Рассмотрим, как настроить протокол syslog на Cisco IOS, а также сделать полезные настройки протокола журналирования событий (timestamps, logging trap, history size, syslog server и другие).
Содержание:
- Что такое syslog
- Топология
- Начальные настройки на маршрутизаторе
- Настройки syslog на маршрутизаторе
- Проверка настроек
- Выводы
Что такое syslog
При возникновении разнообразных событий в сети, сетевые устройства, используя определенные механизмы, уведомляют администратора с помощью подробных системных сообщений. Эти сообщения могут быть некритическими или существенно важными. В распоряжении сетевых администраторов находятся различные варианты хранения, интерпретации и отображения этих сообщений,. А также способы отправки уведомлений о сообщениях, которые могут оказать наибольшее влияние на сетевую инфраструктуру.
Самый распространенный способ получения системных сообщений — это использование протокола под названием syslog.
Протокол syslog был разработан для систем UNIX в 80-е гг. двадцатого века, но был впервые документирован сообществом IETF под названием RFC 3164 только в 2001 г. Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях.
Syslog поддерживают многие сетевые устройства, включая маршрутизаторы, коммутаторы, серверы приложений, межсетевые экраны и др. Протокол syslog позволяет сетевым устройствам отправлять системные сообщения по сети на syslog-серверы.
Существуют различные пакеты ПО Syslog-сервера для Windows и UNIX (Zabbix, Tftpd32, Cacti, Kiwi Syslog Server, SnmpSoft Syslog Watcher и другие). Многие из них бесплатны.
Возможности syslog
Служба журналирования syslog предоставляет три основные возможности:
- сбор информации в журнал для мониторинга и отладки;
- выбор типа информации, сбор которой будет осуществляться;
- определение получателей собранных сообщений syslog.
Сообщения журнала маршрутизаторов Cisco можно обрабатывать пятью разными способами:
- Выведение системных сообщений на консоль (console logging): по умолчанию маршрутизатор отправляет все сообщения журнала на свой консольный порт. Следовательно, только пользователи, которые физически подключены к консольному порту маршрутизатора, могут просматривать эти сообщения.
- Выведение системных сообщений на терминальные линии (terminal logging): похоже на ведение журнала консоли, но вместо этого отображает сообщения журнала при удаленном подключении через линии VTY маршрутизатора. По умолчанию это не включено.
- Выведение системных сообщений в буфер (buffered logging): этот тип ведения журнала использует оперативную память маршрутизатора для хранения сообщений журнала. Буфер имеет фиксированный ограниченный размер, чтобы системные сообщения не переполняли память. Маршрутизатор удаляет старые сообщения из буфера по мере добавления новых сообщений.
- Выведение системных сообщений на syslog-сервер: маршрутизатор может использовать системный журнал для пересылки сообщений журнала на внешние серверы системного журнала для хранения. По умолчанию этот тип ведения журнала отключен.
- Передача системных сообщений с помощью SNMP trap: маршрутизатор может использовать SNMP trap-сообщения для отправки системных сообщений на внешний сервер SNMP.
Уровни syslog
Устройства Cisco создают сообщения syslog при определенных сетевых событиях. Во всех сообщениях syslog указывается уровень важности (severity level) и объект (facility).
Чем меньше назначаемое число, тем более важным является оповещение syslog. В настройках уровня важности сообщений можно установить, куда отправлять сообщения каждого типа (например, на консоль или в другие места назначения).
Каждый уровень syslog имеет собственный смысл:
| Уровень серьезности | Название уровня | Пример события |
| 0 | Emergencies | Систему нельзя использовать |
| 1 | Alerts | Превышен уровень температуры |
| 2 | Critical | Ошибки выделения памяти |
| 3 | Errors | Сообщения о состоянии интерфейса (Up/Down) |
| 4 | Warnings | Файл конфигурации записан на сервер |
| 5 | Notifications | Физическое состояние интерфейса (Up/Down) |
| 6 | Information | Сообщения о срабатывании правил списка контроля доступа |
| 7 | Debugging | Сообщения отладки |
Сообщения системного журнала
Сообщения системного журнала могут содержать до 80 символов и знак процента (%), который следует за необязательным порядковым номером или информацией о времени, если это настроено. Сообщения появляются в таком формате:
Часть сообщения перед знаком процента зависит от настройки команд режима глобальных конфигураций: service sequence-numbers, service timestamps log datetime, service timestamps log datetime [localtime] [msec] [show-timezone], или service timestamps log uptime.
Элементы сообщений:
| Элемент | Описание |
| seq no: | Пометка сообщений журнала с порядковым номером в том случае, если настроена команда глобальной конфигурации service sequence-numbers. |
| timestamp formats: mm/dd hh:mm:ssили hh:mm:ss (short uptime) или d h (long uptime) |
Дата и время сообщения или события. Эта информация появляется в том случае, если настроена команда глобальной конфигурации service timestamps log [datetime | log]. |
| facility | Объект, к которому относится сообщение (например, SNMP, SYS и т. д.) |
| severity | Однозначный код от 0 до 7, обозначающий серьезность сообщения. |
| MNEMONIC | Текстовая строка, однозначно описывающая сообщение. |
| description | Текстовая строка, содержащая подробную информацию о сообщаемом событии. |
В данном случае будут рассмотрены настройки syslog на маршрутизаторе Cisco.
Топология
Исследуемая топология состоит из маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0 . Допускается использование других маршрутизаторов и версий Cisco IOS.
Схема топологии следующая:
Начальные настройки на маршрутизаторе
Настройки syslog на маршрутизаторе
Проверка настроек
Выводы
Спасибо за время, уделенное на прочтение статьи. Теперь вы знаете о том, как настроить протокол syslog на маршрутизаторе с ПО Cisco IOS и сделать полезные настройки протокола журналирования событий (timestamps, logging trap, history size, syslog server и другие).
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
1 комментарий. Оставить новый
Проверено — в Packet tracer тоже работает!