Resumen
Syslog es un protocolo que envia mensajes de registros que son enviados a un servidor especifico que pueden recopilarse para su monitoreo y analisis. La mayoria de dispositivos de red es capaz de poder configurarse syslog. PRTG cuenta con sensor Syslog Receiver puede ayudar a suspervisar estos mensajes que envia los dispositivos que se tengan en la red.
Detalle
Cualquier dispositivo dado, el sistema genera varios eventos en respuesta a las condiciones cambiantes del sistema. Generalmente, estos eventos se registran localmente para poder ser revisados y analizados por parte de un administrador.
Syslog usa el protocolo UDP en el puerto 514, puede configurarse para usar cualquier otro puerto. Adicionalmente, ciertos dispositivos usan el puerto TCP 1468 para enviar datos de syslog a fin de obtener confirmaciones de entrega de los mensajes. La transmisión de paquetes de syslog es asíncrona, y los mensajes se generan según se haya configurado en el equipo correspondiente
Formanto Mensaje Syslog
Mensaje syslog conta de tres partes:
PRI= Valor prioridad calculado
Header= informacion identificacion
MSG= Mensaje o detalle de la alerta
PRI contiene dos valores numericos que casiflican el mensaje. Primer valor de recurso o Facilty es de uno de los 15 valores predefinidos o definidos localmente. Clasifican el tipo de mensaje o qué sistema generó el evento.
| Número | Descripción del recurso |
| 0 | Mensajes del núcleo |
| 1 | Mensajes a nivel de usuario |
| 2 | Sistema de correo |
| 3 | Demonios del sistema |
| 4 | Mensajes de seguridad/autorización |
| 5 | Mensajes generados por syslog |
| 6 | Subsistema de impresión de línea |
| 7 | Subsistema de noticias de red |
| 8 | Subsistema UUCP |
| 9 | Demonio de reloj |
| 10 | Mensajes de seguridad/autorización |
| 11 | Demonio FTP |
| 12 | Subsistema NTP |
| 13 | Auditoría de registro |
| 14 | Alerta de registro |
| 15 | Demonio de reloj |
| 16 – 23 | Uso local 0 – 7 |
La segunda etiqueta de un mensaje de syslog clasifica la importancia o gravedad del mensaje mediante un código numérico de 0 a 7.
| Código | Gravedad | Descripción |
| 0 | Emergencia | El sistema no se puede usar |
| 1 | Alerta | Se deben adoptar medidas de inmediato |
| 2 | Crítico | Condiciones críticas |
| 3 | Error | Condiciones de error |
| 4 | Advertencia | Condiciones de advertencia |
| 5 | Aviso | Condición normal pero importante |
| 6 | Información | Mensajes informativos |
| 7 | Depuración | Mensajes de nivel de depuración |
Los valores de ambas etiquetas no tienen definiciones estrictas; por lo tanto, depende del sistema o la aplicación decidir cómo registrar un evento. El Tamaño de un mensaje syslog es de 1024 bytes.
Partes del mensaje de syslog
| Componente | Valor | Información |
| PRI | 165 | Recurso = 20, Gravedad = 5 |
| VERSION | 1 | Versión 1 |
| TIMESTAMP | 2017-05-11T21:14:15.003Z | Mensaje creado el 11 de mayo de 2017 a las 09:14:15 P.M., con 3 milisegundos |
| HOSTNAME | mymachine.example.com | Mensaje originado por el host “mymachine.example.com” |
| APP-NAME | su | Nombre de la aplicación: “su” |
| PROCID | – | PROCID desconocido |
| MSGID | ID47 | ID del mensaje: 47 |
| STRUCTURED-DATA | [exampleSDID@32473 iut=»3″ eventSource=» eventID=»1011″] | Elemento de datos estructurados con un ID-SD no controlado por IANA del tipo “exampleSDID@32473”, que tiene tres parámetros |
| MSG | BOMAn application log entry… | BOM es un tipo de codificación UTF-8, el mensaje en sí es “An application log entry…” |
Ejemplo de un mensaje syslog
<165>1 2003-10-11T22:14:15.003Z mymachine.example.com - ID47 [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] BOMAn application log entry...
Servidor Syslog
Este tambien se le conoce como colector o receptor de syslog. PRTG seria el actor en este punto, ya que se cuenta con un sensor que es un receptor de syslog desde el cual recopila todos los mensajes. Para empezar a monitorear los mensajes Syslog se debe configurar el dispositivo emisor para que este envie estos mensajes a servidor de PRTG. Como se reciben una gran cantidad
En detalle se veria la siguiente información:
- El número de mensajes de syslog recibidos por segundo
- El número de mensajes clasificados como “advertencia” por segundo
- El número de mensajes clasificados como “error” por segundo
- El número de paquetes descartados por segundo
Vista del sensor Syslog Receiver
Esta es la vista de los mensajes syslog en PRTG.
Otras consideraciones
Seguridad
No ofrece ningún mecanismo de seguridad. No hay autenticación integrada para garantizar que los mensajes provengan del dispositivo que dice enviarlos, ni un sistema de cifrado que oculte la información que se envía al servidor, por lo que es particularmente susceptible a los llamados “ataques de reproducción”
Configuración del dispositivo
La mayoría de las implementaciones de Syslog se pueden configurar con respecto a los mensajes que se reenviarán al servidor de syslog. Es importante configurar esto correctamente para evitar ahogar tanto al servidor como a la red con tráfico innecesario.Es aconsejable configurar los parámetros de syslog de forma que solo se pidan los mensajes de mayor recurso (menor valor) y gravedad posibles a fin de minimizar el tráfico.
Windows
No implementan Syslog dentro de su sistema estándar de registro de eventos, pero sí se pueden recopilar y reenviar eventos generados dentro del sistema de registro de Windows a un servidor Syslog utilizando herramientas de terceros.
Limitaciones
Syslog es que el dispositivo a supervisar debe estar en funcionamiento y conectado a la red para generar y enviar eventos. Sin embargo, es posible que un error crítico del kernel haga que el equipo se cuelgue, se bloquee o se desconecte sin llegar a enviar error alguno.
Para mayor información favor contactar a servicio@rolosa.com
0 comentarios