7/22/2019 2syslog

1/4

SYSLOG

Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificacin a travs de una red IP para que sean

almacenados en otro dispositivo o servidor colector.

El servicio de syslog simplemente acepta mensajes, y los almacena en archivos o los imprime de acuerdo con un archivo

de configuracin simple. Esta forma de registro es la mejor disponible para los dispositivos de Cisco, ya que puede

proporcionar almacenamiento protegido a largo plazo para los registros. Esto es til tanto en la solucin de problemas

de rutina y en el manejo de incidente.

Syslog es un protocolo cliente / servidor es compatible con una amplia variedad de dispositivos y receptores a travs de

mltiples plataformas. Syslog se puede utilizar para integrar los datos de registro de muchos sistemas diferentes en un

repositorio central en tiempo real.

El remitente Syslog enva un mensaje de texto pequeo (menos de 1 KB) al receptor Syslog.

El receptor Syslog es comnmente llamada "syslogd", "demonio Syslog," o "Servidor Syslog".

Los mensajes Syslog se pueden enviar a travs de UDP (puerto 514) y / o TCP (normalmente, el puerto 5000). Estos

datos se envan normalmente en texto claro por la red.

Al ser un protocolo sin conexin, UDP no proporciona reconocimientos al remitente o receptor. Adems, en la capa de

aplicacin, servidores Syslog no envan acuses de vuelta al remitente para la recepcin de mensajes Syslog. E

consecuencia, el dispositivo emisor genera mensajes Syslog sin saber si el servidor Syslog ha recibido los mensajes. De

hecho, los dispositivos envian mensajes, incluso si no existe el servidor Syslog; estos mensajes se "perdieron" en la red.

Usos

Es til registrar, por ejemplo:

Un intento de acceso con contrasea equivocada Un acceso correcto al sistema Anomalas: variaciones en el funcionamiento normal del sistema Informacin sobre las actividades del sistema operativo Errores del hardware o el software

Beneficios de la gestin de Syslog

Gestin proactiva Syslog beneficia tanto el personal de operaciones y de la empresa en su conjunto, desde una

perspectiva de ahorro de costos.

Reducir el tiempo de inactividad, lo que reduce los costes operativos

Mejorar la gestin de incidencias mediante la deteccin en tiempo real y de auto-correccin

Reduzca el volumen de problemas

Reducir la gravedad de las interrupciones del negocio.

EL FORMATO Y CONTENIDO DE MENSAJES SYSLOG

El formato completo de un mensaje de Syslog tiene tres partes distintas.

7/22/2019 2syslog

2/4

PRI (prioridad)

HEADER

MSG (mensaje de texto)

Prioridad

La prioridad es un nmero de 8 bits. Esto representa tanto recurso (tipo de aparato que ha generado el mensaje) y la

severidad del mensaje. Los tres bits menos significativos representan la severidad del mensaje (con tres bits puede

representar ocho severidades diferentes), y los otros cinco bits representan el recurso del mensaje.

RecursoLos mensajes sylog son por lo general categorizados en base a la fuente que los genera. Las fuentes pueden ser: e

sistema operativo, el proceso, o una aplicacin. Estas categoras, denominadas recursos estn representadas por

nmeros enteros.

Los recursos locales de uso no estn reservados; los procesos y aplicaciones que no tienen los valores de los recursos

pre-asignados pueden elegir cualquiera de los ocho recursos de uso local. Por lo tanto, los dispositivos de Cisco utilizan

una de los recursos de uso local para el envo de mensajes Syslog.

Valores de recursos

Entero Recurso

0 Mensajes del kernel

1 Mensajes del nivel de usuario

2 Sistema de correo

3 Demonios de sistema

4 Seguridad/Autorizacin

5 Mensajes generados internamente por

syslogd

6 Subsistema de impresin

7 Subsistema de noticias sobre la red

8 Subsistema UUCP

9 Demonio de reloj

10 Seguridad/Autorizacin

11 Demonio de FTP

12 Subsistema de NTP

13 Inspeccin del registro

14 Alerta sobre el registro

15 Demonio de reloj

16 Uso local 0

17 Uso local 1

18 Uso local 2

19 Uso local 3

20 Uso local 4

21 Uso local 5

22 Uso local 6

23 Uso local 7

7/22/2019 2syslog

3/4

SeveridadEl nivel de severidad de la notificacin utiliza una escala de 0 a 7, donde 0 corresponde a los eventos de mayor criticidad

y 7 a los menos crticos:

Los dispositivos de red deben registrar los niveles 0-6 en la operacin normal. El nivel 7 debe ser usada slo por la

solucin de problemas de la consola.

Valores de severidad

Entero Severidad

0 Emergencia: El sistema est inutilizable

1 Alerta: Se actuar inmediatamente

2 Crtico: Condiciones crticas

3 Error: Condiciones de error

4 Peligro: Condiciones de peligro

5 Aviso: Condicin normal pero significativa

6 Informacin : Mensajes informativos

7 Depuracin : Mensajes de bajo nivel

Clculo de la prioridad

Para conocer la prioridad final de un mensaje, se aplica la siguiente frmula:

Prioridad = Recurso * 8 + Severidad

Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia), tendra Prioridad igual a 0*8+0 = 0.

Uno de FTP (11) de tipo informacin (6) tendra 11*8+6=94. Como se puede ver, valores ms bajos indican mayor

prioridad.

Header (Encabezado)

Cabecera

La cabecera, indica el tiempo y el nombre del ordenador que emite el mensaje.

El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del mes

en ingls, dd, es el da del mes, y el resto es la hora. No se indica el ao.

El nombre de ordenador (hostname), o la direccin IP si no se conoce el nombre.

MSG (Mensaje)

7/22/2019 2syslog

4/4

El mensaje es el texto del mensaje Syslog, junto con informacin adicional sobre el proceso que ha generado e

mensaje. Los mensajes Syslog generados por los dispositivos Cisco IOS comienzan con un signo de porcentaje (%) y

utilizan el formato siguiente:

% FACILIDAD-GRAVEDAD-MNEMNICO: Mensaje de texto

El nemnico es un cdigo especfico del dispositivo que identifica de forma nica el mensaje como "arriba", "abajo"

"cambiar", "config", etc Por ejemplo:

*Sep 16 08:50:47.359 EDT: %SYS-5-CONFIG_I: Configured from console by vty0 10.18.86.123

Los recursos en cisco son un mtodo de forma libre de identificar el tipo de mensaje de origen, como SYS, IP, LDP, L2

MEM, filesys, Dot11, LINEPROTO, etc.

Se recomienda activar el NTP en toda la red y de la arquitectura del sistema para asegurar las marcas de tiempo

correctas son reportadas. Esto asegura que todos los mensajes Syslog entrantes se sincronizan de manera que pueda

determinar efectivamente el tiempo y la correlacin de eventos de entrada correcta.

NTP

Es un protocolo de Internet para sincronizar los relojes de los sistemas informticos a travs del enrutamiento de

paquetes en redes. NTP utiliza UDP como su capa de transporte, usando el puerto 123.

NTP est diseado para sincronizar la hora del da entre un conjunto de servidores y clientes en una red. Se ejecuta

sobre (UDP), utilizando el puerto 123 como el origen y el destino, que a su vez se ejecuta a travs de IP.

El Protocolo de Tiempo de Red (NTP) sincroniza la hora del da entre un conjunto de servidores y clientes de tiempo

distribuidos de modo que pueda correlacionar eventos cuando reciba los registros del sistema y otros evento

especficos con el de mltiples dispositivos de red

COMADOS DE CONFIGURACION:

NTP

R1(config)#ntp server [IP DEL SERVIDOR]

R1(config)#ntp update-calendar

Syslog

R1(config)#logging host [IP DEL SERVIDOR]

R1(config)#service timestamps log datetime msec