Syslog, é uma forma padronizada (ou Protocolo) de produzir e enviar Log e informação de Eventos a partir de sistemas Unix/Linux e Windows (que produz Logs de Eventos) e Dispositivos (Routers, Firewalls, Switches, Servidores, etc) através da porta UDP 514 para um colector centralizado de Log/Evento de Mensagens que é conhecido como Servidor Syslog.
Uma das principais razões porque Syslog foi tão amplamente aceite em toda a indústria foi devido à sua simplicidade – Há pouca ou nenhuma uniformidade ou padronização quando se trata do conteúdo que um Dispositivo, Servidor ou Sistema Operativo é escrito e envia informação de registo.
Simplesmente envia e transporta mensagens através do protocolo Syslog sem aviso de recepção (daí o uso de UDP).
Outras vezes, não há requisitos complexos entre o Dispositivo de Envio e o Servidor de Recepção/Colha, uma vez que as mensagens Syslog são simplesmente enviadas independentemente de haver ou não um Receptor configurado na outra extremidade.
p>
The Basics
- Definition and Overview
- Ports and OSI Layer
- Collector e Servidor
- Mensagem/Syslog/Peças de Pacote
Definição e Visão Geral
Syslog significa “System Logging Protocol” (Protocolo de Registo do Sistema),” e é utilizado em Dispositivos tais como routers, switches, firewalls, pontos de acesso wifi, Servidores Unix/Linux (os servidores Windows utilizam Registos de Eventos, que podem ser utilizados em conjunto com um servidor Syslog) e outros dispositivos de rede.
É utilizado para armazenar eventos ou registar mensagens localmente dentro do dispositivo e enviar a Informação de Eventos/Log a um Colector (também conhecido como Servidor Syslog) para recolher, organizar e filtrar todos os logs e dados.
Simplesmente, um Servidor ou outro dispositivo de Rede na sua rede pode ser Configurado para gerar Syslog/Eventar Mensagens e encaminhá-las para um Servidor Syslog (ou Daemon), o que então permite aos administradores de rede rastrear e monitorizar os dispositivos em rede de quaisquer problemas ou problemas que necessitem de ser atendidos imediatamente.
Uma mensagem/evento é enviado do Dispositivo para um colector (ou Servidor) usando UDP, que é um protocolo sem ligação.
Mensagens são normalmente de texto e normalmente não são maiores do que 1024 bytes.
Desde que sejam enviadas usando UDP, nenhuma recepção de transmissão ou chegada é enviada ao originador, o que significa que se um pacote se perder durante a transmissão, o mesmo desaparece!
Um Servidor/Daemon permite-lhe recolher, filtrar, organizar, configurar alertas para certos eventos a partir de um local dentro da sua rede.
Dados de informação de registo guardados num único local também lhe dá a capacidade de criar relatórios, diagramas e gráficos elaborados para visualizar certos aspectos dos seus sistemas e infra-estrutura.
Divisa de Porta e OSI
Syslog faz parte da camada de Transporte no Modelo OSI, utilizando o Protocolo de Datagrama de Utilizador (UDP) para transportar/transferir informação através da rede.
Número de Porta Syslog: UDP 514
Syslog Server/Daemon ou Collector
O Servidor/Daemon ouve as mensagens Syslog que lhe são enviadas, mas ao contrário de outros protocolos de monitorização, tais como SNMP, o servidor não pode Pedir informação para ser enviada de um Dispositivo, uma vez que o protocolo não suporta esse tipo de comportamento.
Simplesmente, é como ver televisão ao vivo, o que lhe mostram na televisão ao vivo é o que recebe, não pode solicitar que lhe mostrem mais nada, é uma transmissão de sentido único.
Its recomendam que os Servidores Syslog estejam fortemente equipados com grandes quantidades de espaço em disco, CPU e Memória para executar relatórios maiores e ter um longo histórico de logs de múltiplos dispositivos, bem como manter eventos/logs mais antigos para fins históricos.
Colher, compilar e calcular grandes quantidades de dados, juntamente com a configuração de alertas e monitores é uma parte muito importante para se ter a certeza de conhecer o estado da sua rede e os componentes que a compõem.
O que faz uma mensagem/pacote Syslog
Um pacote Syslog é composto por 3 partes e não pode exceder 1.204 bytes (ou 1 Kb):
- PRI – Valor Prioritário
- HEADER – Cabeçalho
- MSG – Mensagem
PRI – Valor Prioritário
O Valor Prioritário é a primeira parte da Mensagem Syslog, abrangendo exactamente 3, 4 ou 5 caracteres e limitado por Angle Brackets (“<” e “>”), e representa a Facilidade e aSeveridade da mensagem.
Valores Prioritários são calculados da seguinte forma: Facility Value * 8 + Severity Value = Priority Value
Por exemplo: se obtiver um “Mail System” Facility, o valor é 2, e um Severity Value de 1 (Alerta: deve ser tomada imediatamente), então o Valor de Prioridade = <> (os valores prioritários estão entre parênteses rectos, ou entre parênteses inferiores e superiores).
VALORES DE FACILIDADE e Severidade são codificados numericamente com Valores Decimais e têm os seguintes valores atribuídos a eles.
Códigos de Facilidade
Códigos de Facilidade é um componente de uma aplicação ou sistema operacional que gera uma Mensagem de Registo/Evento a partir da tabela abaixo:
| Código numérico | Facility |
|---|---|
| 0 | mensagens do núcleo |
| 1 | user-mensagens de nível |
| 2 | sistema de correio electrónico |
| 3 | daemons do sistema |
| 4 | |
| 5 | mensagens geradas internamente pelo syslogd |
| 6 | |
| 7 | |
| 8 | |
| 9 | |
| 10 | mensagens de segurança/autorização |
| 11 | daemon |
| 12 | NTP subsistema |
| 13 | |
| 14 | alerta de log |
| 15 | daemon do relógio |
| 16 | uso local 0 |
| 17 | uso local 1 |
| 18 | uso local 2 |
| 19 | uso local 3 |
| 20 | uso local 4 |
| 21 | uso local 5 |
| 22 | |
Referência: http://www.ietf.org/rfc/rfc3164.txt
Códigos de Gravidade
Códigos de Gravidade é um código numérico ou número que se transcreve para um Nível de Gravidade ou mensagem. Uma lista de Códigos Numéricos e a sua mensagem correspondente estão destacados na tabela abaixo:
| Código Numérico | Severidade |
|---|---|
| 0 | Emergência: O sistema é inutilizável |
| 1 | |
| 2 | Crítica: Condições Críticas |
| 3 | Error: Condições de Erro |
| 4 | Aviso: Condições de Alerta |
| 5 | Notificação: Condição Normal mas Significativa |
| 6 | Informacional: Mensagens Informativas |
| 7 | Debug: Mensagens de nível de depuração |
Referência: http://www.ietf.org/rfc/rfc3164.txt
Header
A parte de cabeçalho de um pacote Syslog contém a seguinte informação:
- Timestamp – a combinação da DATA e HORA em que a mensagem foi inicialmente gerada (com base na hora de cada sistema individual). Certifique-se de que a hora de cada sistema está em sincronia de modo a manter os timestamp apropriados.
- Hostname ou IP Addresss do Dispositivo de Rede
MSG – (Parte da Mensagem do Pacote)
A última parte do pacote Syslog é o MSG, que utilizará o restante do espaço disponível de um pacote. O MSG irá conter informação gerada pelo dispositivo com informação relativa ao registo ou evento. O MSG contém também 2 campos:
- TAG – indica o Processo ou Programa que desencadeou ou gerou a mensagem.
- CONTENTE – contém detalhes da mensagem.