Aperçu et configuration du Syslog

Avez-vous déjà été brutalement interrompu par un routeur ou votre commutateur ? Juste comme ça, vous tapez, vous vous occupez de vos propres affaires, et tout d’un coup, pouf, il y a un message, puis un autre. Vous continuez à taper, un autre, qu’est-ce que c’est? Ceux-ci sont connus sous le nom de messages syslog, et ce sont des messages que nos routeurs et nos commutateurs génèrent pour nous informer de quelque chose qui s’est produit. Et cela peut être un large éventail de choses qui se sont produites, de tout ce qui est lié à une urgence à quelque chose qui n’est qu’une simple notification. Maintenant que le message syslog que nous voyons, il nous apparaît comment? Eh bien, si nous sommes consolés, cela nous apparaît sur notre ligne de console. Si nous sommes entrés par téléphone ou si nous sommes entrés, cela apparaît sur nos lignes terminales. Mais attendez une seconde, j’ai une question pour vous. Si je télénet ou SSH dans un périphérique, verrai-je les messages syslog par défaut?

Non et c’est assez déroutant et vous ne verrez même pas les débogages, d’accord, vous ne verrez même pas les messages de débogage. Vous activez un débogage, vous savez qu’il devrait cracher une sortie, non. Et c’est parce que nous devons utiliser la commande terminal monitor pour l’activer. Et la raison en est qu’ils ne voulaient pas inonder les sessions vty de débogages et de verrouillages très bavards, et en gros, expulser quelqu’un d’une session utilisable parce qu’il y a tellement d’informations dans ce sens. Fondamentalement, vous pouvez configurer les messages syslog à transférer vers diverses destinations:

  • tampon de journalisation
  • ligne de console
  • ligne de terminal
  • serveur syslog

Ainsi, par défaut, les messages syslog vont à la ligne de console, mais pas aux lignes de terminal. Nous pouvons également envoyer ces messages syslog à notre tampon. Quel est le tampon? La mémoire, les amis, la mémoire. Mais ces trois options que nous voyons énumérées en premier, tampon, ligne de console, ligne de terminal… que va-t-il se passer si, par exemple, nous perdons le courant ou si nous nous déconnectons de l’appareil et revenons? Ces messages seront-ils toujours là? Non, ils sont partis, ils sont partis pour de bon. Donc ça ne nous aide pas après coup. Si vous vous êtes consolé, vous le verrez, génial, cela va nous aider à ce moment-là, mais s’il est généré lorsque nous ne sommes pas connectés, nous ne verrons pas les informations dont nous avons besoin. Donc, l’option du bas – le serveur syslog, c’est une très bonne option. Prenons ces messages syslog et envoyons-les à un serveur syslog. Et puis une fois qu’ils sont sur ce serveur syslog, nous pouvons les filtrer, nous pouvons les parcourir, nous pouvons voir s’il y a quelque chose d’anormal.

Format de message Syslog

J’aimerais que vous réfléchissiez, comment puis-je extraire des informations utilisables que je peux appliquer à mon propre environnement dans ce module dans lequel nous sommes en ce moment? Maintenant, le protocole de gestion de réseau simple, ou SNMP, est discutable, n’est-ce pas? Vous n’avez peut-être pas le budget, le logiciel et l’endurance nécessaires pour effectuer un déploiement SNMP. Mais syslog est totalement différent, il est tellement facile à configurer et si puissant à la fois. Et il y a des serveurs syslog gratuits qui sont là-bas. Donc, en fait, il n’y a pas vraiment de bonne excuse pour ne pas faire de gestion de syslog et nous sommes de grands fans de Cisco, nous le sommes vraiment. Vous parlez à toute personne qui a fait beaucoup de choses Cisco dans sa carrière, et elle en est fan.

Quel est le mécanisme de journalisation le plus efficace en termes de frais généraux sur le châssis? Je veux que vous puissiez répondre à cela, peut-être pas pour votre majorité au niveau des associés, mais si vous parlez de syslog dans un environnement d’examen, c’est une question qui est un peu courante. Qu’en pensez-vous ? La réponse se connecte au tampon, d’accord. La journalisation dans le tampon est beaucoup plus efficace que toute autre modalité. Pourquoi? Parce que c’est de la RAM et que la RAM est rapide. Donc juste une petite pépite à emporter, au cas où.

Il y a quelque chose qui s’appelle la facilité des messages syslog, et quand vous entendez ce mot facilité, il est difficile, en fait, de savoir ce que cela signifie simplement par une analyse du mot, ce qui est malheureux. Facilité signifie vraiment que le formatage est effectué pour toutes ces informations. Pensez, nous avons beaucoup d’informations, non. Comment formater cela? Et donc, dans certains cas, vous voudrez reformater cela. Et le cas spécifique que j’ai en tête est CiscoWorks. Si nous interfaçons avec CiscoWorks, nous voudrions changer la fonction de journalisation des messages en local 7.

Format général des messages syslog générés par le processus syslog sur le logiciel Cisco IOS:

seq no: horodatage: %facility-severity-MNEMONIC: description

Exemple de message syslog, informant l’administrateur que l’interface FastEthernet 0/24 est apparue:

* Fév 22 11:29:55:423: % LINEPROTO-5 – MISE À JOUR: Protocole de ligne sur l’interface FastEthernet0 / 24, état changé en up

Donc CiscoWorks n’est pas seulement un logiciel de gestion de réseau, ou NMS, du point de vue de la gestion de réseau simple, mais nous pourrions également envoyer des messages syslog à la boîte de CiscoWorks. Et c’est, en fait, comment beaucoup de ces appareils NMS fonctionnent, ils ont besoin d’informations provenant de nombreuses sources différentes pour avoir une image complète de ce qui se passe?

Disons donc que j’ai configuré mon installation normalement et généralement, nous ne touchons pas à cela si nous envoyons simplement un message syslog ou un serveur syslog en passant. Mais si c’est CiscoWorks, on pourrait dire local 7 pour l’installation. Mais je vois beaucoup de choses se passer ici en termes de chiffres, comme un niveau de gravité. Quel est le problème avec les niveaux de gravité des messages syslog?

Niveau de gravité Nom Description
0 Urgences Routeur inutilisable
1 Alertes Mesures immédiates requises
2 Critique État critique
3 Erreurs Condition d’erreur
4 Avertissements Condition d’avertissement
5 Notifications Événement normal mais important
6 Informations Messages d’information
7 Débogage Message de débogage

Ces niveaux de gravité vont indiquer à quel point ce message syslog est important pour nous à ce moment précis. Par exemple, regardez le niveau 6, informationnel; cela nous donne des informations sur quelque chose qui s’est passé. Notre exemple montre un niveau 5, le niveau 5 étant une notification. Notification sur quoi? Eh bien, notre interface a changé d’état pour devenir up. Mais je veux que vous voyiez le modèle ici. On passe de 0 à 7, 0 étant le pire, 7 étant le débogage. Comment activer un message syslog de niveau 7 ? Nous devons activer une commande de débogage qui est la façon dont ils vont apparaître. Donc, par défaut, vous ne pouvez voir aucun niveau 7.

Mais tout le reste de 0 à 6, c’est un jeu juste dès le départ. Ce sera vraiment génial de savoir si nous avons une urgence et que notre routeur est instable. Mais remarquez comment nous avons également un nom associé à chacun de ces niveaux. Et au début, il est difficile de s’en souvenir, il est difficile de se rappeler que 2 est critique ou que 4 est un avertissement. Mais au fil du temps, plus vous jouez avec syslog, plus vous regardez une table, plus vous vous souviendrez que nous avons ces niveaux associés à ces noms et à ce qu’ils signifient.

Configuration de Syslog

Très peu de protocoles et de technologies sont aussi simples à configurer, et j’adore le simple. Je veux dire, j’aime aussi le complexe comme vous le savez, mais celui-ci est génial, d’accord. Vous passez donc en mode de configuration globale et d’ailleurs, nous ne sommes pas des serveurs syslog. Je voudrais que vous compreniez que, nous ne sommes pas un serveur syslog, le routeur, le commutateur, non c’est un client syslog ! On va au serveur. Donc, cela signifierait que nous devrions avoir une application en cours d’exécution sur un type d’appareil capable de collecter ces messages syslog. Oui et il y a un logiciel syslog gratuit qui existe, il y a aussi des choses coûteuses qui permettent de mieux corréler les données qui s’y trouvent et de générer des rapports. Mais vous voudriez une connectivité IP entre le client et le serveur, et nous sommes le client et nous pointons vers le serveur avec l’adresse IP.

R1 (config) # journalisation 10.1.10.100
R1 (config) # trap de journalisation informationnel

Maintenant, en fait, c’est la seule commande qui serait nécessaire pour commencer à envoyer ces messages syslog au serveur. Mais rappelez-vous les niveaux de gravité? Eh bien, nous ne voulons pas tout enregistrer et c’est la règle générale. Quelle était la gamme? 0 à 7, 7 étant le débogage, nous excluons généralement cela et souvent, nous excluons également le niveau 6. Je suis d’accord avec 6 et ci-dessous, mais quand vous dites la commande de piège de journalisation que vous dites, à quel point allez-vous aller ou sans conséquence? Dans quelle mesure irez-vous sans conséquence?

Et les pensées générales sont log 5 à 0 ou 6 à 0. Mais excluez 7, sauf si vous avez un problème spécifique auquel vous faites face qui nécessite un débogage de longue durée, ce qui est très situationnel car cela aura un impact négatif sur votre châssis. Et nous faisons vraiment de notre mieux pour essayer d’éviter le débogage pendant des périodes prolongées. Mais voici la bonne nouvelle, vous voulez configurer syslog, une seule commande, la première qui suffit.



+