Syslog Översikt och konfiguration

har du någonsin varit bryskt avbruten av en router eller din switch? Precis så, du skriver bort, du tänker på ditt eget företag, och plötsligt, poof, det finns ett meddelande, och sedan ett annat. Du fortsätter att skriva, en annan, Vad är det? Dessa är kända som syslog-meddelanden, och de är meddelanden som våra Routrar och våra switchar genererar för att meddela oss om något som har inträffat. Och det kan vara ett brett spektrum av saker som har inträffat från allt som är relaterat till en nödsituation till något som bara är en enkel anmälan. Nu det syslog-meddelandet som vi ser, det verkar för oss hur? Tja, om vi är tröstade, visas det för oss på vår konsollinje. Om vi har Telnetted in eller SSHed in, så visas det på våra terminallinjer. Men vänta lite, jag har en fråga till dig. Om jag Telnet eller SSH till en enhet, kommer jag att se syslog meddelanden som standard?

Nej Och det är ganska förvirrande och du kommer inte ens se debugs, okej, du kommer inte ens se felsökningsmeddelanden. Du slår på en debug, du vet att det borde spotta ut lite produktion, Nej. Och det beror på att vi måste använda kommandot terminal monitor för att aktivera det. Och anledningen är att de inte ville översvämma vty-sessioner med mycket chattiga debugs och låsning, och i princip stöta någon av en användbar session eftersom det finns så mycket information som går på det sättet. I grund och botten kan du konfigurera syslog-meddelandena som ska vidarebefordras till olika destinationer:

  • loggningsbuffert
  • konsollinje
  • terminallinje
  • syslog server

så som standard går syslog-meddelanden till konsollinjen, men inte till terminallinjerna. Vi kan också skicka dessa syslog-meddelanden till vår buffert. Vad är bufferten? Minne, folk, minne. Men dessa tre alternativ som vi ser listade först, buffert, konsollinje, terminallinje… vad kommer att hända om vi till exempel tappar ström eller loggar ut från enheten och kommer tillbaka? Kommer dessa meddelanden fortfarande att finnas där? Nej de är borta, de är borta för gott. Så det hjälper oss inte efter det faktum. Om du har tröstat dig ser du det, bra, det kommer att hjälpa oss vid den tiden, men om det genereras när vi inte är inloggade kommer vi inte att se den information vi behöver. Så det nedre alternativet-syslog-servern, det är ett riktigt bra alternativ. Låt oss ta dessa syslog-meddelanden och låt oss skicka dem till en syslog-server. Och sedan när de är på den syslog-servern kan vi filtrera dem, vi kan bläddra igenom dem, vi kan se om det finns något onormalt.

Syslog message format

jag skulle vilja att ni tänker, hur kan jag extrahera användbar information som jag kan tillämpa på min egen miljö i den här modulen som vi befinner oss i just nu? Nu Simple Network Management Protocol, eller SNMP, är tveksamt rätt? Du kanske inte har budgeten, programvaran och uthålligheten att göra en SNMP-utrullning. Men syslog är helt annorlunda, det är så förbaskat lätt att konfigurera och så kraftfullt samtidigt. Och det finns gratis syslog-servrar som finns där ute. Så det finns faktiskt inte en bra ursäkt för att inte göra syslog-hantering och vi är stora fans av det i Cisco, det är vi verkligen. Du pratar med någon person som har gjort mycket Cisco-saker i sin karriär, och de är fans av det.

Vad är den mest effektiva loggningsmekanismen när det gäller overhead på chassi? Jag vill att du ska kunna svara på detta, kanske inte för din associerade nivå majoritet, men om du någonsin pratar om syslog i en examensmiljö, är det den enda frågan som är typ av vanlig plats. Så vad tycker ni? Svaret är att logga in på bufferten, okej. Att logga in på bufferten är mycket effektivare än någon annan modalitet. Varför? Eftersom det är RAM och RAM är snabbt. Så bara en liten nugget att ta bort från detta, för säkerhets skull.

det finns något som kallas facility of syslog messages, och när du hör det här ordet facility är det svårt att faktiskt veta vad det betyder bara genom en analys av ordet, vilket är olyckligt. Facility betyder verkligen att formateringen görs för all den informationen. Tänk, vi har mycket information, eller hur. Hur formaterar jag det? Och i vissa fall vill du formatera om detta. Och det specifika fallet som jag har i åtanke är CiscoWorks. Om vi samarbetar med CiscoWorks, skulle vi vilja ändra anläggningen för att logga meddelanden till local 7.

allmänt format för syslog-meddelanden som genereras av syslog-processen på Cisco IOS-programvaran:

seq no: tidsstämpel: %facility-severity-MNEMONIC: beskrivning

exempel på syslog meddelande, informera administratören att FastEthernet 0/24 gränssnitt kom upp:

*Feb 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Linjeprotokoll på gränssnittet FastEthernet0 / 24, ändrat tillstånd till upp

så CiscoWorks är inte bara en Nätverkshanteringsprogramvara, eller NMS, från simple network management perspektiv, men vi kunde också skicka syslog-meddelanden till CiscoWorks’ box. Och det är faktiskt hur många av dessa NMS-enheter fungerar, de behöver information från många olika källor för att få en fullständig bild av vad som händer?

så låt oss säga att jag fick min anläggning som vanligt och vanligtvis berör vi inte detta om vi bara skickar till ett syslog-meddelande eller en syslog-server förresten. Men om det är CiscoWorks, kan vi säga lokal 7 för anläggningen. Men jag ser en hel del saker som händer här när det gäller siffror, som en svårighetsgrad. Vad handlar det om svårighetsgraden av syslog-meddelandena?

svårighetsgrad namn beskrivning
0 nödsituationer Router oanvändbar
1 varningar omedelbar åtgärd krävs
2 kritisk villkor kritisk
3 fel feltillstånd
4 varningar Varningsvillkor
5 meddelanden Normal men viktig händelse
6 informationsmeddelanden informationsmeddelanden
7 felsökning felsökningsmeddelande

dessa svårighetsgrader kommer att indikera hur viktigt detta syslog-meddelande är för oss vid denna tidpunkt. Titta till exempel på nivå 6, informativ; det ger oss lite information om något som har hänt. Vårt exempel visar en nivå 5, Nivå 5 är en anmälan. Anmälan om vad? Tja, vårt gränssnitt ändrade tillstånd till upp. Men jag vill att du ska se mönstret här. Vi går från 0 till 7, 0 är värst, 7 är felsökning. Hur aktiverar vi ett syslog-meddelande på nivå 7? Vi måste aktivera ett felsökningskommando som är hur de kommer att visas. Så som standard kan du inte se någon nivå 7s.

men allt annat från 0 till 6, Det är rättvist spel precis utanför fladdermusen. Det blir riktigt bra att veta om vi har en nödsituation och vår router är instabil. Men lägg märke till hur vi har ett namn associerat med var och en av dessa nivåer också. Och först är det svårt att komma ihåg dessa, det är svårt att komma ihåg att 2 är kritisk, eller 4 är varningar. Men med tiden, ju mer du leker med syslog, ju mer du tittar på ett bord, desto mer kommer du ihåg att vi har dessa nivåer associerade med dessa namn och vad de betyder.

syslog configuration

mycket få protokoll och tekniker är så enkla att konfigurera, och jag älskar enkelt. Jag menar, jag gillar också komplex som du vet, men den här är bra, okej. Så du går in i det globala konfigurationsläget och förresten, vi är inte syslog-servrar. Jag vill att du ska förstå det, vi är inte en syslog-server, routern, omkopplaren, nej det är en syslog-klient! Vi pumpar till servern. Så det skulle innebära att vi måste ha en applikation som körs på någon typ av enhet som kan samla in dessa syslog-meddelanden. Ja och det finns lite gratis syslog-programvara som finns där ute, det finns också några dyra saker som bättre korrelerar med data som finns inuti den och rapporterar. Men du vill ha IP-anslutning mellan klienten och servern, och vi är klienten och vi pekar på servern med IP-adressen.

R1(config)#loggning 10.1.10.100
R1(config) # loggningsfälla informativ

nu är det faktiskt det enda kommandot som skulle vara nödvändigt för att börja skjuta dessa syslog-meddelanden över till servern. Men kom ihåg svårighetsgraden? Tja, vi vill inte logga allt och det är den allmänna tumregeln. Vad var räckvidden? 0 till 7, 7 är felsökning, vi utesluter vanligtvis det och ofta utesluter vi nivå 6 också. Jag är okej med 6 och under, men när du säger loggningsfällkommandot säger du, hur illa eller hur obetydligt kommer du att gå? Hur obetydlig kommer du att gå?

och de allmänna tankarna är log 5 till 0 eller 6 till 0. Men Uteslut 7, Om du inte har ett specifikt problem som du har att göra med som kräver en långvarig debug, vilket är väldigt situationellt eftersom det kommer att påverka ditt chassi på ett negativt sätt. Och vi gör verkligen vårt bästa för att försöka undvika felsökning under långvariga perioder. Men här är den stora nyheten, du vill konfigurera syslog, bara ett kommando, den översta som är allt som krävs.



+