèle OSI, utilisant le protocole User Datagram (UDP) pour transporter/transférer des informations sur le réseau.
Numéro de port Syslog : UDP 514
Serveur/Daemon ou Collecteur Syslog
Le Serveur/Daemon écoute les messages Syslog qui lui sont envoyés, mais contrairement à d’autres protocoles de surveillance, tels que SNMP, le serveur ne peut pas Demander l’envoi d’informations depuis un Appareil, car le protocole ne prend pas en charge ce type de comportement.
Simplement, c’est comme regarder la télévision en direct, ce qu’ils vous montrent en direct est ce que vous obtenez, vous ne pouvez pas demander qu’ils vous montrent autre chose, c’est une diffusion à sens unique.
Il est recommandé que les serveurs Syslog soient fortement équipés avec de grandes quantités d’espace disque, de CPU et de mémoire pour exécuter des rapports plus importants et avoir un long historique des journaux provenant de plusieurs périphériques, ainsi que pour conserver les événements/journaux plus anciens à des fins historiques.
Collecter, compiler et calculer de grandes quantités de données, ainsi que configurer des alertes et des moniteurs est une partie très importante pour s’assurer que vous connaissez l’état de votre réseau et des composants qui le constituent.
Qu’est-ce qui constitue un message/paquet Syslog
Un paquet Syslog est constitué de 3 parties et ne peut pas dépasser 1 204 octets (ou 1 Ko) :
- PRI – Valeur de priorité
- HEADER – En-tête
- MSG – Message
PRI – Valeur de priorité
La valeur de priorité est la première partie du message Syslog, couvrant exactement soit 3, 4 ou 5 caractères et liée par des crochets d’angle (« < » et « > »), et représente la Facilité et laSévérité du message.
Les valeurs de priorité sont calculées comme suit : Valeur de l’installation * 8 + Valeur de la gravité = Valeur de la priorité
Par exemple : si vous obtenez une installation « Système de courrier », la valeur est 2, et une valeur de gravité de 1 (Alerte : une action doit être entreprise immédiatement), alors la valeur de priorité = <> (les valeurs de priorité sont placées entre des crochets d’angle, ou entre des crochets inférieurs et supérieurs).
Les valeurs d’installation et de gravité sont codées numériquement avec des valeurs décimales et les valeurs suivantes leur sont attribuées.
Codes d’installation
Codes d’installation est un composant soit d’une application soit d’un système d’exploitation qui génère un message de journal/événement du tableau ci-dessous :
| Code numérique | Code d’installation | |||
|---|---|---|---|---|
| 0 | messages du noyau | |||
| 1 | messages de niveau utilisateur | |||
| 1 | messages de niveau utilisateur | messages de niveau utilisateur | messages de niveau utilisateur | . | 2 | Système de messagerie |
| 3 | Démons système | 4 | messages de sécurité/d’autorisation | |
| 5 | messages générés en interne par syslogd | 6 | imprimante en ligne. sous-système | 7 | sous-système de nouvelles du réseau | 8 | sous-système UUCP |
| 9 | d’horloge daemon | |||
| 10 | messages de sécurité/autorisation | 11 | Daemon FTP | 12 | NTP subsystem |
| 13 | log audit | |||
| 14 | log alerte | |||
| 15 | démon horloge | |||
| 16 | local use 0 | |||
| 17 | local use 1 | |||
| 18 | local use 2 | |||
| 19 | utilisation locale 3 | |||
| 20 | utilisation locale 4 | |||
| 21 | utilisation locale 5 | |||
| 22 | Utilisation locale 6 | |||
| 23 | Utilisation locale 7 |
Référence : http://www.ietf.org/rfc/rfc3164.txt
Codes de gravité
Les codes de gravité sont un code numérique ou un numéro qui se transforme en un niveau de gravité ou un message. Une liste de Codes numériques et son message correspondant sont mis en évidence dans le tableau ci-dessous :
| Code numérique | Sévérité | |
|---|---|---|
| 0 | Emergence : Le système est inutilisable | Alerte : Des mesures doivent être prises immédiatement | 2 | Critique : Conditions critiques | 3 | Erreur : Conditions d’erreur |
| 4 | Avertissement : Conditions d’avertissement | |
| 5 | Avis : Condition normale mais significative | 6 | Informationnel : messages d’information | 7 | Debug : Messages de niveau débogage |
Référence : http://www.ietf.org/rfc/rfc3164.txt
En-tête
La partie en-tête d’un paquet Syslog contient les informations suivantes :
- Historique – la combinaison de la DATE et de l’HEURE à laquelle le message a été initialement généré (en fonction de l’heure de chaque système individuel). Assurez-vous que l’heure de chaque système est synchronisée afin de maintenir des horodatages appropriés.
- Nom d’hôte ou adresses IP du périphérique réseau
MSG – (partie message du paquet)
La dernière partie du paquet Syslog est le MSG, qui utilisera le reste de l’espace disponible d’un paquet. Le MSG contiendra des informations générées par le périphérique avec des informations concernant le journal ou l’événement. Le MSG contient également 2 champs :
- TAG – indique le processus ou le programme qui a déclenché ou généré le message.
- CONTENT – contient les détails du message.
.