Syslog Overview and Configuration

előfordult már, hogy durván megszakította a router vagy a kapcsoló? Csak így, gépelsz, törődsz a saját dolgoddal, és hirtelen, puff, Van egy üzenet, majd egy másik. Folytatod a gépelést, még egyet, mik azok? Ezeket syslog üzeneteknek nevezzük, és ezek olyan üzenetek, amelyeket útválasztóink és kapcsolóink generálnak, hogy értesítsenek minket valami történtről. És ez sokféle dolog lehet, ami történt, bármi, ami vészhelyzethez kapcsolódik, valamihez, ami csak egy egyszerű értesítés. Most, hogy a syslog üzenet, amit látunk, hogyan jelenik meg nekünk? Nos, ha vigasztalnak minket, akkor megjelenik nekünk a konzol vonalunkon. Ha már Telneted vagy SSHed be, akkor megjelenik a terminál vonalak. De várjunk csak, lenne egy kérdésem. Ha Telnet vagy SSH egy eszközbe, alapértelmezés szerint látni fogom a syslog üzeneteket?

nem, és ez elég zavaró, és még hibakereséseket sem fog látni, oké, még hibakeresési üzeneteket sem fog látni. Bekapcsolsz egy hibakeresést, tudod, hogy ki kellene köpnie néhány kimenetet, nem. És ez azért van, mert a terminal monitor parancsot kell használnunk ahhoz, hogy ezt engedélyezzük. És ennek az az oka, hogy nem akarták elárasztani a vty munkameneteket nagyon beszédes hibakeresésekkel és zárolásokkal, és alapvetően valakit egy használható munkamenetről leütni, mert annyi információ megy arra. Alapvetően beállíthatja a syslog üzeneteket, hogy továbbítsák a különböző célállomásokra:

  • naplózási puffer
  • konzolsor
  • terminálsor
  • syslog szerver

tehát alapértelmezés szerint a syslog üzenetek a konzolsorra kerülnek, de nem a terminálvonalakra. Ezeket a syslog üzeneteket a pufferünkbe is elküldhetjük. Mi az ütköző? Emlékezet, emberek, emlékezet. De ez a három lehetőség, amelyet először látunk, puffer, konzol vonal, terminál vonal… mi fog történni, ha például elveszítjük az áramot, vagy kijelentkezünk a készülékről és visszajövünk? Ezek az üzenetek még mindig ott lesznek? Nem, elmentek, örökre elmentek. Tehát ez nem segít nekünk a tény után. Ha vigasztalódtál, látni fogod, nagyszerű, ezen a ponton segíteni fog nekünk, de ha akkor generálódik, amikor nem vagyunk bejelentkezve, akkor nem fogjuk látni a szükséges információkat. Tehát az alsó opció-a syslog szerver, ez egy nagyon jó lehetőség. Vegyük ezeket a syslog üzeneteket, és küldjük el őket egy syslog szerverre. És ha már a syslog szerveren vannak, szűrhetjük őket, böngészhetünk rajtuk, láthatjuk, hogy van-e valami abnormális.

Syslog üzenetformátum

szeretném, ha gondolkodnának, hogyan tudok kivonni néhány használható információt, amelyet a saját környezetemre alkalmazhatok ebben a modulban, amelyben most vagyunk? Most az egyszerű hálózati menedzsment protokoll vagy az SNMP megkérdőjelezhető? Lehet, hogy nincs költségvetése, szoftvere és kitartása az SNMP bevezetéséhez. De a syslog teljesen más, annyira átkozottul könnyű konfigurálni, és egyszerre olyan erős. És vannak ingyenes syslog szerverek, amelyek odakint vannak. Tehát valójában nincs igazán jó mentség arra, hogy ne csináljunk syslog menedzsmentet, és nagy rajongói vagyunk a Cisco-ban, tényleg. Bárkivel beszélsz, aki sok Cisco dolgot csinált a karrierje során, és rajonganak érte.

mi a leghatékonyabb naplózási mechanizmus az alváz fölött? Azt akarom, hogy képes legyen erre válaszolni, talán nem a társult szintű többség számára, de ha valaha is a syslogról beszél egy vizsgakörnyezetben, az az egy kérdés, amely egyfajta közös hely. Szóval, mit gondoltok? A válasz a naplózás a pufferbe, oké. A pufferbe való bejelentkezés sokkal hatékonyabb, mint bármely más mód. Miért? Mert ez a RAM és a RAM gyors. Szóval csak egy kis aranyrög, hogy vegye le ezt, csak abban az esetben.

van valami, amit a syslog üzenetek eszközének hívnak, és amikor ezt a szót halljuk, valójában nehéz megérteni, hogy mit jelent, csak a szó elemzése alapján, ami sajnálatos. Facility valóban azt jelenti, a formázás történik az összes információt. Gondolom, sok információnk van, igaz. Hogyan formázzam ezt? Ezért bizonyos esetekben ezt újra kell formázni. És a konkrét eset, amire gondolok, a CiscoWorks. Ha kapcsolatba lépünk a CiscoWorks – szal, szeretnénk megváltoztatni az üzenetek naplózásának lehetőségét a local 7-re.

a syslog folyamat által generált syslog üzenetek általános formátuma a Cisco IOS szoftveren:

seq no: időbélyeg: % facility-severity-MNEMONIC: leírás

példa a syslog üzenetre, amely tájékoztatja a rendszergazdát, hogy a FastEthernet 0/24 interfész jött létre:

*febr 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Line protokoll interfész FastEthernet0/24, megváltozott állapotban fel

így CiscoWorks nem csak egy hálózati menedzsment szoftver, vagy NMS, egyszerű hálózati menedzsment szempontjából, de mi is küld syslog üzeneteket a CiscoWorks’ box. És valójában ez az, hogy sok ilyen NMS eszköz hogyan működik, sok különböző forrásból származó információra van szükségük, hogy teljes képet kapjanak arról, hogy mi folyik itt?

tehát tegyük fel, hogy a szokásos módon állítottam be a létesítményemet, és általában nem nyúlunk hozzá, ha csak egy syslog üzenetre vagy egy syslog szerverre küldünk. De ha ez CiscoWorks, mondhatjuk helyi 7 a létesítmény számára. De sok dolgot látok itt a számok szempontjából, mint például a súlyossági szint. Mi a helyzet a syslog üzenetek súlyossági szintjével?

súlyossági szint név leírás
0 vészhelyzetek Router használhatatlan
1 riasztások azonnali intézkedés szükséges
2 kritikus állapot kritikus
3 hibák hiba feltétel
4 figyelmeztetések figyelmeztető állapot
5 értesítések normál, de fontos esemény
6 információs információs üzenetek
7 hibakeresés hibakeresés üzenet

ezek a súlyossági szintek jelzik, hogy ez a syslog üzenet mennyire fontos számunkra ebben az adott időpontban. Például, nézd meg a 6. szintet, információs; ez ad nekünk néhány információt valamiről, ami történt. Példánk egy 5. szintet mutat, az 5.szint értesítés. Értesítés miről? Nos, a felületünk állapota up-ra változott. De azt akarom, hogy lásd a mintát. 0-ról 7-re megyünk, 0 a legrosszabb, 7 hibakeresés. Hogyan kapcsoljuk be a level 7 syslog üzenetet? Engedélyeznünk kell egy hibakeresési parancsot, így fognak megjelenni. Tehát alapértelmezés szerint nem lát semmilyen 7-es szintet.

de minden más 0 – tól 6-ig, ez tisztességes játék azonnal. Nagyon jó lesz tudni, ha vészhelyzet van, és a routerünk instabil. De figyeljük meg, hogy van egy név társított minden ezeket a szinteket is. Először nehéz emlékezni ezekre, nehéz megjegyezni, hogy a 2 kritikus, vagy a 4 figyelmeztetés. De az idő múlásával, minél többet játszol a syslog – szal, annál többet nézel egy asztalra, annál inkább emlékezni fogsz arra, hogy ezek a szintek kapcsolódnak ezekhez a nevekhez és mit jelentenek.

Syslog configuration

nagyon kevés protokollt és technológiát lehet ilyen egyszerűen konfigurálni, és szeretem az egyszerűt. Úgy értem, én is szeretem a komplexitást, de ez nagyszerű, oké. Tehát átállsz a globális konfigurációs módba, és egyébként nem vagyunk syslog szerverek. Szeretném, ha megértené, hogy nem vagyunk syslog szerver, az útválasztó, a kapcsoló, nem, ez egy syslog kliens! Pumpálunk a szerverre. Tehát ez azt jelentené, hogy valamilyen eszközön futó alkalmazásnak kell lennie, amely képes összegyűjteni ezeket a syslog üzeneteket. Igen, és van néhány ingyenes syslog szoftver, ami ott van, van néhány drága dolog is, ami jobban korrelál a benne lévő adatokkal és a jelentésekkel. De szeretnénk, ha IP-kapcsolat lenne az ügyfél és a szerver között, és mi vagyunk az ügyfél, és az IP-címmel rendelkező szerverre mutatunk.

R1(config)#naplózás 10.1.10.100
R1(config)#naplózási csapda információs

valójában ez az egyetlen parancs, amelyre szükség lenne a syslog üzenetek szerverre történő felvételének megkezdéséhez. De emlékszel a súlyossági szintekre? Nem akarunk mindent naplózni, ez az általános szabály. Mi volt a távolság? 0 – tól 7-ig, 7 hibakereséskor általában kizárjuk ezt, és gyakran kizárjuk a 6-os szintet is. Rendben vagyok a 6-os vagy annál alacsonyabb értékkel, de amikor azt mondod, hogy a naplózási csapda parancsot mondod, mennyire rossz vagy mennyire következetlen lesz? Mennyire következetlen leszel?

és az Általános gondolatok log 5-0 vagy 6-0. De kizárja a 7-et, hacsak nincs olyan konkrét problémája, amellyel foglalkozik, amely hosszú távú hibakeresést igényel, ami nagyon szituációs, mert ez negatív módon befolyásolja az alvázát. És tényleg mindent megteszünk, hogy megpróbáljuk elkerülni a hibakeresést hosszabb ideig. De itt van a jó hír, szeretné beállítani syslog, csak egy parancs, a felső, hogy minden úgy.



+