Как настроить протокол syslog: эффективное журналирование событий на Cisco IOS

Как настроить протокол syslog: эффективное журналирование событий на Cisco IOS

Рассмотрим, как настроить протокол syslog на Cisco IOS, а также сделать полезные настройки протокола журналирования событий (timestamps, logging trap, history size, syslog server и другие).

Содержание:

  1. Что такое syslog
    1. Возможности syslog
    2. Уровни syslog
    3. Сообщения системного журнала
  2. Топология
  3. Начальные настройки на маршрутизаторе
  4. Настройки syslog на маршрутизаторе
  5. Проверка настроек
  6. Выводы

Что такое syslog

При возникновении разнообразных событий в сети, сетевые устройства, используя определенные механизмы, уведомляют администратора с помощью подробных системных сообщений. Эти сообщения могут быть некритическими или существенно важными. В распоряжении сетевых администраторов находятся различные варианты хранения, интерпретации и отображения этих сообщений,. А также способы отправки уведомлений о сообщениях, которые могут оказать наибольшее влияние на сетевую инфраструктуру.

Самый распространенный способ получения системных сообщений — это использование протокола под названием syslog.

Протокол syslog был разработан для систем UNIX в 80-е гг. двадцатого века, но был впервые документирован сообществом IETF под названием RFC 3164 только в 2001 г. Syslog использует порт UDP 514 для отправки сообщений с уведомлением о событиях по сетям IP на средства сбора сообщений о событиях.

Syslog поддерживают многие сетевые устройства, включая маршрутизаторы, коммутаторы, серверы приложений, межсетевые экраны и др. Протокол syslog позволяет сетевым устройствам отправлять системные сообщения по сети на syslog-серверы.

Существуют различные пакеты ПО Syslog-сервера для Windows и UNIX (Zabbix, Tftpd32, Cacti, Kiwi Syslog Server, SnmpSoft Syslog Watcher и другие). Многие из них бесплатны.

Возможности syslog

Служба журналирования syslog предоставляет три основные возможности:

  • сбор информации в журнал для мониторинга и отладки;
  • выбор типа информации, сбор которой будет осуществляться;
  • определение получателей собранных сообщений syslog.

Сообщения журнала маршрутизаторов Cisco можно обрабатывать пятью разными способами:

  • Выведение системных сообщений на консоль (console logging): по умолчанию маршрутизатор отправляет все сообщения журнала на свой консольный порт. Следовательно, только пользователи, которые физически подключены к консольному порту маршрутизатора, могут просматривать эти сообщения.
  • Выведение системных сообщений на терминальные линии (terminal logging): похоже на ведение журнала консоли, но вместо этого отображает сообщения журнала при удаленном подключении через линии VTY маршрутизатора. По умолчанию это не включено.
  • Выведение системных сообщений в буфер (buffered logging): этот тип ведения журнала использует оперативную память маршрутизатора для хранения сообщений журнала. Буфер имеет фиксированный ограниченный размер, чтобы системные сообщения не переполняли память. Маршрутизатор удаляет старые сообщения из буфера по мере добавления новых сообщений.
  • Выведение системных сообщений на syslog-сервер: маршрутизатор может использовать системный журнал для пересылки сообщений журнала на внешние серверы системного журнала для хранения. По умолчанию этот тип ведения журнала отключен.
  • Передача системных сообщений с помощью SNMP trap: маршрутизатор может использовать SNMP trap-сообщения для отправки системных сообщений на внешний сервер SNMP.

Уровни syslog

Устройства Cisco создают сообщения syslog при определенных сетевых событиях. Во всех сообщениях syslog указывается уровень важности (severity level) и объект (facility).

Чем меньше назначаемое число, тем более важным является оповещение syslog. В настройках уровня важности сообщений можно установить, куда отправлять сообщения каждого типа (например, на консоль или в другие места назначения).

Каждый уровень syslog имеет собственный смысл:

Уровень серьезности Название уровня Пример события
0 Emergencies Систему нельзя использовать
1 Alerts Превышен уровень температуры
2 Critical Ошибки выделения памяти
3 Errors Сообщения о состоянии интерфейса (Up/Down)
4 Warnings Файл конфигурации записан на сервер
5 Notifications Физическое состояние интерфейса (Up/Down)
6 Information Сообщения о срабатывании правил списка контроля доступа
7 Debugging Сообщения отладки

Сообщения системного журнала

Сообщения системного журнала могут содержать до 80 символов и знак процента (%), который следует за необязательным порядковым номером или информацией о времени, если это настроено. Сообщения появляются в таком формате:

 

Часть сообщения перед знаком процента зависит от настройки команд режима глобальных конфигураций: service sequence-numbers, service timestamps log datetime, service timestamps log datetime [localtime] [msec] [show-timezone], или service timestamps log uptime.

Элементы сообщений:

Элемент Описание
seq no: Пометка сообщений журнала с порядковым номером в том случае, если настроена команда глобальной конфигурации service sequence-numbers.
timestamp
formats: mm/dd hh:mm:ssили
hh:mm:ss (short uptime)
или
d h (long uptime)
Дата и время сообщения или события. Эта информация появляется в том случае, если настроена команда глобальной конфигурации service timestamps log [datetime | log].
facility Объект, к которому относится сообщение (например, SNMP, SYS и т. д.)
severity Однозначный код от 0 до 7, обозначающий серьезность сообщения.
MNEMONIC Текстовая строка, однозначно описывающая сообщение.
description Текстовая строка, содержащая подробную информацию о сообщаемом событии.

В данном случае будут рассмотрены настройки syslog на маршрутизаторе Cisco.

Топология

Исследуемая топология состоит из маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0 . Допускается использование других маршрутизаторов и версий Cisco IOS.

Схема топологии следующая:

Как настроить протокол syslog: эффективное журналирование событий на Cisco IOS

Начальные настройки на маршрутизаторе

Настройки syslog на маршрутизаторе

Проверка настроек

Выводы

Спасибо за время, уделенное на прочтение статьи. Теперь вы знаете о том, как настроить протокол syslog на маршрутизаторе с ПО Cisco IOS и сделать полезные настройки протокола журналирования событий (timestamps, logging trap, history size, syslog server и другие).

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

1 комментарий. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню