Visão Geral do Syslog e Configuração

alguma vez foi rudemente interrompido por um router ou pelo seu interruptor? Sem mais nem menos, estás a escrever, a meter-te na tua vida, e de repente, puf, há uma mensagem, e depois outra. Continua a escrever, outro, o que é isso? Estas são conhecidas como mensagens syslog, e são mensagens que nossos roteadores e nossos switches geram para nos notificar sobre algo que ocorreu. E pode ser uma grande variedade de coisas que ocorreram desde qualquer coisa relacionada a uma emergência a algo que é apenas uma simples notificação. Agora que a mensagem do syslog que vemos, está a aparecer-nos como? Bem, se estamos consolados, está a aparecer-nos na nossa linha de consola. Se nós temos Telneted dentro ou SSHed in, então ele está aparecendo em nossas linhas terminais. Mas espera um segundo, tenho uma pergunta para ti. Se eu Telnet ou SSH em um dispositivo, eu vou ver as mensagens syslog por padrão?

não e isso é muito confuso e você nem vai ver as mensagens de depuração, ok, você nem vai ver as mensagens de depuração. Se ligares uma depuração, sabes que deve estar a cuspir alguma saída, não. E é porque temos que usar o comando monitor terminal para ativar isso. E a razão é que eles não queriam inundar sessões vty com debugs muito faladores e bloquear, e basicamente, tirar alguém de uma sessão utilizável porque há tanta informação a ir por esse caminho. Basicamente, você pode configurar as mensagens do syslog a serem encaminhadas para vários destinos:

  • tampão de Registo
  • linha de consola
  • linha terminal
  • servidor syslog

assim, por omissão, as mensagens syslog vão para a linha de consola, mas não para as linhas terminais. Também podemos enviar essas mensagens syslog para o nosso buffer. Qual é o amortecedor? Memória, pessoal, memória. Mas estas três opções que vemos primeiro, buffer, linha de consola, linha de terminal… o que vai acontecer se, por exemplo, perdermos energia ou desligarmos o dispositivo e voltarmos? Essas mensagens ainda vão lá estar? Não, foram – se, foram-se de vez. Isso não nos ajuda depois do facto. Se você se consolou, você vai ver, ótimo, isso vai nos ajudar nesse ponto, mas se ele está sendo gerado quando não estamos conectados, nós não vamos ver a informação que precisamos. Então a opção de baixo-o servidor syslog, é uma ótima opção. Vamos pegar essas mensagens syslog e enviá-las para um servidor syslog. E assim que estiverem no servidor syslog, podemos filtrá-los, podemos navegar através deles, podemos ver se há alguma coisa anormal.

Syslog message format

eu gostaria que vocês pensassem, como posso extrair alguma informação útil que eu possa aplicar ao meu próprio ambiente neste módulo em que estamos agora? O protocolo de gestão de rede simples, ou SNMP, é questionável, certo? Você pode não ter o orçamento, o software, e a resistência para fazer um rollout SNMP. Mas syslog é totalmente diferente, é tão fácil de configurar e tão poderoso ao mesmo tempo. E há servidores syslog gratuitos que estão lá fora. Então, na verdade, não há realmente uma boa desculpa para não fazer a gestão syslog e nós somos grandes fãs disso na Cisco, nós realmente somos. Você fala com qualquer pessoa que tenha feito muitas coisas do Cisco em sua carreira, e eles são fãs disso.

Qual é o mecanismo de Registo mais eficiente em termos de sobrecarga no chassis? Eu quero que você seja capaz de responder a isso, talvez não para a sua maioria de nível associado, mas se você está falando sobre syslog em um ambiente de exame, é essa uma pergunta que é um tipo de lugar comum. Então, o que acham? A resposta é ligar-se ao buffer. Logar no buffer é muito mais eficiente do que qualquer outra modalidade. Por quê? Porque é RAM e RAM é rápido. Por isso, só uma pequena pepita para tirar disto, só por precaução.

há algo chamado a facilidade de mensagens syslog, e quando você ouve esta facilidade de palavra, é difícil, de fato, saber o que significa apenas por uma análise da palavra, o que é lamentável. Instalação realmente significa que a formatação é feita para todas essas informações. Temos muita informação, certo? Como formato isso? E assim, em alguns casos, você vai querer reformá-lo. E o caso específico que tenho em mente são os “CiscoWorks”. Se estamos a interagir com a CiscoWorks, queremos mudar a instalação de registo de mensagens para local 7.

formato Geral das mensagens syslog gerado pelo syslog processo Cisco IOS software:

número seq:carimbo de data / hora: %facilidade de gravidade-MNEMÔNICO:descrição

Exemplo de uma mensagem de syslog, informando o administrador que FastEthernet 0/24 interface veio:

*Fevereiro 22 11:29:55:423: %LINEPROTO-5-UPDOWN: Protocolo de linha na Interface FastEthernet0 / 24, mudou o estado para

assim, o CiscoWorks não é apenas um Software de gestão de rede, ou NMS, do ponto de vista da Gestão de rede simples, mas também podemos enviar mensagens syslog para a caixa do CiscoWorks. E isso é, de fato, como muitos desses dispositivos NMS funcionam, eles precisam de informações de muitas fontes diferentes para obter uma imagem completa do que está acontecendo?Por isso, digamos que tenho as minhas instalações configuradas como normais e normalmente, não tocamos nisto se estivermos apenas a enviar uma mensagem syslog ou um servidor syslog. Mas se for a CiscoWorks, podemos dizer local 7 para as instalações. Mas eu vejo muitas coisas acontecendo aqui em termos de números, como um nível de gravidade. Qual é o problema com os níveis de gravidade das mensagens do syslog?

Nível de Gravidade Nome Descrição
0 Emergências Roteador inutilizável
1 Alertas ação Imediata necessária
2 Crítica Condição crítica
3 Erros condição de Erro
4 Avisos Aviso de condição
5 Notificações Normal, mas importante evento
6 Informativos mensagens Informativas
7 Depuração mensagem de Depuração

Estes níveis de gravidade está indo para indicar o quão importante esta mensagem syslog é, para nós, neste ponto particular no tempo. Por exemplo, olhe para o Nível 6, informacional; ele está nos dando algumas informações sobre algo que aconteceu. O nosso exemplo mostra um nível 5, sendo o nível 5 uma notificação. Notificação sobre o quê? Bem, a nossa interface mudou de Estado. Mas quero que vejas o padrão aqui. Vamos de 0 a 7, 0 sendo o pior, 7 sendo depuração. Como ligamos uma mensagem syslog Nível 7? Temos de activar um comando de depuração, é assim que vão aparecer. Então, por padrão, você não pode ver nenhum nível 7s.

mas tudo o resto de 0 a 6, Isso é jogo justo desde o início. Será óptimo saber se temos uma emergência e o router está instável. Mas repare como temos um nome associado a cada um destes níveis também. E no início, é difícil lembrar estes, é difícil lembrar que 2 é crítico, ou 4 são avisos. Mas com o tempo, quanto mais você brinca com o syslog, mais você olha para uma mesa, mais você se lembrará que temos esses níveis associados com esses nomes e o que eles significam.

configuração do Syslog

muito poucos protocolos e tecnologias são tão simples de configurar,e eu amo direto. Também gosto de complexo, como sabes, mas este é óptimo. Então você entra no modo de configuração global e a propósito, nós não somos servidores syslog. Eu gostaria que você entendesse que, nós não somos um servidor syslog, o router, o interruptor, não é um cliente syslog! Estamos a bombear para o servidor. Então, isso significaria que, teríamos que ter uma aplicação rodando em algum tipo de dispositivo que pode coletar essas mensagens syslog. Sim, e há algum software livre syslog que está lá fora, há também algumas coisas caras que faz melhor correlacionar os dados que estão dentro dele e relatando. Mas você quer conectividade IP entre o cliente e o servidor, e nós somos o cliente e apontamos para o servidor com o endereço IP.

R1(configuração)#logging 10.1.10.100
R1(config)#logging armadilha informativos

Agora, na verdade, que é o único comando que seria necessário para começar a fotografar essas mensagens syslog para o servidor. Mas lembras-te dos níveis de gravidade? Bem, não queremos registar tudo e essa é a regra geral. Qual era o alcance? 0 a 7, 7 sendo depuração, geralmente excluímos isso e muitas vezes excluímos o Nível 6 também. Não me importo com 6 e menos, mas quando dizes o comando da armadilha de madeireiros, estás a dizer, quão mau ou quão inconsequente irás? Quão inconsequente irás?

e os pensamentos gerais são log 5 a 0 ou 6 a 0. Mas excluir 7, a menos que você tenha um problema específico que você está lidando com que exige um debug de longa duração, o que é muito situacional, porque isso vai afetar seu chassis de uma forma negativa. E nós realmente fazemos o nosso melhor para tentar evitar a depuração por longos períodos de tempo. Mas aqui está a grande notícia, você quer configurar o syslog, apenas um comando, o primeiro que é tudo o que é preciso.



+