Sei mai stato bruscamente interrotto da un router o il vostro switch? Proprio così, stai scrivendo via, ti stai facendo gli affari tuoi, e all’improvviso, puf, c’è un messaggio, e poi un altro. Si continua a digitare, un altro, quali sono quelli? Questi sono noti come messaggi syslog e sono messaggi che i nostri router e i nostri switch generano per avvisarci di qualcosa che si è verificato. E potrebbe essere una vasta gamma di cose che si sono verificate da qualsiasi cosa relativa a un’emergenza a qualcosa che è solo una semplice notifica. Ora quel messaggio syslog che vediamo, ci sta apparendo come? Beh, se siamo consolati, ci sta apparendo sulla nostra linea di console. Se abbiamo Telnetted in o SSHed in, allora sta comparendo sulle nostre linee terminali. Ma aspetta un secondo, ho una domanda per te. Se Telnet o SSH in un dispositivo, vedrò i messaggi syslog per impostazione predefinita?
No e questo è piuttosto confuso e non vedrai nemmeno i debug, ok, non vedrai nemmeno i messaggi di debug. Accendi un debug, sai che dovrebbe sputare un po ‘ di output, no. Ed è perché dobbiamo usare il comando monitor terminale per abilitarlo. E il motivo è che non volevano inondare le sessioni vty con debug e blocchi molto chiacchieroni, e fondamentalmente, urtare qualcuno da una sessione utilizzabile perché ci sono così tante informazioni che vanno in quel modo. Fondamentalmente è possibile configurare i messaggi syslog da inoltrare a varie destinazioni:
- buffer di registrazione
- linea console
- linea terminale
- server syslog
Quindi, per impostazione predefinita, i messaggi syslog vanno alla linea console, ma non alle linee terminali. Possiamo anche inviare quei messaggi syslog al nostro buffer. Qual è il buffer? Memoria, gente, memoria. Ma queste tre opzioni che vediamo elencati prima, buffer, linea console, linea terminale… cosa succederà se, ad esempio, perdiamo l’alimentazione o ci disconnettiamo dal dispositivo e torniamo indietro? Quei messaggi ci saranno ancora? No, se ne sono andati, se ne sono andati per sempre. Quindi questo non ci aiuta dopo il fatto. Se ti sei consolato, lo vedrai, fantastico, ci aiuterà a quel punto, ma se viene generato quando non siamo loggati, non vedremo le informazioni di cui abbiamo bisogno. Quindi l’opzione in basso-il server syslog, è davvero un’ottima opzione. Prendiamo quei messaggi syslog e li inviamo a un server syslog. E poi una volta che sono su quel server syslog, possiamo filtrarli, possiamo sfogliarli, possiamo vedere se c’è qualcosa di anormale.
Syslog message format
Mi piacerebbe che pensaste, come posso estrarre alcune informazioni utilizzabili che posso applicare al mio ambiente in questo modulo in cui siamo in questo momento? Ora Simple Network Management Protocol, o SNMP, è discutibile giusto? Potresti non avere il budget, il software e la resistenza per eseguire un rollout SNMP. Ma syslog è totalmente diverso, è così dannatamente facile da configurare e così potente allo stesso tempo. E ci sono server syslog gratuiti che sono là fuori. Quindi, in realtà, non c’è davvero una buona scusa per non fare la gestione syslog e siamo grandi fan di Cisco, lo siamo davvero. Si parla con qualsiasi persona che ha fatto un sacco di cose Cisco nella loro carriera, e sono fan di esso.
Qual è il meccanismo di registrazione più efficiente in termini di sovraccarico sullo chassis? Voglio che tu sia in grado di rispondere a questo, forse non per la tua maggioranza a livello di socio, ma se stai mai parlando di syslog in un ambiente di esame, è quella domanda che è una specie di luogo comune. Allora, che ne pensate? La risposta è la registrazione al buffer, ok. La registrazione al buffer è molto più efficiente di qualsiasi altra modalità. Perché? Perché è RAM e RAM è veloce. Quindi solo una piccola pepita da portare via da questo, per ogni evenienza.
C’è qualcosa chiamato facility of syslog messages, e quando senti questa parola facility, è difficile, in effetti, sapere cosa significa solo da un’analisi della parola, che è sfortunata. Impianto significa davvero la formattazione è fatto per tutte queste informazioni. Pensa, abbiamo un sacco di informazioni, giusto. Come faccio a formattare che? E così, in alcuni casi, si vuole riformattare questo. E il caso specifico che ho in mente è CiscoWorks. Se stiamo interfacciando con CiscoWorks, vorremmo cambiare la funzione per la registrazione dei messaggi in local 7.
formato Generale di messaggi syslog generati da syslog processo sul software Cisco IOS:
seq no:timestamp: %impianto di gravità-MNEMONICO:descrizione
Esempio di messaggio di syslog, informare l’amministratore che FastEthernet 0/24 interfaccia è venuto:
*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Protocollo di linea sull’interfaccia FastEthernet0 / 24, stato modificato fino a
Quindi CiscoWorks non è solo un software di gestione della rete, o NMS, dal punto di vista di simple network management, ma potremmo anche inviare messaggi syslog alla scatola di CiscoWorks. E questo è, in effetti, il modo in cui molti di questi dispositivi NMS funzionano, hanno bisogno di informazioni da molte fonti diverse per avere un quadro completo di cosa sta succedendo?
Quindi diciamo che ho impostato la mia struttura come normale e di solito, non lo tocchiamo se stiamo solo inviando un messaggio syslog o un server syslog a proposito. Ma se si tratta di CiscoWorks, potremmo dire 7 locali per la struttura. Ma vedo un sacco di cose in corso qui in termini di numeri, come un livello di gravità. Qual è il problema con i livelli di gravità dei messaggi syslog?
Livello di Gravità | Nome | Descrizione |
---|---|---|
0 | Emergenze | Router inutilizzabile |
1 | Avvisi | azione Immediata richiesta |
2 | Critica | Condizione critica |
3 | Errori | condizione di Errore |
4 | Avvertenze | condizione di Attenzione |
5 | Notifiche | Normale, ma è importante evento |
6 | Informativo | messaggi Informativi |
7 | Debug | messaggio di Debug |
Questi livelli di gravità sta ad indicare quanto sia importante questo messaggio di syslog è per noi, in questo particolare momento. Ad esempio, guarda il livello 6, informativo; ci sta dando alcune informazioni su qualcosa che è successo. Il nostro esempio mostra un livello 5, il livello 5 è una notifica. Notifica su cosa? Bene, la nostra interfaccia ha cambiato lo stato in su. Ma voglio che tu veda lo schema qui. Passiamo da 0 a 7, 0 è il peggiore, 7 è il debug. Come attivare un messaggio syslog di livello 7? Dobbiamo abilitare un comando di debug che è come stanno andando ad apparire. Quindi per impostazione predefinita non puoi vedere alcun livello 7s.
Ma tutto il resto da 0 a 6, questo è un gioco giusto. Sarà davvero bello sapere se abbiamo un’emergenza e il nostro router è instabile. Ma notare come abbiamo un nome associato a ciascuno di questi livelli pure. E in un primo momento, è difficile ricordare questi, è difficile ricordare che 2 è fondamentale, o 4 è avvertimenti. Ma nel corso del tempo, più giochi con syslog, più guardi un tavolo, più ti ricorderai che abbiamo questi livelli associati a questi nomi e cosa significano.
Configurazione Syslog
Pochissimi protocolli e tecnologie sono così semplici da configurare, e io amo semplice. Voglio dire, mi piace anche complex come sai, ma questo è fantastico, ok. Quindi vai nella modalità di configurazione globale e, a proposito, non siamo server syslog. Vorrei che tu capissi che, non siamo un server syslog, il router, lo switch, no è un client syslog! Stiamo pompando al server. Quindi, ciò significherebbe che, dovremmo avere un’applicazione in esecuzione su un tipo di dispositivo in grado di raccogliere questi messaggi syslog. Sì, e c’è un software syslog gratuito che è là fuori, c’è anche alcune cose costose che fanno meglio correlare i dati che si trovano al suo interno e riferire. Ma vorresti la connettività IP tra il client e il server, e noi siamo il client e puntiamo al server con l’indirizzo IP.
R1(config)#registrazione 10.1.10.100
R1(config)#logging trap informativo
Ora, infatti, questo è l’unico comando che sarebbe necessario per iniziare a sparare quei messaggi syslog al server. Ma ricordate i livelli di gravità? Beh, non vogliamo registrare tutto e questa è la regola generale. Qual era la gamma? Da 0 a 7, 7 essendo il debug, di solito lo escludiamo e spesso escludiamo anche il livello 6. Sto bene con 6 e sotto, ma quando dici il comando logging trap stai dicendo, quanto male o quanto irrilevante andrai? Quanto irrilevante andrai?
E i pensieri generali sono log da 5 a 0 o da 6 a 0. Ma escludi 7, a meno che tu non abbia un problema specifico con cui hai a che fare che richiede un debug di lunga durata, che è molto situazionale perché ciò influenzerà il tuo chassis in modo negativo. E facciamo davvero del nostro meglio per cercare di evitare il debug per lunghi periodi di tempo. Ma ecco la grande notizia, vuoi configurare syslog, solo un comando, quello in alto che è tutto ciò che serve.