Syslog overzicht en configuratie

bent u ooit ruw onderbroken door een router of uw switch? Je typt gewoon weg, je bemoeit je met je eigen zaken, en opeens, poef, is er een bericht, en dan nog een. Je blijft typen, nog een, wat zijn dat? Dit zijn bekend als syslog berichten, en het zijn berichten die onze routers en onze switches genereren om ons te informeren over iets dat is gebeurd. En het kan een breed scala aan dingen zijn die zich hebben voorgedaan, van alles met betrekking tot een noodsituatie tot iets dat gewoon een eenvoudige kennisgeving is. Nu dat syslog bericht dat we zien, hoe verschijnt het voor ons? Als we getroost worden, verschijnt het op onze console lijn. Als we Telneted in of SSHed in, dan is het verschijnen op onze terminal lijnen. Maar wacht even, Ik heb een vraag voor je. Als ik Telnet of SSH in een apparaat, zie ik dan standaard syslog-berichten?

Nee en dat is behoorlijk verwarrend en je zult zelfs geen debugs zien, oké, je zult zelfs geen debugberichten zien. Je zet een debug aan, je weet dat het wat uitvoer moet uitspugen, Nee. En dat komt omdat we het terminal monitor commando moeten gebruiken om dat mogelijk te maken. De reden is dat ze vty-sessies niet wilden overspoelen met zeer spraakzame debuggen en vergrendeling, en eigenlijk iemand van een bruikbare sessie wilden stoten omdat er zoveel informatie die kant op gaat. In principe kunt u de syslog-berichten configureren om naar verschillende bestemmingen te worden doorgestuurd:

  • logging buffer
  • consoleregel
  • terminalregel
  • syslog-server

standaard gaan syslog-berichten naar de consoleregel, maar niet naar de terminalregels. We kunnen die syslog berichten ook naar onze buffer sturen. Wat is de buffer? Geheugen, mensen, geheugen. Maar deze drie opties die we eerst zien, buffer, console lijn, terminal lijn… wat gebeurt er als we bijvoorbeeld de stroom verliezen of uitloggen van het apparaat en terugkomen? Zijn die berichten er nog? Nee, ze zijn weg, ze zijn voorgoed weg. Dus dat helpt ons niet verder. Als je je hebt getroost, zul je het zien, geweldig, het zal ons op dat moment helpen, maar als het wordt gegenereerd wanneer we niet zijn ingelogd, zullen we niet de informatie zien die we nodig hebben. Dus de onderste optie-de syslog server, het is echt een geweldige optie. Laten we die syslog berichten nemen en ze naar een syslog server sturen. Als ze eenmaal op die syslog-server zijn, kunnen we ze filteren, door ze bladeren en zien of er iets abnormaals is.

Syslog message format

Ik wil graag dat jullie denken, hoe kan ik bruikbare informatie extraheren die ik kan toepassen op mijn eigen omgeving in deze module waar we nu in zitten? Nu eenvoudig netwerkbeheer Protocol, of SNMP, is twijfelachtig toch? U heeft misschien niet het budget, de software en het uithoudingsvermogen om een SNMP-uitrol te doen. Maar syslog is totaal anders, het is zo verdomd eenvoudig te configureren en zo krachtig op hetzelfde moment. En er zijn gratis syslog servers die er zijn. In feite is er geen goed excuus om geen syslog-beheer te doen en we zijn er grote fans van in Cisco, dat zijn we echt. Je praat met iemand die veel Cisco dingen heeft gedaan in zijn carrière, en ze zijn er fan van.

Wat is het meest efficiënte logmechanisme in termen van overhead op het chassis? Ik wil dat je dit kunt beantwoorden, misschien niet voor je associate-niveau meerderheid, maar als je ooit praat over syslog in een examenomgeving, is dat die ene vraag die een soort van gewone plaats is. Wat vinden jullie ervan? Het antwoord is loggen naar de buffer, oké. Loggen naar de buffer is veel efficiënter dan elke andere modaliteit. Waarom? Omdat het RAM is en RAM is snel. Dus gewoon een klein klompje weg te nemen van dit, voor het geval dat.

er is iets dat de faciliteit van syslog-berichten wordt genoemd, en als je deze faciliteit van het woord hoort, is het in feite moeilijk om te weten wat het betekent door alleen maar een analyse van het woord, wat jammer is. Faciliteit betekent echt dat de opmaak wordt gedaan voor al die informatie. We hebben veel informatie, toch? Hoe formatteer ik dat? En dus, in sommige gevallen, wilt u dit opnieuw formatteren. En het specifieke geval dat ik in gedachten heb is CiscoWorks. Als we interfacen met CiscoWorks, zouden we de mogelijkheid voor het loggen van berichten willen veranderen naar local 7.

Algemeen Formaat van syslog-berichten gegenereerd door het syslog-proces op de Cisco IOS-software:

seq no: timestamp: % facility-severity-MNEMONIC: description

voorbeeld van syslog-bericht, waarbij de beheerder wordt geïnformeerd dat FastEthernet 0/24-interface is gestart:

*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Line protocol op Interface FastEthernet0 / 24, veranderde status naar up

dus CiscoWorks is niet alleen een netwerk Management Software, of NMS, vanuit het perspectief van eenvoudig netwerkbeheer, maar we kunnen ook syslog berichten sturen naar het vak CiscoWorks. En zo werken veel van deze NMS-apparaten. ze hebben informatie nodig van verschillende bronnen om een volledig beeld te krijgen van wat er aan de hand is.

dus laten we zeggen dat ik mijn faciliteit heb ingesteld zoals normaal en meestal raken we dit niet aan als we gewoon naar een syslog-bericht of een syslog-server sturen. Maar als het CiscoWorks is, kunnen we zeggen local 7 voor de faciliteit. Maar ik zie hier veel gebeuren in termen van aantallen, zoals een ernstniveau. Hoe zit het met de ernst van de syslog-berichten?

Ernst Naam Beschrijving
0 Noodgevallen Router onbruikbaar
1 Waarschuwingen Direct actie nodig
2 Kritische kritieke Toestand
3 Fouten Fout
4 Waarschuwingen Waarschuwing
5 Meldingen Normaal, maar belangrijke gebeurtenis
6 informatieve informatieve berichten
7 foutopsporing Debug-bericht

deze ernstniveaus zullen aangeven hoe belangrijk dit syslog-bericht voor ons is op dit specifieke moment. Kijk bijvoorbeeld naar niveau 6, informatief; het geeft ons wat informatie over iets dat is gebeurd. Ons voorbeeld toont een niveau 5, Niveau 5 is een notificatie. Melding waarover? Onze interface veranderde de status naar up. Maar Ik wil dat je het patroon hier ziet. We gaan van 0 naar 7, 0 is het ergste, 7 is debuggen. Hoe zetten we een level 7 syslog-bericht aan? We moeten een debug commando inschakelen dat is hoe ze gaan verschijnen. Dus standaard kun je geen level 7s zien.

maar al het andere van 0 tot 6, dat is een eerlijk spel. Het zal geweldig zijn om te weten of we een noodgeval hebben en onze router onstabiel is. Maar merk op hoe we een naam hebben die ook geassocieerd is met elk van deze niveaus. In het begin is het moeilijk om deze te onthouden, het is moeilijk om te onthouden dat 2 cruciaal is, of 4 is waarschuwingen. Maar na verloop van tijd, hoe meer je speelt met syslog, hoe meer je naar een tafel kijkt, hoe meer je je zult herinneren dat we deze niveaus geassocieerd hebben met deze namen en wat ze betekenen.

Syslog configuratie

zeer weinig protocollen en technologieën zijn zo eenvoudig te configureren, en ik hou van eenvoudig. Ik bedoel, ik hou ook van complex zoals je weet, maar deze is geweldig, oké. Dus je gaat naar de globale configuratie mode en trouwens, we zijn geen syslog servers. Ik wil dat je begrijpt dat we geen syslog server zijn, de router, de switch, Nee, Het is een syslog client! We pompen naar de server. Zijn, dat zou betekenen dat, we zouden moeten een toepassing draaien op een type apparaat dat deze syslog-berichten kan verzamelen. Ja en er is een aantal gratis syslog software die er is, er is ook een aantal dure dingen die beter correleren van de gegevens die erin zitten en rapportage. Maar je zou IP-connectiviteit willen tussen de client en de server, en wij zijn de client en wij wijzen naar de server met het IP-adres.

R1 (config) # logging 10.1.10.100
R1(config) # logging trap informational

in feite is dat het enige commando dat nodig is om die syslog-berichten naar de server te schieten. Maar herinner je je de ernst niveaus? Nou, we willen niet alles loggen en dat is de algemene vuistregel. Wat was het bereik? 0 tot 7, 7 omdat we debuggen, sluiten we dat meestal uit en vaak sluiten we niveau 6 ook uit. Ik ben oké met 6 en lager, maar als je zegt de logging trap commando je zegt, hoe slecht of hoe onbelangrijk zal je gaan? Hoe onbelangrijk wil je zijn?

en de algemene gedachten zijn log 5 tot 0 of 6 tot 0. Maar 7 uitsluiten, tenzij je een specifiek probleem hebt waar je mee te maken hebt dat een langlopende debug vereist, wat erg situationeel is omdat dat je chassis op een negatieve manier gaat beïnvloeden. En we doen echt ons best om te proberen om het debuggen voor langere tijd te voorkomen. Maar hier is het goede nieuws, je wilt syslog configureren, slechts één commando, de bovenste dat is alles wat nodig is.



+