Prezentare generală și configurare Syslog

ați fost vreodată întrerupt brutal de un router sau de comutatorul dvs.? Pur și simplu, tastezi departe, îți vezi de treaba ta, și dintr-o dată, puf, există un mesaj, și apoi altul. Continuați să tastați, altul, ce sunt acelea? Acestea sunt cunoscute sub numele de mesaje syslog și sunt mesaje pe care routerele și comutatoarele noastre le generează pentru a ne anunța despre ceva care a avut loc. Și ar putea fi o gamă largă de lucruri care au avut loc de la ceva legat de o urgență la ceva care este doar o simplă notificare. Acum că mesajul syslog pe care îl vedem, ne apare cum? Ei bine, dacă suntem consolați, ne apare pe linia noastră de consolă. Dacă ne-am Telnetted în sau SSHed în, atunci apare pe liniile noastre terminale. Dar stai puțin, am o întrebare pentru tine. Dacă am Telnet sau SSH într-un dispozitiv, voi vedea mesajele syslog în mod implicit?

nu și asta este destul de confuz și nici măcar nu veți vedea debug-uri, bine, nici măcar nu veți vedea mesaje de depanare. Porniți un depanare, știi că ar trebui să fie scuipa unele de ieșire, nu. Și asta pentru că trebuie să folosim comanda monitor terminal pentru a activa asta. Și motivul pentru care este, ei nu au vrut să inunde sesiuni vty cu depanare foarte vorbăreț și blocare, și practic, ciocni pe cineva de pe o sesiune utilizabilă pentru că există atât de multe informații merge în acest fel. Practic puteți configura mesajele syslog pentru a fi redirecționate către diverse destinații:

  • tampon de logare
  • linie consolă
  • linie terminal
  • server syslog

deci, în mod implicit, mesajele syslog merg la linia consolă, dar nu la liniile terminale. Putem trimite, de asemenea, aceste mesaje syslog la tampon nostru. Care este tamponul? Memorie, oameni buni, memorie. Dar aceste trei opțiuni pe care le vedem enumerate mai întâi, tampon, linie consolă, linie terminală… ce se va întâmpla dacă, de exemplu, pierdem puterea sau ne deconectăm de pe dispozitiv și ne întoarcem? Aceste mesaje vor mai fi acolo? Nu, au plecat, au plecat pentru totdeauna. Deci asta nu ne ajută după fapt. Dacă v-ați consolat, veți vedea, grozav, ne va ajuta în acel moment, dar dacă este generat atunci când nu suntem conectați, nu vom vedea informațiile de care avem nevoie. Deci, opțiunea de Jos-serverul syslog, este o opțiune foarte bună. Să luăm aceste mesaje syslog și să le trimitem la un server syslog. Și apoi, odată ce sunt pe acel server syslog, le putem filtra, putem naviga prin ele, putem vedea dacă există ceva anormal.

format de mesaj Syslog

aș vrea să vă gândiți, cum pot extrage câteva informații utilizabile pe care le pot aplica propriului meu mediu în acest modul în care suntem acum? Acum, protocolul simplu de gestionare a rețelei, sau SNMP, este discutabil, nu? Este posibil să nu aveți bugetul, software-ul și rezistența pentru a face o lansare SNMP. Dar syslog este total diferit, este atât de darned ușor de configurat și atât de puternic în același timp. Și există servere syslog gratuite care sunt acolo. Deci, de fapt, nu există o scuză bună pentru a nu face managementul syslog și suntem mari fani ai IT-ului în Cisco, chiar suntem. Vorbești cu orice persoană care a făcut o mulțime de lucruri Cisco în cariera lor și sunt fani ai acesteia.

care este cel mai eficient mecanism de logare în termeni de regie pe șasiu? Vreau să puteți răspunde la asta, poate nu pentru majoritatea dvs. asociată, dar dacă vorbiți vreodată despre syslog într-un mediu de examen, este acea întrebare care este un fel de loc comun. Deci, ce credeți? Răspunsul este logare la tampon, bine. Conectarea la tampon este mult mai eficientă decât orice altă modalitate. De ce? Pentru că este RAM și RAM este rapid. Deci, doar o mică pepită de luat de aici, pentru orice eventualitate.

există ceva numit facilitatea de mesaje syslog, și când auzi acest cuvânt facilitate, este greu să, de fapt, știu ce înseamnă doar printr-o analiză a cuvântului, care este regretabil. Facilitatea înseamnă într-adevăr formatarea se face pentru toate aceste informații. Gândiți-vă, avem o mulțime de informații, dreapta. Cum formez asta? Și astfel, în unele cazuri, veți dori să reformatați acest lucru. Și cazul specific pe care îl am în minte este CiscoWorks. Dacă suntem interfațare cu CiscoWorks, ne-ar dori să schimbe facilitatea de logare mesaje la local 7.

formatul General al mesajelor syslog generate de procesul syslog pe software-ul Cisco IOS:

seq no: timestamp: % facility-severity-MNEMONIC: descriere

exemplu de mesaj syslog, informând administratorul că interfața FastEthernet 0/24 a apărut:

*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Protocol de linie pe interfață FastEthernet0 / 24, schimbat de stat în sus

deci CiscoWorks nu este doar un software de gestionare a rețelei, sau NMS, din perspectiva simplu de gestionare a rețelei, dar am putea trimite, de asemenea, mesaje syslog la caseta CiscoWorks’. Și asta e, de fapt, modul în care o mulțime de aceste dispozitive NMS de lucru este, au nevoie de informații de la o mulțime de surse diferite pentru a obține o imagine completă a ceea ce se întâmplă?

deci, să presupunem că am facilitatea mea înființat ca de obicei și, de obicei, nu atingem acest lucru dacă suntem doar trimiterea la un mesaj syslog sau un server syslog de drum. Dar dacă e CiscoWorks, am putea spune 7 local pentru facilitate. Dar văd o mulțime de lucruri care se întâmplă aici în termeni de numere, cum ar fi un nivel de severitate. Care este treaba cu nivelurile de severitate ale mesajelor syslog?

nivelul de severitate nume descriere
0 urgențe Router inutilizabil
1 alerte este necesară o acțiune imediată
2 critică stare critică
3 erori stare de eroare
4 avertismente stare de avertizare
5 notificări eveniment Normal, dar important
6 Informațional mesaje informative
7 depanare mesaj de depanare

aceste niveluri de severitate vor indica cât de important este acest mesaj syslog pentru noi în acest moment. De exemplu, uitați-vă la nivelul 6, Informațional; ne oferă câteva informații despre ceva ce s-a întâmplat. Exemplul nostru arată un nivel 5, Nivelul 5 fiind o notificare. Notificare despre ce? Ei bine, interfața noastră a schimbat starea în sus. Dar vreau să vezi modelul aici. Mergem de la 0 la 7, 0 fiind cel mai rău, 7 fiind depanare. Cum activăm un mesaj syslog de nivel 7? Trebuie să activăm o comandă de depanare așa vor apărea. Deci, în mod implicit, nu puteți vedea niciun nivel 7s.

dar orice altceva de la 0 la 6, este un joc corect. Va fi foarte minunat să știm dacă avem o urgență și routerul nostru este instabil. Dar observați cum avem un nume asociat cu fiecare dintre aceste niveluri. Și la început, este greu să ne amintim aceste, este greu să ne amintim că 2 este critică, sau 4 este avertismente. Dar, în timp, cu cât te joci mai mult cu syslog, cu atât te uiți mai mult la o masă, cu atât îți vei aminti mai mult că avem aceste niveluri asociate cu aceste nume și ce înseamnă acestea.

configurare Syslog

foarte puține protocoale și tehnologii sunt atât de simplu pentru a configura, și îmi place simplu. Adică, îmi place, de asemenea, complexe, după cum știți, dar aceasta este mare, bine. Deci intrați în modul de configurare globală și, apropo, nu suntem servere syslog. Aș vrea să înțelegeți că nu suntem un server syslog, routerul, comutatorul, nu este un client syslog! Pompăm către server. Deci, asta ar însemna că, ar trebui să avem o aplicație care rulează pe un anumit tip de dispozitiv care poate colecta aceste mesaje syslog. Da și există unele software-ul syslog gratuit, care este acolo, există, de asemenea, unele lucruri scumpe, care face mai bine corelarea datelor care este în interiorul de ea și de raportare. Dar ați dori conectivitate IP între client și server, iar noi suntem clientul și indicăm serverul cu adresa IP.

R1(config)#logare 10.1.10.100
R1(config)#logging trap informational

acum, de fapt, aceasta este singura comandă care ar fi necesară pentru a începe fotografierea acelor mesaje syslog pe server. Dar amintiți-vă nivelurile de severitate? Ei bine, nu vrem să înregistrăm totul și asta este regula generală. Care a fost intervalul? De la 0 la 7, 7 fiind depanare, de obicei excludem acest lucru și, adesea, excludem și nivelul 6. Sunt bine cu 6 și mai jos, dar când spui comanda capcana de logare spui, cât de rău sau cât de lipsit de importanță va merge? Cât de lipsit de importanță vei merge?

și gândurile generale sunt log 5 la 0 sau 6 la 0. Dar excludeți 7, cu excepția cazului în care aveți o problemă specifică cu care aveți de-a face, care necesită o depanare de lungă durată, ceea ce este foarte situațional, deoarece acest lucru vă va afecta șasiul într-un mod negativ. Și facem cu adevărat tot posibilul pentru a încerca să evităm Depanarea pentru perioade prelungite de timp. Dar aici e vestea cea mare, pe care doriți să configurați syslog, doar o singură comandă, cea de sus, care este tot ce trebuie.



+