Syslog przegląd i konfiguracja

czy kiedykolwiek został niegrzecznie przerwany przez router lub przełącznik? Tak po prostu, piszesz, zajmujesz się swoimi sprawami, i nagle, puf, pojawia się wiadomość, a potem kolejna. Kontynuuj pisanie, kolejny, co to jest? Są one znane jako komunikaty syslog i są to komunikaty generowane przez nasze routery i przełączniki, aby powiadomić nas o czymś, co się wydarzyło. I może to być szeroki zakres rzeczy, które miały miejsce od wszystkiego związanego z nagłym wypadkiem do czegoś, co jest zwykłym powiadomieniem. Teraz ta wiadomość sysloga, którą widzimy, pojawia się nam w jaki sposób? Cóż, jeśli jesteśmy pocieszeni, pojawia się nam na naszej linii konsoli. Jeśli mamy Telneted in lub SSHed in, to pojawia się na naszych liniach terminalowych. Ale poczekaj, mam do ciebie pytanie. Czy jeśli podłączę Telnet lub SSH do urządzenia, domyślnie będę widział komunikaty syslog?

Nie i to jest dość mylące i nawet nie zobaczysz debugów, OK, nawet nie zobaczysz wiadomości debugowania. Włączasz debugowanie, wiesz, że powinno wypluć jakieś wyjście, nie. A to dlatego, że musimy użyć polecenia terminal monitor, aby to włączyć. Powodem jest to, że nie chcieli zalewać sesji vty bardzo gadatliwymi debugami i blokowaniem, i w zasadzie, wyrzucić kogoś z użytecznej sesji, ponieważ w ten sposób dzieje się tak wiele informacji. Zasadniczo możesz skonfigurować wiadomości syslog, aby były przekazywane do różnych miejsc docelowych:

  • bufor rejestrujący
  • linia konsoli
  • linia terminala
  • serwer syslog

więc domyślnie wiadomości syslog trafiają do linii konsoli, ale nie do linii terminala. Możemy również wysłać te wiadomości syslog do naszego bufora. Co to za bufor? Pamięć, ludzie, pamięć. Ale te trzy opcje, które widzimy wymienione jako pierwsze, bufor, linia konsoli, linia terminala… co się stanie, jeśli na przykład stracimy zasilanie lub wylogujemy się z urządzenia I wrócimy? Czy te wiadomości nadal tam będą? Nie, odeszli, odeszli na dobre. Więc to nam nie pomoże po fakcie. Jeśli się pocieszyłeś, zobaczysz, świetnie, to pomoże nam w tym momencie, ale jeśli jest generowany, gdy nie jesteśmy zalogowani, nie zobaczymy potrzebnych informacji. Więc dolna opcja-serwer syslog, to naprawdę świetna opcja. Weźmy te wiadomości syslog i wyślij je na serwer syslog. A kiedy znajdą się na serwerze syslog, możemy je filtrować, możemy je przeglądać, możemy sprawdzić, czy jest coś nienormalnego.

format wiadomości Syslog

chciałbym, żebyście pomyśleli, Jak mogę wydobyć użyteczne informacje, które mogę zastosować do własnego środowiska w tym module, w którym teraz jesteśmy? Teraz prosty protokół zarządzania siecią, czyli SNMP, jest wątpliwy, prawda? Możesz nie mieć budżetu, oprogramowania i wytrzymałości na wdrożenie SNMP. Ale syslog jest zupełnie inny, jest tak cholernie łatwy w konfiguracji i tak potężny w tym samym czasie. I są darmowe serwery syslog, które są tam. Tak naprawdę nie ma dobrej wymówki, aby nie zarządzać syslogami i jesteśmy wielkimi fanami tego w Cisco, naprawdę jesteśmy. Rozmawiasz z każdą osobą, która zrobiła wiele rzeczy w swojej karierze i są jej fanami.

jaki jest najskuteczniejszy mechanizm logowania pod względem napowietrzności na podwoziu? Chcę, żebyś był w stanie odpowiedzieć na to pytanie, może nie dla większości na poziomie associate, ale jeśli kiedykolwiek mówisz o syslogu w środowisku egzaminacyjnym, to to jedno pytanie jest rodzajem wspólnego miejsca. Co myślicie? Odpowiedzią jest zalogowanie się do bufora. Logowanie do bufora jest o wiele wydajniejsze niż jakakolwiek inna modalność. Dlaczego? Bo to RAM, A RAM jest szybki. Więc tylko jeden mały samorodek do odebrania, na wszelki wypadek.

jest coś, co nazywa się facility of syslog messages, I Kiedy słyszysz to słowo facility, trudno w rzeczywistości wiedzieć, co to znaczy tylko przez analizę słowa, co jest niefortunne. Facility naprawdę oznacza formatowanie odbywa się dla wszystkich tych informacji. Pomyśl, mamy dużo informacji. Jak to sformatować? I tak, w niektórych przypadkach, będziesz chciał sformatować to. A konkretny przypadek, który mam na myśli, to CiscoWorks. Jeśli łączymy się z CiscoWorks, chcielibyśmy zmienić funkcję logowania wiadomości na local 7.

ogólny format wiadomości syslog generowanych przez proces syslog na oprogramowaniu Cisco IOS:

seq no: timestamp: %facility-severity-MNEMONIC: description

przykład komunikatu syslog informującego administratora, że pojawił się interfejs FastEthernet 0/24:

*Luty 22 11:29:55:423: %LINEPROTO-5-Uptown: Protokół liniowy na interfejsie FastEthernet0/24, zmieniony stan do góry

więc CiscoWorks to nie tylko oprogramowanie do zarządzania siecią, lub NMS, z perspektywy prostego zarządzania siecią, ale możemy również wysyłać komunikaty syslog do skrzynki CiscoWorks. I tak właśnie działa wiele urządzeń NMS, potrzebują informacji z wielu różnych źródeł, aby uzyskać pełny obraz tego, co się dzieje?

powiedzmy, że mój obiekt jest ustawiony jak zwykle i zwykle nie dotykamy tego, jeśli wysyłamy tylko wiadomość syslog lub serwer syslog. Ale jeśli to CiscoWorks, możemy powiedzieć, że lokal 7 dla placówki. Ale widzę wiele rzeczy, które dzieją się tutaj pod względem liczby, jak poziom dotkliwości. O co chodzi z poziomami ważności komunikatów syslog?

Nazwa opis
0 awaryjne router nie nadaje się do użytku
1 alerty wymagane natychmiastowe działanie
2 krytyczny stan krytyczny
3 błędy stan błędu
4 Ostrzeżenia warunek Ostrzeżenia
5 powiadomienia normalne, ale ważne wydarzenie
6 wiadomości informacyjne wiadomości informacyjne
7 debugowanie komunikat debugowania

te poziomy ciężkości będą wskazywać, jak ważna jest dla nas wiadomość syslog w tym konkretnym momencie. Na przykład, spójrz na poziom 6, informacyjny; to daje nam pewne informacje o czymś, co się stało. Nasz przykład pokazuje poziom 5, Poziom 5 jest powiadomieniem. O czym? Nasz interfejs zmienił stan na up. Ale chcę, żebyście zobaczyli wzór tutaj. Przechodzimy od 0 do 7, 0 jest najgorsze, 7 to debugowanie. Jak włączyć komunikat syslog poziomu 7? Musimy włączyć komendę debugowania, tak się pojawią. Tak więc domyślnie nie widać żadnych poziomów 7s.

ale wszystko inne od 0 do 6, to jest uczciwa gra od razu. Dobrze będzie wiedzieć, czy mamy awarię, a nasz router jest niestabilny. Ale zauważ, jak mamy nazwę związaną z każdym z tych poziomów, jak również. Na początku trudno je zapamiętać, trudno pamiętać, że 2 jest krytyczne, a 4 to Ostrzeżenia. Ale z czasem, im bardziej bawisz się syslogiem, im bardziej patrzysz na tabelę, tym bardziej pamiętasz, że mamy te poziomy powiązane z tymi nazwami i co one oznaczają.

konfiguracja Syslog

bardzo niewiele protokołów i technologii jest tak prostych w konfiguracji, a ja uwielbiam proste. Lubię też kompleks, ale ten jest świetny. Więc przechodzisz do globalnego trybu konfiguracji i przy okazji, nie jesteśmy serwerami syslog. Chciałbym, abyś zrozumiał, że nie jesteśmy serwerem syslog, routerem, przełącznikiem, nie jest to klient syslog! Pompujemy do serwera. Oznaczałoby to, że musielibyśmy mieć aplikację działającą na jakimś urządzeniu, które może zbierać te wiadomości syslog. Tak i jest trochę darmowego oprogramowania syslog, jest też trochę drogich rzeczy, które lepiej korelują dane, które są w nim i raportują. Ale chcielibyście łączności IP między Klientem a serwerem, a my jesteśmy klientem i wskazujemy serwer z adresem IP.

R1(config)#logowanie 10.1.10.100
R1 (config)#rejestrowanie informacji o pułapce

teraz w rzeczywistości jest to jedyne polecenie, które byłoby konieczne, aby rozpocząć strzelanie tych wiadomości syslog na serwer. Ale pamiętasz poziom ciężkości? Nie chcemy zapisywać wszystkiego i taka jest ogólna zasada. Jaki był zasięg? Od 0 do 7, 7 będąc debugowaniem, zwykle to wykluczamy i często wykluczamy również poziom 6. Nie mam nic przeciwko 6 i poniżej, ale kiedy mówisz polecenie logowania pułapki, mówisz, jak źle lub jak nieistotne pójdziesz? Jak bezsensowne będzie wyjście?

a Ogólne myśli to log 5 do 0 lub 6 do 0. Ale wyklucz 7, chyba że masz konkretny problem, z którym masz do czynienia, który wymaga długotrwałego debugowania, co jest bardzo sytuacyjne, ponieważ wpłynie to negatywnie na twoje podwozie. I naprawdę staramy się unikać debugowania przez dłuższy czas. Ale oto świetna wiadomość, chcesz skonfigurować syslog, tylko jedno polecenie, najlepsze, to wszystko, czego potrzeba.



+