Syslog, es una forma estandarizada (o Protocolo) de producir y enviar información de Log y Eventos desde los sistemas Unix/Linux y Windows (que produce Logs de Eventos) y Dispositivos (Routers, Firewalls, Switches, Servidores, etc) sobre el Puerto UDP 514 a un colector centralizado de Mensajes de Log/Eventos que es conocido como un Servidor Syslog.
Una de las principales razones por las que Syslog fue tan ampliamente aceptado en toda la industria fue debido a su simplicidad – Hay poca o ninguna uniformidad o estandarización cuando se trata del contenido que un Dispositivo, Servidor o Sistema Operativo se escribe y envía información de registro.
Simplemente envía y transporta los mensajes a través del protocolo Syslog sin acuse de recibo (de ahí el uso de UDP).
Además, no hay requisitos complejos entre el dispositivo emisor y el servidor receptor/receptor, ya que los mensajes Syslog simplemente se envían sin importar si hay un receptor configurado en el otro extremo o no.
Los fundamentos
- Definición y visión general
- Puertos y capa OSI
- Colector y servidor.
- Colector y Servidor
- Partes del Mensaje/Paquete de Syslog
Definición y Visión General
Syslog significa «System Logging Protocol,» y se utiliza en Dispositivos como routers, switches, firewalls, puntos de acceso wifi, Servidores Unix/Linux (los servidores Windows utilizan Registros de Eventos, que pueden ser utilizados en conjunto con un servidor Syslog) y otros dispositivos de red.
Se utiliza para almacenar eventos o mensajes de registro localmente dentro del dispositivo y enviar la información de eventos/registros a un colector (también conocido como servidor Syslog) para recoger, organizar y filtrar todos los registros y datos.
Simplemente, un Servidor u otro dispositivo de Red en su red puede ser Configurado para generar Mensajes Syslog/Eventos y reenviarlos a un Servidor Syslog (o Daemon), que luego permite a los administradores de la red rastrear y monitorear esos dispositivos en red de cualquier asunto o problema que necesite ser atendido inmediatamente.
Un mensaje/evento se envía desde el Dispositivo a un colector (o Servidor) utilizando UDP, que es un protocolo sin conexión.
Los mensajes suelen ser de texto y normalmente no superan los 1024 bytes.
Como se envían utilizando UDP, no se envía ningún recibo de transmisión o llegada al emisor, lo que significa que si un paquete se pierde durante la transmisión, ¡se ha ido!
Un Servidor/Daemon le permite recopilar, filtrar, organizar, configurar alertas para ciertos eventos desde una ubicación dentro de su red.
Tener todos los datos de información de registro en un solo lugar también le da la capacidad de crear informes elaborados, diagramas y gráficos para visualizar ciertos aspectos de sus sistemas e infraestructura.
Puerto y capa OSI
El syslog forma parte de la capa de Transporte en el Modelo OSI, utilizando el Protocolo de Datagramas de Usuario (UDP) para transportar/transferir información a través de la red.
Número de puerto del syslog: UDP 514
Servidor/Demonio de Syslog o Colector
El Servidor/Demonio escucha los mensajes de Syslog que se le envían, pero a diferencia de otros protocolos de monitorización, como SNMP, el servidor no puede Solicitar información que se envíe desde un Dispositivo, ya que el protocolo no soporta ese tipo de comportamiento.
Simplemente, es como ver la televisión en directo, lo que te muestran en la televisión en directo es lo que obtienes, no puedes solicitar que te muestren nada más, es una transmisión unidireccional.
Se recomienda que los servidores Syslog estén fuertemente equipados con grandes cantidades de espacio en disco, CPU y memoria para ejecutar informes más grandes y tener un largo historial de registros de múltiples dispositivos, así como mantener los eventos/registros más antiguos con fines históricos.
Recoger, compilar y calcular grandes cantidades de datos, junto con la configuración de alertas y monitores es una parte muy importante para asegurarse de conocer el estado de su red y los componentes que la componen.
Qué hace un mensaje/paquete Syslog
Un paquete Syslog se compone de 3 partes y no puede superar los 1.204 bytes (o 1 Kb):
- PRI – Valor de Prioridad
- HEADER – Cabecera
- MSG – Mensaje
PRI – Valor de Prioridad
El Valor de Prioridad es la primera parte del Mensaje Syslog, que abarca exactamente 3, 4 o 5 caracteres y está delimitado por corchetes («<» y «>»), y representa la Facilidad y laSeveridad del mensaje.
Los valores de prioridad se calculan de la siguiente manera: Valor de la Facilidad * 8 + Valor de la Severidad = Valor de la Prioridad
Por ejemplo: si recibe una Facilidad «Sistema de Correo», el valor es 2, y un Valor de la Severidad de 1 (Alerta: hay que actuar inmediatamente), entonces el Valor de Prioridad = <> (los valores de prioridad van entre corchetes angulares, o entre corchetes menores y mayores).
Los valores de Facilidad y Gravedad se codifican Numéricamente con Valores Decimales y tienen asignados los siguientes valores.
Códigos de Facilidad
Los Códigos de Facilidad son un componente ya sea de una aplicación o de un sistema operativo que genera un Mensaje de Registro/Evento de la siguiente tabla:
| Código numérico | Facilidad |
|---|---|
| 0 | Mensajes del núcleo |
| 1 | Mensajes de nivel de usuariomensajes de nivel de usuario | 2 | sistema de correo | 3 | demonios del sistema | 4 | mensajes de seguridad/autorización | 5 | mensajes generados internamente por syslogd | 6 | impresora de líneas | 7 | subsistema de noticias en red | 8 | subsistema UUCP | 9 | reloj daemon |
| 10 | mensajes de seguridad/autorización | 11 | FTP daemon | 12 | NTP |
| 13 | auditoría de registro |
| 14 | alerta de registro |
| 15 | demon de reloj |
| 16 | uso local 0 | 17 | uso local 1 | 18 | uso local 2 |
| 19 | uso local 3 |
| 20 | uso local 4 |
| 21 | uso local 5 |
| 22 | uso local 6 | 23 | uso local 7 |
Referencia: http://www.ietf.org/rfc/rfc3164.txt
Códigos de Gravedad
Los Códigos de Gravedad son un código numérico o número que se traduce en un Nivel de Gravedad o mensaje. Una lista de Códigos Numéricos y su correspondiente mensaje están resaltados en la siguiente tabla:
| Código numérico | Severidad |
|---|---|
| 0 | Emergencia: El sistema es inutilizable | 1 | Alerta: Se debe actuar inmediatamente |
| 2 | Crítico: Condiciones críticas |
| 3 | Error: Condiciones de error |
| 4 | Aviso: Condiciones de advertencia |
| 5 | Notificación: Condición normal pero significativa | 6 | Informativa: Mensajes informativos |
| 7 | Debug: Mensajes de nivel de depuración |
Referencia: http://www.ietf.org/rfc/rfc3164.txt
Cabecera
La parte de la cabecera de un paquete Syslog contiene la siguiente información:
- Sello de tiempo – la combinación de la FECHA y la HORA en que se generó inicialmente el mensaje (basada en la hora de cada sistema). Asegúrese de que la hora de cada sistema esté sincronizada para mantener las marcas de tiempo adecuadas.
- Nombre de host o direcciones IP del dispositivo de red
MSG – (parte del mensaje del paquete)
La última parte del paquete Syslog es el MSG, que utilizará el resto del espacio disponible de un paquete. El MSG contendrá información generada por el dispositivo con información relativa al registro o evento. El MSG contiene también 2 campos:
- TAG – indica el Proceso o Programa que ha desencadenado o generado el mensaje.
- CONTENIDO – contiene detalles del mensaje.
.