Syslog

Werbung
ITS-LABOR
NWM
Syslog
1. Einführung
Das Syslog Protokoll (RFC 3164) ermöglicht es einem Netzknoten „event notification
messages“ über ein IP Netzwerk an einen „event notification collector“ oder auch Syslog
Server zu versenden. Da grundsätzlich die Systemnachrichten von Betriebssystemen,
Prozessen und Applikationen sehr unterschiedlich sein können, wurde bewusst der Inhalt von
Systemnachrichten im Syslog Protokoll nicht spezifiziert. Das Protokoll ist lediglich dafür
gedacht eine Systemnachricht zu transportieren. Da das Protokoll keine
Quittierungsmechanismen vorsieht, ist es durchaus möglich, dass Nachrichten an einen Server
gesendet werden der nicht läuft bzw. physikalisch gar nicht existiert. Der Standard sieht aber
vor, dass beispielsweise Betriebssystemhersteller ihre „System Messages“ in definierte
Kategorien einteilen. Dadurch wird eine flexiblere Konfiguration des Gesamtsystems
erreicht. So wird es beispielsweise möglich „unwichtige“ Meldungen nur an einer Konsole
auszugeben, alle anderen Meldungen lokal zu speichern und zusätzlich bestimmte Meldungen
einer Kategorie an einen Syslog Server weiterzuleiten. Syslog ist ein Protokoll auf
Anwendungsebene und verwendet UDP als Transportprotokoll. Dazu schlägt der Standard
Port 514 sowohl für die Verwendung als Syslog Server als auch als Syslog Client vor.
Syslog Message Format:
Eine Syslog Nachricht besteht im Wesentlichen aus drei Komponenten: Einem Selektor Priority genannt -, einem Header und dem eigentlichen Inhalt. Der ein Byte große PrioritySelektor besteht aus zwei Teilen: dem Facility-Feld und dem Severity-Feld. Damit lassen sich
die Syslog-Meldungen entsprechend ihrer Herkunft und ihres Schweregrades
klassifizieren. Das die letzten drei Bits der Priority umfassende Severity-Feld enthält
einen numerischen Wert zwischen 0 und 7, wobei 0 die kritischste oder dringlichste Stufe ist:
0 - emerg Emergency
1 - alert Alert
2 - crit Critical
3 - err Error
4 - warn Warning
5 - notice Notice
6 - info Informational
7 - debug Debug
Das die ersten fünf Bits der Priority umfassende Facility-Feld enthält einen numerischen
Wert, der den Dienst oder die Komponente angibt, der die Syslog Nachricht erzeugt hat.
Die folgenden Werte sind laut RFC 3164 vordefiniert:
0 kernel messages
1 user-level messages
2 mail system
3 system daemons
4 security/authorization messages
5 messages generated internally by syslogd
6 line printer subsystem
Seite 1 von 4
© Studiengang ITS -- FH Salzburg 13/14
nwm_syslog.docx
ITS-LABOR
NWM
7 network news subsystem
8 UUCP subsystem
9 clock daemon
10 security/authorization messages
11 FTP daemon
12 NTP subsystem
13 log audit
14 log alert
15 clock daemon
16 local0
17 local1
18 local2
19 local3
20 local4
21 local5
22 local6
23 local7
Für allgemeine syslog-Nachrichten sind die Werte 16 - 23 vorgesehen (local0 bis local7). Es
ist aber durchaus zulässig, auch die vordefinierten Werte 0 bis 15 für eigene Zwecke zu
verwenden. Mit Hilfe des Priority-Selektors kann leicht nach bestimmten Meldungen gefiltert
werden, wie beispielsweise: "Erfasse alle Mailserver-Nachrichten vom Schweregrad
error".
Der Header enthält einen Zeitstempel sowie Name oder IP-Adresse des Absenders der
syslog-Nachricht. Der Zeitstempel wird vom Empfänger, also dem Syslog-Server,
eingefügt. Er enthält das Datum und die lokale Uhrzeit zum Empfangszeitpunkt. Häufig wird
zusätzlich Absendedatum und -uhrzeit in der eigentlichen Meldung untergebracht.
2. Übungen
2.1 Topologie
Bauen sie für die Übung eine Topologie nach eigener Definition auf.
(Cisco Hardware, Orinoco Proxim)
2.2 Console zu einem Cisco Router – Systemmessage erzeugen
Stellen sie eine Consolen-Verbindung mit dem Router her und erzeugen sie eine
Systemmessage.
Router# conf t
Router(config)# exit
Router#
01:13:09: %SYS-5-CONFIG_I: Configured from console by console
2.3 Telnet – Systemmessage erzeugen
Seite 2 von 4
© Studiengang ITS -- FH Salzburg 13/14
nwm_syslog.docx
ITS-LABOR
NWM
Aktivieren sie am Router Telnet (line vty) und stellen sie dann von einem Arbeitsplatz PC
eine Telnet-Verbindung zum Router her. Erzeugen sie wie unter 2.2 eine
Systemmessage.
Aufgabe:
Lassen sie Systemmessages auch bei Telnet Verbindungen ausgeben (terminal monitor).
Frage:
Wie kann man den Severity Level für Telnet Ausgaben einstellen?
2.4 Debug – Systemmessages erzeugen
Durch den Befehl debug im “enabled“ Modus können gezielt Nachrichten erzeugt werden:
Router# debug ?
Router# debug telnet
Incoming Telnet debugging is on
Router# exit
Aktivieren sie abwechselnd Debug für console und telnet um dadurch An-/AbmeldeNachrichten zu erzeugen.
Router# debug all
ACHTUNG!!! Erzeugt viele Messages ? no debug all / undebug all
2.5 Speichern von Syslogs auf zentralem Syslog Server unter Windows
Das Programm 3CDaemon bietet neben einem TFTP und FTP Server und Client auch
einen Syslog Server für Windows.
Aufgaben:
•
•
•
•
3CDaemon von der Kurs-Webseite herunterladen und installieren)
3CDaemon starten.
Syslog Server konfigurieren
Syslog Server starten
Konfigurieren sie den Router so, dass er seine Lognachrichten an den Windows Syslog
Server sendet.
Router# conf t
Router(config)# logging host 192.168.1.2
Seite 3 von 4
© Studiengang ITS -- FH Salzburg 13/14
nwm_syslog.docx
ITS-LABOR
NWM
Router(config)# logging trap debug
Router(config)# logging facility local1
Router(config)# logging on
Router(config)# exit
Router# show logging
Router# debug all
Im Programm 3CDaemon sollten sie nun die Syslog Nachrichten empfangen.
Frage:
•
Was bedeuten diese Befehle?
2.6 Speichern von Syslogs auf zentralem Syslog Server unter Linux
Bei dieser Übung soll der Windows Syslog Server durch einen Syslog Server unter Linux
ersetzt werden. Die Konfiguration des Routers ist wie bei 2.5, jedoch muss die Host
Adresse auf die IP des Linux PC geändert werden. Am Linux PC muss der Syslog Server
konfiguriert und gestartet werden.
Seite 4 von 4
© Studiengang ITS -- FH Salzburg 13/14
nwm_syslog.docx
Zugehörige Unterlagen
Herunterladen
Explore flashcards