Introdução ao Syslog
Como uma luz de verificação do motor no painel do carro, os componentes da rede podem informar se há algo errado. O protocolo syslog foi projetado para garantir que você possa receber e entender essas mensagens. Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm mecanismos confiáveis para notificar o administrador com mensagens detalhadas do sistema. Essas mensagens podem ser não críticas ou significativas. Os administradores de rede têm uma variedade de opções para armazenar, interpretar e exibir essas mensagens. Eles também podem ser alertados sobre as mensagens que podem ter o maior impacto na infraestrutura da rede.
O método mais comum de acessar mensagens do sistema é usar um protocolo chamado syslog.
Syslog é um termo usado para descrever um padrão. Também é usado para descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido para sistemas UNIX na década de 1980, mas foi documentado pela primeira vez como RFC 3164 pela IETF em 2001. O Syslog usa a porta UDP 514 para enviar mensagens de notificação de eventos através de redes IP para coletores de mensagens de eventos, conforme mostrado na figura.
Muitos dispositivos de rede oferecem suporte a syslog, incluindo: roteadores, switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo syslog permite que os dispositivos de rede enviem suas mensagens de sistema através da rede para servidores syslog.
Existem vários pacotes de software de servidor syslog diferentes para Windows e UNIX. Muitos deles são freeware.
O serviço de registro syslog fornece três funções principais, como segue:
- A capacidade de reunir informações de registro para monitoramento e solução de problemas
- A capacidade de selecionar o tipo de informação de registro que é capturada
- A capacidade de especificar os destinos das mensagens syslog capturadas
Operação Syslog
Em dispositivos de rede Cisco, o protocolo syslog começa enviando mensagens do sistema e saída de depuração para um processo de registro local interno ao dispositivo. O modo como o processo de registro gerencia essas mensagens e saídas é baseado nas configurações do dispositivo. Por exemplo, as mensagens syslog podem ser enviadas pela rede para um servidor syslog externo. Essas mensagens podem ser recuperadas sem a necessidade de acessar o dispositivo real. As mensagens de log e as saídas armazenadas no servidor externo podem ser inseridas em vários relatórios para facilitar a leitura.
Como alternativa, as mensagens do syslog podem ser enviadas para um buffer interno. As mensagens enviadas para o buffer interno só podem ser visualizadas por meio da CLI do dispositivo.
Finalmente, o administrador da rede pode especificar que apenas certos tipos de mensagens do sistema sejam enviadas para vários destinos. Por exemplo, o dispositivo pode ser configurado para encaminhar todas as mensagens do sistema para um servidor syslog externo. No entanto, as mensagens de nível de depuração são encaminhadas para o buffer interno e só podem ser acessadas pelo administrador a partir da CLI.
Conforme mostrado na figura, os destinos populares para mensagens syslog incluem o seguinte:
- Buffer de registro (RAM dentro de um roteador ou switch)
- Linha de console
- Linha terminal
- Servidor Syslog
É possível monitorar remotamente as mensagens do sistema visualizando os logs em um servidor syslog ou acessando o dispositivo por meio de Telnet, SSH ou por meio da porta do console.
Formato de Mensagem Syslog
Os dispositivos Cisco produzem mensagens syslog como resultado de eventos de rede. Cada mensagem syslog contém um nível de gravidade e um recurso.
Os níveis numéricos menores são os alarmes de syslog mais críticos. O nível de gravidade das mensagens pode ser definido para controlar onde cada tipo de mensagem é exibido (ou seja, no console ou em outros destinos). A lista completa de níveis de syslog é mostrada na tabela.
| Nome da Severidade | Nível de severidade | Explicação |
|---|---|---|
| Emergency | Level 0 | Sistema inutilizável |
| Alert | Level 1 | Ação Imediata Necessária |
| Critical | Level 2 | Condição crítica |
| Error | Level 3 | Condição de Erro |
| Warning | Level 4 | Condição de Aviso |
| Notification | Level 5 | Condição normal, mas significativa |
| Informational | Level 6 | Mensagem Informativa |
| Debugging | Level 7 | Mensagem de depuração |
Cada nível de syslog tem seu próprio significado:
- Nível de advertência 4 – Nível de emergência 0: Essas mensagens são mensagens de erro sobre mau funcionamento de software ou hardware; esses tipos de mensagens significam que a funcionalidade do dispositivo foi afetada. A gravidade do problema determina o nível real do syslog aplicado.
- Nível de notificação 5: Este nível de notificação é para eventos normais, mas significativos. Por exemplo, transições para cima ou para baixo da interface e mensagens de reinicialização do sistema são exibidas no nível de notificações.
- Nível informativo 6: Esta é uma mensagem de informação normal que não afeta a funcionalidade do dispositivo. Por exemplo, quando um dispositivo Cisco está inicializando, você pode ver a seguinte mensagem informativa:% LICENSE-6-EULA_ACCEPT_ALL: O direito de uso do contrato de licença do usuário final é aceito.
- Nível de depuração 7: Este nível indica que as mensagens são geradas a partir da emissão de vários comandos de depuração.
Instalações Syslog
Além de especificar a gravidade, as mensagens syslog também contêm informações sobre o recurso. Os recursos de syslog são identificadores de serviço que identificam e categorizam os dados de estado do sistema para relatórios de mensagens de erro e evento. As opções de recurso de registro disponíveis são específicas para o dispositivo de rede. Por exemplo, os switches Cisco 2960 Series que executam o Cisco IOS Release 15.0 (2) e os roteadores Cisco 1941 que executam o Cisco IOS Release 15.2 (4) oferecem suporte a 24 opções de instalações categorizadas em 12 tipos de instalações.
Alguns códigos de recurso de mensagem syslog comuns relatados em roteadores Cisco IOS incluem:
- IF – Identifica que a mensagem syslog foi gerada por uma interface.
- IP – Identifica que a mensagem syslog foi gerada por IP.
- OSPF – Identifica que a mensagem syslog foi gerada pelo protocolo de roteamento OSPF.
- SYS – Identifica que a mensagem syslog foi gerada pelo sistema operacional do dispositivo.
- IPSEC – Identifica que a mensagem syslog foi gerada pelo protocolo de criptografia IP Security.
Por padrão, o formato das mensagens syslog no Cisco IOS Software é o seguinte:
%facility-severity-MNEMONIC: description
Por exemplo, a saída de amostra em um switch Cisco para um link EtherChannel que muda de estado para up é:
%LINK-3-UPDOWN: Interface Port-channel1, changed state to up
Aqui, a facilidade é LINK e o nível de gravidade é 3, com um MNEMÔNICO de UPDOWN.
As mensagens mais comuns são mensagens de link ativo e inativo e mensagens que um dispositivo produz quando sai do modo de configuração. Se o log de ACL estiver configurado, o dispositivo gerará mensagens syslog quando os pacotes corresponderem a uma condição de parâmetro.
Configurar Syslog Timestamp
Por padrão, as mensagens de log não têm carimbo de data / hora. No exemplo, a interface R1 GigabitEthernet 0/0/0 está desligada. A mensagem registrada no console não identifica quando o estado da interface foi alterado. As mensagens de log devem ter um carimbo de data / hora para que, quando enviadas para outro destino, como um servidor Syslog, haja registro de quando a mensagem foi gerada.
Use o comando service timestamps log datetime para forçar os eventos registrados a exibir a data e a hora. Conforme mostrado na saída do comando, quando a interface R1 GigabitEthernet 0/0/0 é reativada, as mensagens de log agora contêm a data e a hora.
R1# configure terminal R1(config)# interface g0/0/0 R1(config-if)# shutdown %LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to down R1(config-if)# exit R1(config)# service timestamps log datetime R1(config)# interface g0/0/0 R1(config-if)# no shutdown *Mar 1 11:52:42: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down *Mar 1 11:52:45: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up *Mar 1 11:52:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up R1(config-if)#
Nota: Ao usar a palavra-chave datetime, o relógio no dispositivo de rede deve ser definido, manualmente ou por meio de NTP, conforme discutido anteriormente.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.