Syslog přehled a konfigurace

už jste někdy hrubě přerušen routerem nebo přepínačem? Jen tak, píšete pryč, staráte se o své vlastní podnikání, a najednou, puf, je tu zpráva, a pak další. Pokračujete v psaní, další, co to je? Tyto zprávy jsou známé jako zprávy syslog a jsou to zprávy, které generují naše směrovače a naše přepínače, aby nás informovaly o něčem, co se stalo. A může to být celá řada věcí, které se vyskytly od všeho, co souvisí s nouzovým stavem, až po něco, co je jen jednoduché oznámení. Nyní, když vidíme zprávu syslog, zdá se nám, jak? Pokud nás utěší, zdá se nám to na naší konzolové lince. Pokud jsme se připojili nebo zasunuli, objeví se to na našich koncových linkách. Ale počkej, mám na tebe otázku. Pokud jsem Telnet nebo SSH do zařízení, zobrazí se ve výchozím nastavení zprávy syslog?

ne a to je docela matoucí a neuvidíte ani ladění, dobře, neuvidíte ani ladicí zprávy. Zapnete debug, víte, že by to mělo vyplivnout nějaký výstup, ne. A je to proto, že k tomu musíme použít příkaz terminal monitor. A důvod, proč je nechtějí zaplavit vty sezení s velmi upovídaný ladí a zamykání, a v podstatě, vykopnout někoho z přehledného sezení, protože tam je tolik informací tam cestu. V podstatě můžete nakonfigurovat zprávy syslog, které mají být předány do různých destinací:

  • přihlášení vyrovnávací paměti
  • console-line
  • terminál line
  • syslog server

Takže ve výchozím nastavení, syslog zpráv jít do konzole řádku, ale ne k terminálu linky. Tyto zprávy syslog můžeme také odeslat do naší vyrovnávací paměti. Jaký je nárazník? Paměť, lidi, paměť. Ale tyto tři možnosti, které vidíme, jsou uvedeny jako první, vyrovnávací paměť, linka konzoly, koncová linka… co se stane, když například ztratíme energii nebo se odhlásíme ze zařízení a vrátíme se? Budou tam ty zprávy pořád? Ne, jsou pryč, jsou pryč nadobro. Takže nám to po faktu nepomůže. Pokud jste se utěšili, uvidíte to, skvělé, v tu chvíli nám to pomůže, ale pokud se generuje, když nejsme přihlášeni,neuvidíme informace, které potřebujeme. Takže spodní možnost-syslog server, je to opravdu skvělá volba. Vezměme si tyto zprávy syslog a pošleme je na server syslog. A jakmile jsou na serveru syslog, můžeme je filtrovat, můžeme je procházet, můžeme zjistit, jestli není něco neobvyklého.

Syslog message format

chtěl bych, abyste si mysleli, jak mohu extrahovat některé použitelné informace, které mohu použít pro své vlastní prostředí v tomto modulu, ve kterém jsme právě teď? Nyní je jednoduchý protokol pro správu sítě nebo SNMP sporný? Možná nebudete mít rozpočet, software a vytrvalost k tomu SNMP rollout. Ale syslog je úplně jiný, je to tak zatraceně snadné konfigurovat a tak silný zároveň. A tam jsou zdarma syslog servery, které jsou tam venku. Takže ve skutečnosti není opravdu dobrá omluva, že nebudete dělat správu syslogu a my jsme velcí fanoušci v Cisco, opravdu jsme. Mluvíte s každým, kdo ve své kariéře udělal spoustu věcí Cisco, a jsou to jeho fanoušci.

jaký je nejúčinnější mechanismus protokolování z hlediska režie na podvozku? Chci, abyste na to mohli odpovědět, možná ne pro většinu přidružených úrovní, ale pokud někdy mluvíte o syslogu ve zkušebním prostředí, je to jedna otázka, která je běžným místem. Tak co si myslíte? Odpověď je přihlášení do vyrovnávací paměti, dobře. Protokolování do vyrovnávací paměti je mnohem efektivnější než jakákoli jiná modalita. Proč? Protože je to RAM a RAM je rychlá. Takže jen jeden malý nugget, který si z toho můžete vzít, jen pro případ.

existuje něco, čemu se říká zařízení syslog zpráv, a když uslyšíte toto slovo zařízení, je těžké ve skutečnosti vědět, co to znamená, jen analýzou slova, což je nešťastné. Zařízení opravdu znamená, že formátování se provádí pro všechny tyto informace. Myslím, že máme spoustu informací, že jo. Jak to naformátuji? A tak v některých případech budete chtít přeformátovat. A konkrétní případ, který mám na mysli, jsou CiscoWorks. Pokud propojujeme s CiscoWorks, chtěli bychom změnit zařízení pro protokolování zpráv na local 7.

Obecné formátu syslog zprávy generované syslog proces na Cisco IOS software:

seq č.:razítko: %zařízení-závažnost-MNEMOTECHNICKÁ pomůcka:popis

Příklad syslog zprávu, informovat správce, že FastEthernet 0/24 rozhraní přišel:

*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Line protokol na Rozhraní FastEthernet0/24, změněný stav až

Takže CiscoWorks je nejen Sítě, Software pro Správu, nebo NMS, od simple network management pohledu, ale mohli bychom také posílat zprávy syslog CiscoWorks‘ box. A to je, ve skutečnosti, jak mnoho z těchto zařízení NMS práce, potřebují informace z mnoha různých zdrojů získat úplný obrázek o tom, co se děje?

řekněme, že jsem nastavil své zařízení jako obvykle a obvykle se toho nedotkneme, pokud mimochodem posíláme zprávu syslog nebo server syslog. Ale pokud je to CiscoWorks, můžeme říci místní 7 pro zařízení. Ale vidím tu spoustu věcí, co se týče čísel, jako úroveň závažnosti. Jaký je problém s úrovní závažnosti zpráv syslog?

Úroveň Závažnosti Jméno Popis
0 mimořádné události Router nepoužitelný
1 Upozornění Immediate action required
2 Kritické je v kritickém Stavu
3 Chyby Chybový stav
4 Varování Varování stavu
5 Upozornění Normální, ale důležité události
6 Informační Informační zprávy
7 Ladění Ladicí zprávy

Tyto úrovně závažnosti se bude ukazovat, jak důležité to syslog zpráva je k nám v tomto konkrétním bodě v čase. Například, podívejte se na úroveň 6, informační; dává nám nějaké informace o něčem, co se stalo. Náš příklad ukazuje úroveň 5, Úroveň 5 je oznámení. Oznámení o čem? Naše rozhraní změnilo stav na nahoru. Ale chci, abyste viděli vzorec zde. Jdeme z 0 na 7, 0 je nejhorší, 7 je ladění. Jak zapneme zprávu syslog úrovně 7? Musíme povolit ladicí příkaz, tak se budou zobrazovat. Takže ve výchozím nastavení nemůžete vidět žádnou úroveň 7s.

ale všechno ostatní od 0 do 6, to je férová hra hned na pálce. Bude opravdu skvělé vědět, jestli máme nouzovou situaci a náš router je nestabilní. Ale všimněte si, jak máme jméno spojené s každou z těchto úrovní, jakož. A zpočátku je těžké si je zapamatovat, je těžké si uvědomit, že 2 je kritické, nebo 4 je varování. Ale postupem času, čím více budete hrát s syslog, čím více se podíváte na tabulku, tím více si budete pamatovat, že máme tyto úrovně spojené s těmito jmény a co znamenají.

Syslog configuration

velmi málo protokolů a technologií je tak jednoduché konfigurovat a miluji přímočaré. Taky se mi líbí komplex, jak víte, ale tenhle je skvělý, dobře. Takže přejdete do globálního konfiguračního režimu a mimochodem, nejsme syslog servery. Chtěl bych, abyste pochopili, že nejsme Syslog server, router, přepínač, ne je to syslog klient! Čerpáme na server. To by tedy znamenalo, že bychom museli mít spuštěnou aplikaci na nějakém typu zařízení, které může shromažďovat tyto zprávy syslog. Jo a tam je nějaký volný syslog software, který je tam venku, tam je také některé drahé věci, které dělá lepší korelaci dat, která je uvnitř něj a reporting. Ale chtěli byste IP připojení mezi klientem a serverem a my jsme klient a ukazujeme na server s IP adresou.

R1 (config)#protokolování 10.1.10.100
R1(config)#logging trap informační

ve skutečnosti, to je jediný příkaz, který by bylo nezbytné začít střílet ty, syslog zprávy na serveru. Ale pamatujte na úroveň závažnosti? Nechceme všechno zaznamenávat a to je obecné pravidlo. Jaký byl rozsah? 0 až 7, 7 je ladění, obvykle to vylučujeme a často vylučujeme také úroveň 6. Jsem v pořádku s 6 a níže, ale když řeknete příkaz protokolovací pasti, říkáte, jak špatné nebo jak bezvýznamné půjdete? Jak bezvýznamné budete jít?

a obecné myšlenky jsou log 5 až 0 nebo 6 až 0. Ale vyloučit 7, pokud nemáte konkrétní problém, se kterým se zabýváte, který vyžaduje dlouhodobé ladění, což je velmi situační, protože to negativně ovlivní váš podvozek. A opravdu se snažíme vyhnout ladění po delší dobu. Ale tady je skvělá zpráva, chcete nakonfigurovat syslog, jen jeden příkaz, ten nejlepší, který je vše, co potřebujete.



+