2syslog

Upload: christian-merchan

Post on 07-Feb-2018

216 views

Category:

Documents


0 download

TRANSCRIPT

  • 7/22/2019 2syslog

    1/4

    SYSLOG

    Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificacin a travs de una red IP para que sean

    almacenados en otro dispositivo o servidor colector.

    El servicio de syslog simplemente acepta mensajes, y los almacena en archivos o los imprime de acuerdo con un archivo

    de configuracin simple. Esta forma de registro es la mejor disponible para los dispositivos de Cisco, ya que puede

    proporcionar almacenamiento protegido a largo plazo para los registros. Esto es til tanto en la solucin de problemas

    de rutina y en el manejo de incidente.

    Syslog es un protocolo cliente / servidor es compatible con una amplia variedad de dispositivos y receptores a travs de

    mltiples plataformas. Syslog se puede utilizar para integrar los datos de registro de muchos sistemas diferentes en un

    repositorio central en tiempo real.

    El remitente Syslog enva un mensaje de texto pequeo (menos de 1 KB) al receptor Syslog.

    El receptor Syslog es comnmente llamada "syslogd", "demonio Syslog," o "Servidor Syslog".

    Los mensajes Syslog se pueden enviar a travs de UDP (puerto 514) y / o TCP (normalmente, el puerto 5000). Estos

    datos se envan normalmente en texto claro por la red.

    Al ser un protocolo sin conexin, UDP no proporciona reconocimientos al remitente o receptor. Adems, en la capa de

    aplicacin, servidores Syslog no envan acuses de vuelta al remitente para la recepcin de mensajes Syslog. E

    consecuencia, el dispositivo emisor genera mensajes Syslog sin saber si el servidor Syslog ha recibido los mensajes. De

    hecho, los dispositivos envian mensajes, incluso si no existe el servidor Syslog; estos mensajes se "perdieron" en la red.

    Usos

    Es til registrar, por ejemplo:

    Un intento de acceso con contrasea equivocada Un acceso correcto al sistema Anomalas: variaciones en el funcionamiento normal del sistema Informacin sobre las actividades del sistema operativo Errores del hardware o el software

    Beneficios de la gestin de Syslog

    Gestin proactiva Syslog beneficia tanto el personal de operaciones y de la empresa en su conjunto, desde una

    perspectiva de ahorro de costos.

    Reducir el tiempo de inactividad, lo que reduce los costes operativos

    Mejorar la gestin de incidencias mediante la deteccin en tiempo real y de auto-correccin

    Reduzca el volumen de problemas

    Reducir la gravedad de las interrupciones del negocio.

    EL FORMATO Y CONTENIDO DE MENSAJES SYSLOG

    El formato completo de un mensaje de Syslog tiene tres partes distintas.

  • 7/22/2019 2syslog

    2/4

    PRI (prioridad)

    HEADER

    MSG (mensaje de texto)

    Prioridad

    La prioridad es un nmero de 8 bits. Esto representa tanto recurso (tipo de aparato que ha generado el mensaje) y la

    severidad del mensaje. Los tres bits menos significativos representan la severidad del mensaje (con tres bits puede

    representar ocho severidades diferentes), y los otros cinco bits representan el recurso del mensaje.

    RecursoLos mensajes sylog son por lo general categorizados en base a la fuente que los genera. Las fuentes pueden ser: e

    sistema operativo, el proceso, o una aplicacin. Estas categoras, denominadas recursos estn representadas por

    nmeros enteros.

    Los recursos locales de uso no estn reservados; los procesos y aplicaciones que no tienen los valores de los recursos

    pre-asignados pueden elegir cualquiera de los ocho recursos de uso local. Por lo tanto, los dispositivos de Cisco utilizan

    una de los recursos de uso local para el envo de mensajes Syslog.

    Valores de recursos

    Entero Recurso

    0 Mensajes del kernel

    1 Mensajes del nivel de usuario

    2 Sistema de correo

    3 Demonios de sistema

    4 Seguridad/Autorizacin

    5 Mensajes generados internamente por

    syslogd

    6 Subsistema de impresin

    7 Subsistema de noticias sobre la red

    8 Subsistema UUCP

    9 Demonio de reloj

    10 Seguridad/Autorizacin

    11 Demonio de FTP

    12 Subsistema de NTP

    13 Inspeccin del registro

    14 Alerta sobre el registro

    15 Demonio de reloj

    16 Uso local 0

    17 Uso local 1

    18 Uso local 2

    19 Uso local 3

    20 Uso local 4

    21 Uso local 5

    22 Uso local 6

    23 Uso local 7

  • 7/22/2019 2syslog

    3/4

    SeveridadEl nivel de severidad de la notificacin utiliza una escala de 0 a 7, donde 0 corresponde a los eventos de mayor criticidad

    y 7 a los menos crticos:

    Los dispositivos de red deben registrar los niveles 0-6 en la operacin normal. El nivel 7 debe ser usada slo por la

    solucin de problemas de la consola.

    Valores de severidad

    Entero Severidad

    0 Emergencia: El sistema est inutilizable

    1 Alerta: Se actuar inmediatamente

    2 Crtico: Condiciones crticas

    3 Error: Condiciones de error

    4 Peligro: Condiciones de peligro

    5 Aviso: Condicin normal pero significativa

    6 Informacin : Mensajes informativos

    7 Depuracin : Mensajes de bajo nivel

    Clculo de la prioridad

    Para conocer la prioridad final de un mensaje, se aplica la siguiente frmula:

    Prioridad = Recurso * 8 + Severidad

    Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia), tendra Prioridad igual a 0*8+0 = 0.

    Uno de FTP (11) de tipo informacin (6) tendra 11*8+6=94. Como se puede ver, valores ms bajos indican mayor

    prioridad.

    Header (Encabezado)

    Cabecera

    La cabecera, indica el tiempo y el nombre del ordenador que emite el mensaje.

    El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del mes

    en ingls, dd, es el da del mes, y el resto es la hora. No se indica el ao.

    El nombre de ordenador (hostname), o la direccin IP si no se conoce el nombre.

    MSG (Mensaje)

  • 7/22/2019 2syslog

    4/4

    El mensaje es el texto del mensaje Syslog, junto con informacin adicional sobre el proceso que ha generado e

    mensaje. Los mensajes Syslog generados por los dispositivos Cisco IOS comienzan con un signo de porcentaje (%) y

    utilizan el formato siguiente:

    % FACILIDAD-GRAVEDAD-MNEMNICO: Mensaje de texto

    El nemnico es un cdigo especfico del dispositivo que identifica de forma nica el mensaje como "arriba", "abajo"

    "cambiar", "config", etc Por ejemplo:

    *Sep 16 08:50:47.359 EDT: %SYS-5-CONFIG_I: Configured from console by vty0 10.18.86.123

    Los recursos en cisco son un mtodo de forma libre de identificar el tipo de mensaje de origen, como SYS, IP, LDP, L2

    MEM, filesys, Dot11, LINEPROTO, etc.

    Se recomienda activar el NTP en toda la red y de la arquitectura del sistema para asegurar las marcas de tiempo

    correctas son reportadas. Esto asegura que todos los mensajes Syslog entrantes se sincronizan de manera que pueda

    determinar efectivamente el tiempo y la correlacin de eventos de entrada correcta.

    NTP

    Es un protocolo de Internet para sincronizar los relojes de los sistemas informticos a travs del enrutamiento de

    paquetes en redes. NTP utiliza UDP como su capa de transporte, usando el puerto 123.

    NTP est diseado para sincronizar la hora del da entre un conjunto de servidores y clientes en una red. Se ejecuta

    sobre (UDP), utilizando el puerto 123 como el origen y el destino, que a su vez se ejecuta a travs de IP.

    El Protocolo de Tiempo de Red (NTP) sincroniza la hora del da entre un conjunto de servidores y clientes de tiempo

    distribuidos de modo que pueda correlacionar eventos cuando reciba los registros del sistema y otros evento

    especficos con el de mltiples dispositivos de red

    COMADOS DE CONFIGURACION:

    NTP

    R1(config)#ntp server [IP DEL SERVIDOR]

    R1(config)#ntp update-calendar

    Syslog

    R1(config)#logging host [IP DEL SERVIDOR]

    R1(config)#service timestamps log datetime msec