1. Introdução ao syslog · 2017-05-25 · Extraída de CCNA Connecting Networks - Cisco...

Instituto Federal do Sul de Minas - Campus Inconfidentes

Curso Superior de Tecnologia em Redes de Computadores

Gerenciamento de Redes

Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy

1

1. Introdução ao syslog

Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm

mecanismos confiáveis para notificar o administrador com mensagens de sistema

detalhadas. Essas mensagens podem ser não críticas ou significativas. Os administradores

de rede dispõem de várias opções de armazenamento, interpretação e exibição dessas

mensagens, bem como para o recebimento de alertas referentes às mensagens que

provocam maior impacto na infraestrutura de rede.

O método mais comum de acesso às mensagens de sistema enviadas pelos

dispositivos de rede consiste em usar um protocolo denominado syslog.

Syslog é o termo usado para descrever um padrão. Também é usado para

descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido

para sistemas UNIX na década de 1980, mas foi documentado primeiro como RFC 3164

pelo IETF em 2001. O syslog usa a porta UDP 514 para enviar mensagens de notificações

de eventos em redes IP a coletores de mensagens de eventos, conforme demonstrado na

figura 1.

Figura 1 - Syslog

Muitos dispositivos de rede oferecem suporte ao syslog, inclusive roteadores,

switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo

syslog permite que os dispositivos de rede enviem mensagens de sistema pela rede aos





2

servidores syslog. É possível criar uma rede fora da banda (OOB, out-of-band) especial

para essa finalidade.

Há vários pacotes diferentes de software de Servidor syslog para Windows e UNIX.

Muitos deles são freeware.

O serviço de logging de syslog oferece três funções principais:

Capacidade de coletar informações de registro para o monitoramento e a identificação e solução de problemas

Capacidade de selecionar os tipos de informação de registro capturados

Capacidade de especificar os destinos das mensagens capturadas de syslog

2. Operação de Syslog

Nos dispositivos de rede da Cisco, o protocolo syslog começa com o envio de

mensagens de sistema e a saída do comando debug para um processo de logging local

interno do dispositivo. O modo pelo qual o processo de logging gerencia essas mensagens

e saídas varia de acordo com as configurações do registro. Por exemplo, as mensagens de

syslog podem ser enviadas pela rede a um Servidor syslog externo. Tais mensagens

podem ser recuperadas sem a necessidade de acesso ao dispositivo real. As mensagens

de log e as saídas armazenadas no Servidor externo podem ser inseridas em vários

relatórios para facilitar a leitura.

Por sua vez, as mensagens de syslog podem ser enviadas a um buffer interno. As

mensagens enviadas ao buffer interno só podem ser exibidas por meio do CLI do

dispositivo.

Por fim, o administrador de rede pode especificar que apenas certos tipos de

mensagens de sistema sejam enviados a vários destinos. Por exemplo, o dispositivo pode

ser configurado para encaminhar todas as mensagens de sistema a um Servidor syslog

externo. No entanto, as mensagens no nível de depuração (debug) são encaminhadas ao

buffer interno e somente podem ser acessadas pelo administrador a partir do CLI.





3

Figura 2 - Opções de Destino de Mensagens de Syslog

Conforme mostrado na figura 2, os destinos mais comuns das mensagens de syslog

incluem:

Buffer de logging (RAM dentro de um roteador ou switch)

Linha de console

Linha do terminal

Servidor syslog

É possível monitorar remotamente as mensagens do sistema por meio da

visualização dos logs em um Servidor syslog ou por meio do acesso ao dispositivo pelo

Telnet, SSH ou através da porta de console.

3. Formato de mensagem do Syslog

Os dispositivos da Cisco geram mensagens de syslog como resultado de eventos de

rede. Todas as mensagens de syslog contêm um nível de gravidade e recurso.

Os níveis numéricos menores correspondem aos alarmes de syslog mais

importantes. O nível de gravidade das mensagens pode ser definido para controlar o local

onde cada tipo de mensagem é exibido (isto é, na console ou em outros destinos). A lista

completa de níveis de syslog é mostrada na figura 3.





4

Figura 3 - Nível de Gravidade no Syslog

Cada nível de syslog tem seu próprio significado:

Nível de aviso - Nível de emergência - Essas mensagens são mensagens de

erro sobre defeitos de software ou hardware; esses tipos de mensagens

significam que a funcionalidade do dispositivo é afetada. A gravidade do

problema determina o nível real de syslog aplicado.

Nível de depuração - Esse nível indica que as mensagens consistem em saídas

geradas pela emissão de vários comandos debug.

Nível de notificação - O nível de notificações destina-se apenas à informação, a

funcionalidade do dispositivo não é afetada. Mensagens de transições de

ativação e desativação de interface e reinicialização do sistema são exibidas no

nível de notificações.

Além de especificar a gravidade, as mensagens de syslog também contêm

informações sobre o recurso. Os recursos de syslog são identificadores de serviço que

identificam e categorizam dados de estado do sistema para relatórios de mensagens de

erros e eventos. As opções de recurso de registro disponíveis são específicas para o

dispositivo de rede. Por exemplo, os switches Cisco série 2960 com Cisco IOS versão

15.0(2) e os roteadores Cisco 1941 com Cisco IOS versão 15.2(4) oferecem suporte a 24

opções de recursos, categorizadas em 12 tipos.

Alguns recursos de mensagens de syslog comuns relatados nos roteadores Cisco

IOS incluem:





5

IP

Protocolo OSPF

Sistema operacional SYS

IP Security (IPsec)

Interface IP (IF)

Por padrão, este é o formato das mensagens de syslog no software Cisco IOS:

seq no: timestamp: %principal-gravidade-MNEMONIC: descrição

Os campos contidos na mensagem de syslog do software Cisco IOS são explicados

na figura 4.

Figura 4 - Formato de Mensagem do Syslog

Por exemplo, em um switch Cisco, a saída que indica a alteração de estado de um

link EtherChannel para ativado é:

00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up

Aqui, o recurso principal é LINK e o nível de gravidade é 3, com um mnemônico de

UPDOWN.

As mensagens mais comuns são mensagens de estado active e inactive de link e as

mensagens produzidas pelo dispositivo quando este sai do modo de configuração. Se o





6

registro de ACL estiver configurado, o dispositivo gerará mensagens de syslog quando os

pacotes corresponderem a uma condição do parâmetro.

4. Carimbo de data e hora de serviço

As mensagens de log podem receber carimbos de data e hora, e é possível definir o

endereço origem delas. Isso aprimora o gerenciamento e depuração em tempo real.

Quando o comando de modo de configuração global service timestamps log

uptime é inserido, o tempo transcorrido desde a última inicialização do switch é exibido

nos eventos registrados. Uma versão mais útil desse comando aplica a palavra-

chave datetime no lugar da palavra-chave uptime; isso força cada evento registrado a

exibir a data e a hora associadas a cada evento.

Durante o uso da palavra-chave datetime, é necessário definir o relógio no

dispositivo de rede. Isso pode ser feito de uma destas maneiras:

Definição manual com o comando clock set

Definição automática com o NTP (Network Time Protocol)

Lembre-se de que o NTP é o protocolo usado para permitir que os dispositivos de

rede sincronizem suas configurações de hora com um Servidor NTP.

Para permitir que o relógio de software seja sincronizado por um Servidor de horário

NTP, use o comando ntp server ip-address no modo de configuração global. Um

exemplo de configuração é exibido na figura 5. R1 está configurado como um cliente NTP,

enquanto o roteador R2 funciona como um Servidor NTP autoritativo. Um dispositivo de

rede pode ser configurado como um Servidor NTP para permitir que outros dispositivos

sincronizem sua hora, ou como um cliente NTP.





7

Figura 5 - Configuração do NTP

No restante deste capítulo, pressupõe-se que o relógio foi definido e que o comando

service timestamps log datetime foi configurado em todos os dispositivos.

5. Servidor Syslog

Para exibir as mensagens de syslog, é necessário instalar um Servidor syslog em

uma estação de trabalho na rede. Há várias versões freeware e shareware de syslog, bem

como versões corporativas para compra. Na figura 6, uma versão de avaliação do Kiwi

Syslog Daemon é exibida em um computador Windows 7.

Figura 6 - Tela Principal de um Servidor Syslog





8

O Servidor syslog oferece uma interface relativamente amigável ao usuário para a

visualização da saída do syslog. O Servidor analisa a saída e coloca as mensagens em

colunas predefinidas para facilitar a interpretação. Se os carimbos de data e hora estiverem

configurados no dispositivo de rede que gera as mensagens de syslog, a data e a hora de

cada mensagem será exibida na saída do Servidor syslog, conforme mostrado na figura 7.

Figura 7 - Exibição de Mensagem em um Servidor Syslog

Os administradores de rede podem facilmente navegar pela grande quantidade de

dados compilada em um Servidor syslog. Uma vantagem de visualizar mensagens de

syslog em um Servidor syslog é a capacidade de executar pesquisas detalhadas nos

dados. Além disso, o administrador de rede pode excluir rapidamente do banco de dados

as mensagens sem importância.

6. Registro padrão

Por padrão, os roteadores e switches Cisco enviam mensagens de log para todos os

níveis de gravidade para o console. Em algumas versões do IOS, o dispositivo também

armazena as mensagens de log em buffers por padrão. Para ativar essas duas

configurações, use os comandos de configuração global logging console e logging

buffered, respectivamente.





9

O comando show logging exibe as configurações de serviço de logging padrão

em um roteador Cisco, conforme mostrado na figura 8. As primeiras linhas da saída listam

informações sobre o processo de logging, enquanto as linhas finais mostram as

mensagens de log.

A primeira linha destacada informa que esse roteador faz registros no console e

inclui mensagens de depuração (debug). Isso na verdade significa que todas as

mensagens de nível de depuração, bem como as mensagens de nível inferior (como

mensagens de nível de notificação), são registradas no console. A saída indica também

que 32 dessas mensagens foram registradas.

Figura 8 - Configurações de Serviços de Logging Padrão





10

A segunda linha destacada informa que esse roteador faz registros em um buffer

interno. Como esse roteador ativou o registro em um buffer interno, o comando show

logging lista também as mensagens nesse buffer. Você pode visualizar no fim da saída

algumas das mensagens de sistema que foram registradas.

7. Comandos de roteador e switch para clientes de syslog

São necessárias três etapas para que o roteador envie mensagens do sistema a um

Servidor syslog, onde elas podem ser armazenadas, filtradas e analisadas:

Etapa 1. Configure o nome do host destino ou o endereço IP do Servidor syslog no modo

de configuração global:

R1(config)# logging 192.168.1.3

Etapa 2. Controle as mensagens que serão enviadas ao Servidor syslog com o comando

de modo de configuração global logging trap level. Por exemplo, para limitar as

mensagens aos níveis 4 e inferiores (0 a 4), use um destes dois comandos equivalentes:

R1(config)# logging trap 4

R1(config)# logging trap warning

Etapa 3. Se desejar, configure a interface origem com o comando de modo de

configuração global logging source-interface interface-type interface

number. Ele especifica que os pacotes de syslog contêm o endereço IPv4 ou IPv6 de uma

interface específica, independentemente da interface usada pelo pacote para sair do

roteador. Por exemplo, para definir a interface origem como g0/0, use este comando:

R1(config)# logging source-interface g0/0

Na figura 9, R1 é configurado para enviar mensagens de log de níveis 4 e inferiores

para o Servidor syslog em 192.168.1.3. A interface origem é definida como G0/0. Uma

interface de loopback é criada, desativada, e depois ativada novamente. A saída do

console reflete essas ações.





11

Mostrado na figura 10, o Servidor syslog Tftpd32 foi configurado em um computador

Windows 7 com o endereço IP 192.168.1.3. Como você pode observar, as únicas

mensagens que aparecem no Servidor syslog são aquelas com nível de gravidade 4 ou

inferior (mais grave). As mensagens com nível de gravidade 5 ou superior (menos grave)

aparecem na saída de console do roteador, mas não aparecem na saída do Servidor

syslog, pois logging trap limita as mensagens de syslog enviadas a esse Servidor de

acordo com a gravidade destas.

Figura 9 - Configuração de Syslog





12

Figura 10 - Saída do Servidor Syslog

8 - Verificação de Syslog

Use o comando show logging para exibir as mensagens registradas. Quando o

buffer de registro for grande, será útil usar a opção de pipe (|) com o comando show

logging. A opção de pipe permite que o administrador diga especificamente quais

mensagens devem ser exibidas.

Por exemplo, a emissão do comando show logging | include changed

state to up, conforme mostrado na figura 11, assegura que somente as notificações de

interface que afirmam que a interface teve “seu estado alterado” ("changed to state up")

serão exibidas.

A figura 12 mostra que a emissão do comando show logging | begin June

12 22:35 exibe o conteúdo do buffer de registro que ocorreu em 12 de junho ou depois

dessa data.





13

Figura 11 - Verificação de Syslog - Parte 1

Figura 12 - Verificação de Syslog - Parte 2

1. Introdução ao syslog · 2017-05-25 · Extraída de CCNA Connecting Networks - Cisco...

Documents

Transcript of 1. Introdução ao syslog · 2017-05-25 · Extraída de CCNA Connecting Networks - Cisco...