¿Alguna vez le ha interrumpido bruscamente un enrutador o su conmutador? Así como así, estás escribiendo, estás ocupándote de tus propios asuntos, y de repente, puf, hay un mensaje, y luego otro. Sigues escribiendo, otro, ¿qué son esos? Estos se conocen como mensajes de syslog, y son mensajes que nuestros enrutadores y conmutadores generan para notificarnos sobre algo que ha ocurrido. Y podría ser una amplia gama de cosas que han ocurrido, desde cualquier cosa relacionada con una emergencia hasta algo que es solo una simple notificación. Ahora ese mensaje de syslog que vemos, ¿cómo se nos aparece? Bueno, si nos consolan, se nos aparece en nuestra línea de consolas. Si hemos llamado por teleneteo o entrado, entonces está apareciendo en nuestras líneas terminales. Pero espera un segundo, tengo una pregunta para ti. Si tengo Telnet o SSH en un dispositivo, ¿veré los mensajes syslog de forma predeterminada?
No y eso es bastante confuso y ni siquiera verás depuraciones, está bien, ni siquiera verás mensajes de depuración. Enciendes una depuración, sabes que debería escupir algo de salida, no. Y es porque tenemos que usar el comando monitor de terminal para habilitarlo. Y la razón es que no querían inundar las sesiones de vty con depuraciones y bloqueos muy conversadores, y básicamente, eliminar a alguien de una sesión utilizable porque hay mucha información en esa dirección. Básicamente, puede configurar los mensajes de syslog para que se reenvíen a varios destinos:
- búfer de registro
- línea de consola
- línea de terminal
- servidor syslog
De forma predeterminada, los mensajes syslog van a la línea de consola, pero no a las líneas de terminal. También podemos enviar esos mensajes de syslog a nuestro búfer. ¿Cuál es el buffer? Memoria, amigos, memoria. Pero estas tres opciones que vemos en primer lugar, búfer, línea de consola, línea de terminal… ¿qué va a pasar si, por ejemplo, perdemos energía o desconectamos el dispositivo y regresamos? ¿Esos mensajes seguirán ahí? No se han ido, se han ido para bien. Así que eso no nos ayuda después del hecho. Si te has consolado, lo verás, genial, nos ayudará en ese momento, pero si se genera cuando no estamos conectados, no veremos la información que necesitamos. Así que la opción inferior, el servidor syslog, es una opción realmente genial. Tomemos esos mensajes de syslog y envíelos a un servidor de syslog. Y luego, una vez que están en ese servidor de syslog, podemos filtrarlos, podemos navegar a través de ellos, podemos ver si hay algo anormal.
Formato de mensaje Syslog
Me gustaría que pensaran, ¿cómo puedo extraer información útil que pueda aplicar a mi propio entorno en este módulo en el que estamos ahora mismo? Ahora, el Protocolo de Administración de Red Simple, o SNMP, es cuestionable, ¿verdad? Es posible que no tenga el presupuesto, el software y la resistencia para hacer una implementación de SNMP. Pero syslog es totalmente diferente, es tan fácil de configurar y tan potente al mismo tiempo. Y hay servidores de registro de sistema gratuitos que están ahí fuera. Así que, de hecho, no hay una buena excusa para no administrar syslog y somos grandes fans de Cisco, realmente lo somos. Hablas con cualquier persona que haya hecho muchas cosas de Cisco en su carrera, y son fans de ello.
¿Cuál es el mecanismo de registro más eficiente en términos de sobrecarga en el chasis? Quiero que puedas responder a esto, tal vez no para tu mayoría de nivel de asociado, pero si alguna vez estás hablando de syslog en un entorno de examen, es esa pregunta la que es un lugar común. Entonces, ¿qué piensan? La respuesta es registrar el búfer, de acuerdo. El registro en el búfer es mucho más eficiente que cualquier otra modalidad. ¿Por qué? Porque es RAM y RAM es rápido. Así que solo una pequeña pepita para quitar de esto, por si acaso.
Hay algo llamado la facilidad de mensajes de syslog, y cuando escuchas esta facilidad de palabras, es difícil, de hecho, saber lo que significa solo con un análisis de la palabra, lo cual es desafortunado. Facilidad realmente significa que el formato se realiza para toda esa información. Piensa, tenemos mucha información, cierto. ¿Cómo formateo eso? Y así, en algunos casos, querrás reformatear esto. Y el caso específico que tengo en mente es CiscoWorks. Si estamos interconectados con CiscoWorks, querríamos cambiar la instalación para registrar mensajes a local 7.
Formato general de los mensajes syslog generados por el proceso syslog en el software Cisco IOS:
seq no: marca de tiempo: % facility-severity-MNEMOTÉCNICA: descripción
Ejemplo de mensaje syslog, informando al administrador de que surgió la interfaz FastEthernet 0/24:
*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Protocolo de línea en la interfaz FastEthernet0 / 24, estado cambiado a hasta
Por lo que CiscoWorks no es solo un Software de Administración de Red, o NMS, desde la perspectiva de la administración de red simple, sino que también podríamos enviar mensajes de registro de sistema a la caja de CiscoWorks. Y así es, de hecho, cómo funcionan muchos de estos dispositivos NMS, necesitan información de muchas fuentes diferentes para obtener una imagen completa de lo que está sucediendo.
Así que digamos que tengo mi instalación configurada de forma normal y, por lo general, no tocamos esto si solo estamos enviando un mensaje de syslog o un servidor de syslog, por cierto. Pero si se trata de CiscoWorks, podríamos decir local 7 para la instalación. Pero veo un montón de cosas aquí en términos de números, como un nivel de gravedad. ¿Cuál es el problema con los niveles de gravedad de los mensajes de syslog?
| Nivel de Gravedad | Nombre | Descripción |
|---|---|---|
| 0 | Emergencias | Router inutilizable |
| 1 | Alertas | acción Inmediata |
| 2 | Crítica | Condición crítica |
| 3 | Errores | condición de Error |
| 4 | Advertencias | condición de Advertencia |
| 5 | Las notificaciones | Normal, pero es importante evento |
| 6 | Información | Mensajes informativos |
| 7 | Depuración | Mensaje de depuración |
Estos niveles de gravedad van a indicar lo importante que es este mensaje de syslog para nosotros en este momento en particular. Por ejemplo, mira el nivel 6, informativo; nos da información sobre algo que ha sucedido. Nuestro ejemplo muestra un nivel 5, el nivel 5 es una notificación. ¿Notificación sobre qué? Bueno, nuestra interfaz cambió de estado a arriba. Pero quiero que veas el patrón aquí. Pasamos de 0 a 7, 0 es lo peor, 7 es depuración. ¿Cómo activamos un mensaje de registro de sistema de nivel 7? Tenemos que habilitar un comando de depuración así es como van a aparecer. Así que, por defecto, no puedes ver ningún nivel 7.
Pero todo lo demás del 0 al 6, es un juego justo desde el principio. Será genial saber si tenemos una emergencia y nuestro enrutador es inestable. Pero observe cómo tenemos un nombre asociado con cada uno de estos niveles también. Y al principio, es difícil recordar esto, es difícil recordar que 2 es crítico, o 4 son advertencias. Pero con el tiempo, cuanto más juegues con syslog, más miras una mesa, más recordarás que tenemos estos niveles asociados con estos nombres y lo que significan.
Configuración de Syslog
Muy pocos protocolos y tecnologías son tan fáciles de configurar, y me encanta ser directo. Quiero decir, también me gusta complejo como sabes, pero este es genial, vale. Así que entras en el modo de configuración global y, por cierto, no somos servidores de syslog. Me gustaría que entender que no somos un servidor de syslog, el router, el switch, no es un cliente de syslog! Estamos bombeando al servidor. Por lo tanto, eso significaría que, tendríamos que tener una aplicación ejecutándose en algún tipo de dispositivo que pueda recopilar estos mensajes de syslog. Sí, y hay algún software de registro de sistema gratuito, también hay algunas cosas caras que hacen una mejor correlación de los datos que están dentro de él y los informes. Pero usted querría conectividad IP entre el cliente y el servidor, y nosotros somos el cliente y señalamos al servidor con la dirección IP.
R1 (config)#logging 10.1.10.100
R1(config)#logging trap informativos
Ahora, de hecho, que es el único comando que sería necesario para empezar a disparar a los mensajes syslog a el servidor. ¿Pero recuerdas los niveles de gravedad? Bueno, no queremos registrar todo y esa es la regla general. ¿Cuál era el rango? 0 a 7, 7 siendo la depuración, generalmente excluimos eso y, a menudo, también excluimos el nivel 6. Estoy bien con 6 y menos, pero cuando dices el comando de trampa de registro estás diciendo, ¿cuán malo o cuán intrascendente irás? ¿Cuán intrascendente irás?
Y los pensamientos generales son log 5 a 0 o 6 a 0. Pero excluya 7, a menos que tenga un problema específico con el que esté lidiando que requiera una depuración de larga duración, lo cual es muy situacional porque afectará su chasis de manera negativa. Y realmente hacemos todo lo posible para tratar de evitar la depuración durante períodos prolongados de tiempo. Pero aquí está la gran noticia, desea configurar syslog, solo un comando, el primero que es todo lo que se necesita.
