Syslog Oversigt og konfiguration

har du nogensinde været uhøfligt afbrudt af en router eller din kontakt? Bare sådan, du skriver væk, du tænker på din egen virksomhed, og pludselig, poof, der er en besked, og derefter en anden. Du fortsætter med at skrive, en anden, Hvad er det? Disse er kendt som syslog-meddelelser, og de er meddelelser, som vores routere og vores kontakter genererer for at underrette os om noget, der er sket. Og det kan være en bred vifte af ting, der er sket fra alt relateret til en nødsituation til noget, der bare er en simpel anmeldelse. Nu, at syslog besked, som vi ser, det ser ud til os, hvordan? Nå, hvis vi er trøstet ind, ser det ud til os på vores konsollinje. Hvis vi har Telnettet eller SSHed i, så vises det på vores terminallinjer. Men vent et øjeblik, jeg har et spørgsmål til dig. Hvis jeg Telnet eller SSH til en enhed, vil jeg se syslog meddelelser som standard?

Nej, og det er ret forvirrende, og du vil ikke engang se debugs, okay, du vil ikke engang se debug beskeder. Du tænder for en debug, du ved, at det skal spytte noget output ud, Nej. Og det er fordi vi er nødt til at bruge kommandoen terminal monitor for at aktivere det. Og grunden til det er, de ønskede ikke at oversvømme vty-sessioner med meget chatty debugs og låsning, og dybest set, bump nogen ud af en brugbar session, fordi der er så meget information på den måde. Dybest set kan du konfigurere syslog-meddelelser, der skal videresendes til forskellige destinationer:

  • logging buffer
  • konsollinje
  • terminallinje
  • syslog server

så som standard går syslog-meddelelser til konsollinjen, men ikke til terminallinierne. Vi kan også sende disse syslog-meddelelser til vores buffer. Hvad er bufferen? Hukommelse, folk, hukommelse. Men disse tre muligheder, som vi ser opført først, buffer, konsol linje, terminal linje… hvad vil der ske, hvis vi for eksempel mister strøm, eller vi logger af enheden og kommer tilbage? Vil disse meddelelser stadig være der? Nej, de er væk, de er væk for altid. Så det hjælper os ikke efter det faktum. Hvis du har trøstet dig ind, vil du se det, godt, det vil hjælpe os på det tidspunkt, men hvis det genereres, når vi ikke er logget ind, vil vi ikke se de oplysninger, vi har brug for. Så den nederste mulighed-syslog-serveren, det er en rigtig god mulighed. Lad os tage disse syslog beskeder og lad os sende dem til en syslog server. Og så når de er på den syslog-server, kan vi filtrere dem, vi kan gennemse dem, vi kan se, om der er noget unormalt.

Syslog message format

jeg vil gerne have, at I tænker, Hvordan kan jeg udtrække nogle brugbare oplysninger, som jeg kan anvende på mit eget miljø i dette modul, som vi er i lige nu? Nu er simpel Netværksstyringsprotokol, eller SNMP, tvivlsom, ikke? Du har muligvis ikke budgettet, programmet og udholdenheden til at udføre en SNMP-udrulning. Men syslog er helt anderledes, det er så darned let at konfigurere og så kraftfuld på samme tid. Og der er gratis syslog servere, der er derude. Så faktisk er der ikke rigtig en god undskyldning for ikke at gøre syslog management, og vi er store fans af det i Cisco, det er vi virkelig. Du taler med enhver person, der har gjort en masse Cisco ting i deres karriere, og de er fans af det.

Hvad er den mest effektive logningsmekanisme med hensyn til overhead på chassis? Jeg vil have dig til at kunne svare på dette, måske ikke for dit flertal på associeret niveau, men hvis du nogensinde taler om syslog i et eksamensmiljø, er det det ene spørgsmål, der er slags fælles sted. Så hvad tror du folk? Svaret er at logge på bufferen, okay. Logning til bufferen er meget mere effektiv end nogen anden modalitet. Hvorfor? Fordi det er RAM og RAM er hurtig. Så bare en lille nugget at tage væk fra dette, bare i tilfælde.

der er noget, der hedder faciliteten af syslog-meddelelser, og når du hører dette ordfacilitet, er det svært at faktisk vide, hvad det betyder bare ved en analyse af ordet, hvilket er uheldigt. Facilitet betyder virkelig formateringen er gjort for alle disse oplysninger. Tænk, vi fik en masse information, ikke. Hvordan formaterer jeg det? Og i nogle tilfælde vil du gerne omformatere dette. Og den konkrete sag, jeg har i tankerne, er Ciscovorks. Hvis vi interagerer med Ciscoværker, vil vi gerne ændre faciliteten til logning af meddelelser til local 7.

generelt format af syslog-meddelelser genereret af syslog-processen på Cisco IOS-programmet:

tidsstempel: % facilitet-sværhedsgrad-huskeregel: beskrivelse

eksempel på syslog-besked, der informerede administratoren om, at FastEthernet 0/24-grænsefladen kom op:

*Feb 22 11:29:55:423: %LINEPROTO-5-Opdatering: Linjeprotokol på Interface FastEthernet0 / 24, ændret tilstand til op

så Ciscovorks er ikke kun et Netværksstyringsprogram, eller NMS, fra simpel netværksstyrings perspektiv, men vi kunne også sende syslog-meddelelser til Ciscovorks’ boks. Og det er faktisk, hvor mange af disse NMS-enheder fungerer, de har brug for information fra mange forskellige kilder for at få et komplet billede af, hvad der foregår?

så lad os sige, at jeg fik min facilitet oprettet som normalt, og normalt rører vi ikke dette, hvis vi bare sender til en syslog-besked eller en syslog-server forresten. Men hvis det er Ciscoværker, kan vi sige local 7 for anlægget. Men jeg ser en masse ting foregår her i form af tal, ligesom en sværhedsgrad niveau. Hvad er aftalen med sværhedsgraden af syslog-meddelelserne?

sværhedsgrad navn beskrivelse
0 nødsituationer Router ubrugelig
1 advarsler øjeblikkelig handling påkrævet
2 kritisk kritisk tilstand
3 fejl fejltilstand
4 advarsler advarselstilstand
5 notifikationer Normal men vigtig begivenhed
6 information informationsmeddelelser
7 Debugging Debug besked

disse sværhedsgrader vil indikere, hvor vigtig denne syslog-meddelelse er for os på dette bestemte tidspunkt. Se for eksempel på niveau 6, informativ; det giver os nogle oplysninger om noget, der er sket. Vores eksempel viser et niveau 5, Niveau 5 er en anmeldelse. Meddelelse om hvad? Nå vores grænseflade ændret tilstand til op. Men jeg vil have dig til at se mønsteret her. Vi går fra 0 til 7, 0 er den værste, 7 er debugging. Hvordan tænder vi en syslog-besked på niveau 7? Vi er nødt til at aktivere en debug kommando, der er, hvordan de kommer til at blive vist. Så som standard kan du ikke se nogen niveau 7s.

men alt andet fra 0 til 6, Det er fair spil lige uden for flagermus. Det vil være rigtig dejligt at vide, om vi har en nødsituation, og vores router er ustabil. Men bemærk, hvordan vi også har et navn tilknyttet hvert af disse niveauer. Og i første omgang er det svært at huske disse, det er svært at huske, at 2 er kritisk, eller 4 er advarsler. Men over tid, jo mere du spiller rundt med syslog, jo mere du ser på et bord, jo mere vil du huske, at vi har disse niveauer forbundet med disse navne, og hvad de betyder.

Syslog configuration

meget få protokoller og teknologier er så ligetil at konfigurere, og jeg elsker ligetil. Jeg mener, jeg kan også lide kompleks som du ved, men denne er fantastisk, okay. Så du går ind i den globale konfigurationstilstand, og forresten er vi ikke syslog-servere. Jeg vil gerne have dig til at forstå det, vi er ikke en syslog-server, routeren, kontakten, nej det er en syslog-klient! Vi pumper til serveren. Så det ville betyde, at vi skulle have en applikation, der kører på en eller anden type enhed, der kan indsamle disse syslog-meddelelser. Ja, og der er nogle gratis syslog programmer, der er derude, der er også nogle dyre ting, der gør bedre korrelering af de data, der er inde i det og rapportering. Men du ønsker IP-forbindelse mellem klienten og serveren, og vi er klienten, og vi peger på serveren med IP-adressen.

R1(config)#logning 10.1.10.100
R1(config)#logging trap informational

nu er det faktisk den eneste kommando, der ville være nødvendig for at begynde at skyde disse syslog-meddelelser over til serveren. Men husk sværhedsgraden? Nå, vi ønsker ikke at logge alt, og det er den generelle tommelfingerregel. Hvad var rækkevidden? 0 til 7, 7 er debugging, vi udelukker normalt det, og ofte udelukker vi også niveau 6. Jeg er okay med 6 og derunder, men når du siger logfældekommandoen, siger du, hvor dårlig eller hvor ubetydelig vil du gå? Hvor ubetydelig vil du gå?

og de generelle tanker er log 5 til 0 eller 6 til 0. Men ekskluder 7, medmindre du har et specifikt problem, som du har at gøre med, der kræver en langvarig debug, hvilket er meget situationelt, fordi det vil påvirke dit chassis på en negativ måde. Og vi gør virkelig vores bedste for at forsøge at undgå debugging i langvarige perioder. Men her er de gode nyheder, du vil konfigurere syslog, kun en kommando, den øverste, der er alt, hvad der kræves.



+