—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

4 минуты чтени€

ѕротокол Syslog - это способ дл€ сетевых устройств отправл€ть сообщени€ о событи€х на сервер регистрации - обычно известный как Syslog сервер. Ётот протокол поддерживаетс€ широким спектром устройств и может использоватьс€ дл€ регистрации различных типов событий. Ќапример, маршрутизатор может отправл€ть сообщени€ о том, что пользователи подключаютс€ через консоль, а веб-сервер может регистрировать событи€, в которых отказано в доступе.

Syslog протокол

Ѕольшинство сетевых устройств, таких как маршрутизаторы и коммутаторы, могут отправл€ть сообщени€ системного журнала.  роме того, серверы *nix также могут генерировать данные системного журнала, как и большинство брандмауэров, некоторые принтеры и даже веб-серверы, такие как Apache. —ерверы на базе Windows изначально не поддерживают Syslog, но большое количество сторонних инструментов позвол€ет легко собирать данные журнала событий Windows или IIS и пересылать их на сервер Syslog.

¬ отличие от SNMP, Syslog не может использоватьс€ дл€ Ђопросаї устройств дл€ сбора информации. Ќапример, SNMP имеет сложную иерархическую структуру, котора€ позвол€ет станции управлени€ запрашивать у устройства информацию о таких вещах, как данные о температуре или доступное дисковое пространство. Ёто невозможно с Syslog - он просто отправл€ет сообщени€ в центральное место, когда инициируютс€ определенные событи€.

 Syslog сообщени€

Syslog серверы

Syslog - отличный способ объединить логи из нескольких источников в одном месте.  ак правило, большинство серверов Syslog имеют несколько компонентов, которые делают это возможным.

  • Syslog слушатель: Syslog сервер должен получать сообщени€, отправленные по сети. ѕроцесс прослушивани€ собирает данные системного журнала, отправленные через 514 UDP порт.  ак мы знаем UDP-сообщени€ не подтверждаютс€ или не гарантируютс€, поэтому имейте в виду, что некоторые сетевые устройства будут отправл€ть данные Syslog через 1468 TCP порт дл€ обеспечени€ доставки сообщений.
  • Ѕаза данных: большие сети могут генерировать огромное количество данных syslogТа . ’орошие серверы будут использовать базу данных дл€ хранени€ логов дл€ быстрого поиска.
  • ѕрограммное обеспечение дл€ управлени€ и фильтрации: из-за больших объемов данных иногда бывает сложно найти конкретные записи в журнале. –ешение состоит в том, чтобы использовать syslog сервер, который автоматизирует часть работы и позвол€ет легко фильтровать и просматривать важные сообщени€ журнала. —ерверы должны иметь возможность генерировать оповещени€, уведомлени€ и алерты в ответ на выбранные сообщени€, чтобы администраторы сразу узнавали, когда возникла проблема, и могли предприн€ть быстрые действи€

Syslog сообщени€

—ообщени€ системного журнала обычно содержат информацию, помогающую определить основную информацию о том, где, когда и почему был отправлен лог: IP-адрес, отметка времени и фактическое сообщение.

—истемный журнал использует концепцию, называемое УfacilityФ, чтобы идентифицировать источник сообщени€ на любом компьютере. Ќапример, facility У0Ф будет сообщением €дра, а facility Ђ11ї будет сообщением FTP. Ёто восходит своими корн€ми к syslog'а UNIX. ¬ большинстве сетевых устройств Cisco используютс€ коды объектов ЂLocal6ї или ЂLocal7ї.

Syslog сообщени€ также имеют поле уровн€ серьезности. ”ровень серьезности указывает, насколько важным считаетс€ сообщение. —ерьезность Ђ0ї €вл€етс€ чрезвычайной ситуацией, Ђ1ї - это предупреждение, которое требует немедленных действий, а шкала продолжаетс€ вплоть до Ђ6ї и Ђ7ї - информационных и отладочных сообщений.

0 Emergency —истема не работоспособна
1 Alert —истема требует немедленного вмешательства
2 Critical —осто€ние системы критическое
3 Error —ообщени€ об ошибках
4 Warning ѕредупреждени€ о возможных проблемах
5 Notice —ообщени€ о нормальных, но важных событи€х
6 Informational »нформационные сообщени€
7 Debug ќтладочные сообщени€

Ќедостатки syslog

” протокола syslog есть несколько недостатков.

¬о-первых, проблема согласованности. ѕротокол Syslog не определ€ет стандартный способ форматировани€ содержимого сообщени€ - и существует столько же способов форматировани€ сообщени€, сколько существует разработчиков. Ќекоторые сообщени€ могут быть удобочитаемыми, а некоторые нет. Syslog это не волнует - он просто предоставл€ет способ передачи сообщени€.

≈сть также некоторые проблемы, которые возникают из-за того, что syslog использует UDP в качестве транспорта - поэтому возможно потер€ть сообщени€ из-за перегрузки сети или потери пакетов.

Ќаконец, есть некоторые проблемы безопасности. ¬ сообщени€х syslogТа нет аутентификации, поэтому один компьютер может выдать себ€ за другой компьютер и отправить ложные событи€ журнала. ќн также подвержен повторным атакам.

Ќесмотр€ на это, многие администраторы считают, что syslog €вл€етс€ ценным инструментом, и что его недостатки относительно незначительны.


ѕолезна ли ¬ам эта стать€?