Syslog-Übersicht und Konfiguration

Wurden Sie jemals von einem Router oder Ihrem Switch grob unterbrochen? Einfach so, du tippst weg, du kümmerst dich um dein eigenes Geschäft, und plötzlich, Puh, gibt es eine Nachricht, und dann noch eine. Du tippst weiter, ein anderer, was sind das? Dies sind Nachrichten, die unsere Router und Switches generieren, um uns über etwas zu informieren, das aufgetreten ist. Und es könnte eine Vielzahl von Dingen sein, die aufgetreten sind, von allem, was mit einem Notfall zu tun hat, bis hin zu etwas, das nur eine einfache Benachrichtigung ist. Nun, diese Syslog-Nachricht, die wir sehen, erscheint uns wie? Nun, wenn wir getröstet sind, erscheint es uns auf unserer Konsolenzeile. Wenn wir Telneted in oder SSHed in haben, dann erscheint es auf unseren Terminalleitungen. Aber warte mal, ich habe eine Frage an dich. Wenn ich Telnet oder SSH in ein Gerät, sehe ich Syslog-Nachrichten standardmäßig?

Nein und das ist ziemlich verwirrend und Sie werden nicht einmal Debugger sehen, okay, Sie werden nicht einmal Debug-Nachrichten sehen. Sie schalten ein Debug ein, Sie wissen, dass es eine Ausgabe ausspucken sollte, nein. Und das liegt daran, dass wir den Befehl terminal monitor verwenden müssen, um dies zu aktivieren. Und der Grund dafür ist, dass sie vty-Sitzungen nicht mit sehr gesprächigen Debuggern und Sperren überschwemmen und im Grunde jemanden von einer nutzbaren Sitzung abbringen wollten, weil so viele Informationen in diese Richtung gehen. Grundsätzlich können Sie die Syslog-Nachrichten so konfigurieren, dass sie an verschiedene Ziele weitergeleitet werden:

  • Protokollierungspuffer
  • Konsolenzeile
  • Terminalzeile
  • Syslog-Server

Standardmäßig werden Syslog-Nachrichten an die Konsolenzeile gesendet, jedoch nicht an die Terminalzeilen. Wir können diese Syslog-Nachrichten auch an unseren Puffer senden. Was ist der Puffer? Erinnerung, Leute, Erinnerung. Aber diese drei Optionen, die wir zuerst aufgelistet sehen, Puffer, Konsolenzeile, Terminalzeile… was passiert, wenn wir zum Beispiel den Strom verlieren oder uns vom Gerät abmelden und zurückkommen? Werden diese Botschaften noch da sein? Nein, sie sind weg, sie sind für immer weg. Das hilft uns also nicht im Nachhinein. Wenn Sie sich getröstet haben, werden Sie es sehen, großartig, es wird uns an diesem Punkt helfen, aber wenn es generiert wird, wenn wir nicht angemeldet sind, werden wir nicht sehen die Informationen, die wir brauchen. Also die untere Option – der Syslog-Server, es ist eine wirklich gute Option. Nehmen wir diese Syslog-Nachrichten und senden sie an einen Syslog-Server. Und dann, sobald sie auf diesem Syslog-Server sind, können wir sie filtern, wir können sie durchsuchen, wir können sehen, ob es etwas Abnormales gibt.

Syslog-Nachrichtenformat

Ich möchte, dass Sie Leute denken, wie kann ich einige brauchbare Informationen extrahieren, die ich in diesem Modul, in dem wir uns gerade befinden, auf meine eigene Umgebung anwenden kann? Jetzt Simple Network Management Protocol oder SNMP, ist es richtig? Möglicherweise verfügen Sie nicht über das Budget, die Software und die Ausdauer, um einen SNMP-Rollout durchzuführen. Aber Syslog ist völlig anders, es ist so verdammt einfach zu konfigurieren und so mächtig zugleich. Und es gibt kostenlose Syslog-Server, die da draußen sind. In der Tat gibt es keine wirklich gute Ausrede, kein Syslog-Management durchzuführen, und wir sind große Fans davon in Cisco, das sind wir wirklich. Sie sprechen mit jeder Person, die in ihrer Karriere viel Cisco-Zeug gemacht hat, und sie sind Fans davon.

Was ist der effizienteste Protokollierungsmechanismus in Bezug auf den Overhead auf dem Chassis? Ich möchte, dass Sie in der Lage sind, dies zu beantworten, vielleicht nicht für Ihre Mehrheit auf Associate-Ebene, aber wenn Sie jemals über Syslog in einer Prüfungsumgebung sprechen, ist es diese eine Frage, die irgendwie üblich ist. Also, was denkt ihr Leute? Die Antwort ist die Protokollierung im Puffer, okay. Die Protokollierung im Puffer ist viel effizienter als jede andere Modalität. Warum? Weil es RAM ist und RAM schnell ist. Also nur ein kleines Nugget zum Mitnehmen, nur für den Fall.

Es gibt etwas, das die Möglichkeit von Syslog-Nachrichten genannt wird, und wenn Sie dieses Wort Facility hören, ist es schwer zu wissen, was es bedeutet, nur durch eine Analyse des Wortes, was bedauerlich ist. Dies bedeutet wirklich, dass die Formatierung für alle diese Informationen erfolgt. Denken Sie, wir haben eine Menge Informationen, richtig. Wie formatiere ich das? In einigen Fällen möchten Sie dies neu formatieren. Und der spezielle Fall, an den ich denke, ist CiscoWorks. Wenn wir eine Schnittstelle zu CiscoWorks haben, möchten wir die Möglichkeit zum Protokollieren von Nachrichten in local 7 ändern.

Allgemeines Format der Syslog-Nachrichten, die vom Syslog-Prozess in der Cisco IOS-Software generiert werden:

seq no:timestamp: %facility-severity-MNEMONIC:description

Beispiel einer Syslog-Nachricht, die den Administrator darüber informiert, dass die FastEthernet 0/24-Schnittstelle aufgetaucht ist:

* Feb 22 11:29:55:423: % LINEPROTO-5-UPDOWN: Linie protokoll auf Interface FastEthernet0/24, geändert zustand zu up

So CiscoWorks ist nicht nur eine Netzwerk Management Software, oder NMS, von einfache netzwerk management der perspektive, aber wir könnten auch senden syslog nachrichten zu die CiscoWorks‘ box. Und das ist in der Tat, wie viele dieser NMS-Geräte funktionieren, sie benötigen Informationen aus vielen verschiedenen Quellen, um ein vollständiges Bild davon zu bekommen, was los ist?

Nehmen wir also an, ich habe meine Einrichtung wie gewohnt eingerichtet und normalerweise berühren wir dies nicht, wenn wir nur an eine Syslog-Nachricht oder einen Syslog-Server senden. Aber wenn es CiscoWorks ist, könnten wir Local 7 für die Einrichtung sagen. Aber ich sehe hier eine Menge Dinge in Bezug auf Zahlen, wie einen Schweregrad. Wie sieht es mit den Schweregraden der Syslog-Nachrichten aus?

Schweregrad Name Beschreibung
0 Notfälle Router unbrauchbar
1 Warnungen Sofortiges Handeln erforderlich
2 Kritisch Zustand kritisch
3 Fehler Fehlerzustand
4 Warnungen Warnbedingung
5 Benachrichtigungen Normales, aber wichtiges Ereignis
6 Informationen Informationsmeldungen
7 Debugging Debug-Nachricht

Diese Schweregrade geben an, wie wichtig diese Syslog-Nachricht für uns zu diesem bestimmten Zeitpunkt ist. Schau dir zum Beispiel Level 6 an, informativ; Es gibt uns einige Informationen über etwas, das passiert ist. Unser Beispiel zeigt eine Stufe 5, wobei Stufe 5 eine Benachrichtigung ist. Benachrichtigung über was? Nun, unsere Schnittstelle hat den Status auf up geändert. Aber ich möchte, dass Sie das Muster hier sehen. Wir gehen von 0 zu 7, 0 ist das Schlimmste, 7 ist schlecht. Wie aktivieren wir eine Syslog-Nachricht der Stufe 7? Wir müssen einen Debug-Befehl aktivieren, der so angezeigt wird. Standardmäßig können Sie also keine Level 7s sehen.

Aber alles andere von 0 bis 6, das ist auf Anhieb faires Spiel. Es wird wirklich toll sein zu wissen, ob wir einen Notfall haben und unser Router instabil ist. Beachten Sie jedoch, dass jeder dieser Ebenen auch ein Name zugeordnet ist. Und zuerst ist es schwer, sich an diese zu erinnern, es ist schwer, sich daran zu erinnern, dass 2 kritisch ist oder 4 Warnungen. Aber im Laufe der Zeit, je mehr Sie mit syslog herumspielen, je mehr Sie sich eine Tabelle ansehen, desto mehr werden Sie sich daran erinnern, dass wir diese Ebenen mit diesen Namen verknüpft haben und was sie bedeuten.

Syslog-Konfiguration

Nur sehr wenige Protokolle und Technologien sind so einfach zu konfigurieren, und ich liebe sie. Ich meine, ich mag auch komplexe, wie Sie wissen, aber dieser ist großartig, okay. Sie gehen also in den globalen Konfigurationsmodus und übrigens sind wir keine Syslog-Server. Ich möchte, dass Sie das verstehen, wir sind kein Syslog-Server, der Router, der Switch, nein, es ist ein Syslog-Client! Wir pumpen zum Server. Das würde also bedeuten, dass auf einem Gerätetyp eine Anwendung ausgeführt werden müsste, die diese Syslog-Nachrichten sammeln kann. Ja, und es gibt einige kostenlose Syslog-Software, die da draußen ist, es gibt auch einige teure Sachen, die die Daten, die darin enthalten sind, besser korrelieren und Berichte erstellen. Sie möchten jedoch eine IP-Konnektivität zwischen dem Client und dem Server, und wir sind der Client und verweisen mit der IP-Adresse auf den Server.

R1(config)#Protokollierung 10.1.10.100
R1(config)#logging trap:

Tatsächlich ist dies der einzige Befehl, der erforderlich wäre, um diese Syslog-Nachrichten an den Server zu senden. Aber erinnern Sie sich an die Schweregrade? Nun, wir wollen nicht alles protokollieren und das ist die allgemeine Faustregel. Was war die Reichweite? 0 bis 7, wobei 7 Debugging ist, schließen wir das normalerweise aus und oft schließen wir auch Level 6 aus. Ich bin in Ordnung mit 6 und darunter, aber wenn Sie den Befehl logging Trap sagen, sagen Sie, wie schlecht oder wie belanglos werden Sie gehen? Wie belanglos wirst du gehen?

Und die allgemeinen Gedanken sind log 5 zu 0 oder 6 zu 0. Aber windows 7 ausschließen, es sei denn, Sie haben ein bestimmtes Problem, mit dem Sie sich befassen, das ein lang andauerndes Debug erfordert, was sehr situativ ist, da sich dies negativ auf Ihr Chassis auswirkt. Und wir tun wirklich unser Bestes, um das Debuggen für längere Zeit zu vermeiden. Aber hier ist die gute Nachricht, Sie möchten Syslog konfigurieren, nur ein Befehl, der oberste, der alles ist, was es braucht.



+