1. introdução ao syslog · 2017-05-25 · extraída de ccna connecting networks - cisco...
Post on 17-Apr-2020
18 Views
Preview:
TRANSCRIPT
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
1
1. Introdução ao syslog
Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm
mecanismos confiáveis para notificar o administrador com mensagens de sistema
detalhadas. Essas mensagens podem ser não críticas ou significativas. Os administradores
de rede dispõem de várias opções de armazenamento, interpretação e exibição dessas
mensagens, bem como para o recebimento de alertas referentes às mensagens que
provocam maior impacto na infraestrutura de rede.
O método mais comum de acesso às mensagens de sistema enviadas pelos
dispositivos de rede consiste em usar um protocolo denominado syslog.
Syslog é o termo usado para descrever um padrão. Também é usado para
descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido
para sistemas UNIX na década de 1980, mas foi documentado primeiro como RFC 3164
pelo IETF em 2001. O syslog usa a porta UDP 514 para enviar mensagens de notificações
de eventos em redes IP a coletores de mensagens de eventos, conforme demonstrado na
figura 1.
Figura 1 - Syslog
Muitos dispositivos de rede oferecem suporte ao syslog, inclusive roteadores,
switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo
syslog permite que os dispositivos de rede enviem mensagens de sistema pela rede aos
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
2
servidores syslog. É possível criar uma rede fora da banda (OOB, out-of-band) especial
para essa finalidade.
Há vários pacotes diferentes de software de Servidor syslog para Windows e UNIX.
Muitos deles são freeware.
O serviço de logging de syslog oferece três funções principais:
Capacidade de coletar informações de registro para o monitoramento e a identificação e solução de problemas
Capacidade de selecionar os tipos de informação de registro capturados
Capacidade de especificar os destinos das mensagens capturadas de syslog
2. Operação de Syslog
Nos dispositivos de rede da Cisco, o protocolo syslog começa com o envio de
mensagens de sistema e a saída do comando debug para um processo de logging local
interno do dispositivo. O modo pelo qual o processo de logging gerencia essas mensagens
e saídas varia de acordo com as configurações do registro. Por exemplo, as mensagens de
syslog podem ser enviadas pela rede a um Servidor syslog externo. Tais mensagens
podem ser recuperadas sem a necessidade de acesso ao dispositivo real. As mensagens
de log e as saídas armazenadas no Servidor externo podem ser inseridas em vários
relatórios para facilitar a leitura.
Por sua vez, as mensagens de syslog podem ser enviadas a um buffer interno. As
mensagens enviadas ao buffer interno só podem ser exibidas por meio do CLI do
dispositivo.
Por fim, o administrador de rede pode especificar que apenas certos tipos de
mensagens de sistema sejam enviados a vários destinos. Por exemplo, o dispositivo pode
ser configurado para encaminhar todas as mensagens de sistema a um Servidor syslog
externo. No entanto, as mensagens no nível de depuração (debug) são encaminhadas ao
buffer interno e somente podem ser acessadas pelo administrador a partir do CLI.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
3
Figura 2 - Opções de Destino de Mensagens de Syslog
Conforme mostrado na figura 2, os destinos mais comuns das mensagens de syslog
incluem:
Buffer de logging (RAM dentro de um roteador ou switch)
Linha de console
Linha do terminal
Servidor syslog
É possível monitorar remotamente as mensagens do sistema por meio da
visualização dos logs em um Servidor syslog ou por meio do acesso ao dispositivo pelo
Telnet, SSH ou através da porta de console.
3. Formato de mensagem do Syslog
Os dispositivos da Cisco geram mensagens de syslog como resultado de eventos de
rede. Todas as mensagens de syslog contêm um nível de gravidade e recurso.
Os níveis numéricos menores correspondem aos alarmes de syslog mais
importantes. O nível de gravidade das mensagens pode ser definido para controlar o local
onde cada tipo de mensagem é exibido (isto é, na console ou em outros destinos). A lista
completa de níveis de syslog é mostrada na figura 3.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
4
Figura 3 - Nível de Gravidade no Syslog
Cada nível de syslog tem seu próprio significado:
Nível de aviso - Nível de emergência - Essas mensagens são mensagens de
erro sobre defeitos de software ou hardware; esses tipos de mensagens
significam que a funcionalidade do dispositivo é afetada. A gravidade do
problema determina o nível real de syslog aplicado.
Nível de depuração - Esse nível indica que as mensagens consistem em saídas
geradas pela emissão de vários comandos debug.
Nível de notificação - O nível de notificações destina-se apenas à informação, a
funcionalidade do dispositivo não é afetada. Mensagens de transições de
ativação e desativação de interface e reinicialização do sistema são exibidas no
nível de notificações.
Além de especificar a gravidade, as mensagens de syslog também contêm
informações sobre o recurso. Os recursos de syslog são identificadores de serviço que
identificam e categorizam dados de estado do sistema para relatórios de mensagens de
erros e eventos. As opções de recurso de registro disponíveis são específicas para o
dispositivo de rede. Por exemplo, os switches Cisco série 2960 com Cisco IOS versão
15.0(2) e os roteadores Cisco 1941 com Cisco IOS versão 15.2(4) oferecem suporte a 24
opções de recursos, categorizadas em 12 tipos.
Alguns recursos de mensagens de syslog comuns relatados nos roteadores Cisco
IOS incluem:
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
5
IP
Protocolo OSPF
Sistema operacional SYS
IP Security (IPsec)
Interface IP (IF)
Por padrão, este é o formato das mensagens de syslog no software Cisco IOS:
seq no: timestamp: %principal-gravidade-MNEMONIC: descrição
Os campos contidos na mensagem de syslog do software Cisco IOS são explicados
na figura 4.
Figura 4 - Formato de Mensagem do Syslog
Por exemplo, em um switch Cisco, a saída que indica a alteração de estado de um
link EtherChannel para ativado é:
00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up
Aqui, o recurso principal é LINK e o nível de gravidade é 3, com um mnemônico de
UPDOWN.
As mensagens mais comuns são mensagens de estado active e inactive de link e as
mensagens produzidas pelo dispositivo quando este sai do modo de configuração. Se o
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
6
registro de ACL estiver configurado, o dispositivo gerará mensagens de syslog quando os
pacotes corresponderem a uma condição do parâmetro.
4. Carimbo de data e hora de serviço
As mensagens de log podem receber carimbos de data e hora, e é possível definir o
endereço origem delas. Isso aprimora o gerenciamento e depuração em tempo real.
Quando o comando de modo de configuração global service timestamps log
uptime é inserido, o tempo transcorrido desde a última inicialização do switch é exibido
nos eventos registrados. Uma versão mais útil desse comando aplica a palavra-
chave datetime no lugar da palavra-chave uptime; isso força cada evento registrado a
exibir a data e a hora associadas a cada evento.
Durante o uso da palavra-chave datetime, é necessário definir o relógio no
dispositivo de rede. Isso pode ser feito de uma destas maneiras:
Definição manual com o comando clock set
Definição automática com o NTP (Network Time Protocol)
Lembre-se de que o NTP é o protocolo usado para permitir que os dispositivos de
rede sincronizem suas configurações de hora com um Servidor NTP.
Para permitir que o relógio de software seja sincronizado por um Servidor de horário
NTP, use o comando ntp server ip-address no modo de configuração global. Um
exemplo de configuração é exibido na figura 5. R1 está configurado como um cliente NTP,
enquanto o roteador R2 funciona como um Servidor NTP autoritativo. Um dispositivo de
rede pode ser configurado como um Servidor NTP para permitir que outros dispositivos
sincronizem sua hora, ou como um cliente NTP.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
7
Figura 5 - Configuração do NTP
No restante deste capítulo, pressupõe-se que o relógio foi definido e que o comando
service timestamps log datetime foi configurado em todos os dispositivos.
5. Servidor Syslog
Para exibir as mensagens de syslog, é necessário instalar um Servidor syslog em
uma estação de trabalho na rede. Há várias versões freeware e shareware de syslog, bem
como versões corporativas para compra. Na figura 6, uma versão de avaliação do Kiwi
Syslog Daemon é exibida em um computador Windows 7.
Figura 6 - Tela Principal de um Servidor Syslog
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
8
O Servidor syslog oferece uma interface relativamente amigável ao usuário para a
visualização da saída do syslog. O Servidor analisa a saída e coloca as mensagens em
colunas predefinidas para facilitar a interpretação. Se os carimbos de data e hora estiverem
configurados no dispositivo de rede que gera as mensagens de syslog, a data e a hora de
cada mensagem será exibida na saída do Servidor syslog, conforme mostrado na figura 7.
Figura 7 - Exibição de Mensagem em um Servidor Syslog
Os administradores de rede podem facilmente navegar pela grande quantidade de
dados compilada em um Servidor syslog. Uma vantagem de visualizar mensagens de
syslog em um Servidor syslog é a capacidade de executar pesquisas detalhadas nos
dados. Além disso, o administrador de rede pode excluir rapidamente do banco de dados
as mensagens sem importância.
6. Registro padrão
Por padrão, os roteadores e switches Cisco enviam mensagens de log para todos os
níveis de gravidade para o console. Em algumas versões do IOS, o dispositivo também
armazena as mensagens de log em buffers por padrão. Para ativar essas duas
configurações, use os comandos de configuração global logging console e logging
buffered, respectivamente.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
9
O comando show logging exibe as configurações de serviço de logging padrão
em um roteador Cisco, conforme mostrado na figura 8. As primeiras linhas da saída listam
informações sobre o processo de logging, enquanto as linhas finais mostram as
mensagens de log.
A primeira linha destacada informa que esse roteador faz registros no console e
inclui mensagens de depuração (debug). Isso na verdade significa que todas as
mensagens de nível de depuração, bem como as mensagens de nível inferior (como
mensagens de nível de notificação), são registradas no console. A saída indica também
que 32 dessas mensagens foram registradas.
Figura 8 - Configurações de Serviços de Logging Padrão
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
10
A segunda linha destacada informa que esse roteador faz registros em um buffer
interno. Como esse roteador ativou o registro em um buffer interno, o comando show
logging lista também as mensagens nesse buffer. Você pode visualizar no fim da saída
algumas das mensagens de sistema que foram registradas.
7. Comandos de roteador e switch para clientes de syslog
São necessárias três etapas para que o roteador envie mensagens do sistema a um
Servidor syslog, onde elas podem ser armazenadas, filtradas e analisadas:
Etapa 1. Configure o nome do host destino ou o endereço IP do Servidor syslog no modo
de configuração global:
R1(config)# logging 192.168.1.3
Etapa 2. Controle as mensagens que serão enviadas ao Servidor syslog com o comando
de modo de configuração global logging trap level. Por exemplo, para limitar as
mensagens aos níveis 4 e inferiores (0 a 4), use um destes dois comandos equivalentes:
R1(config)# logging trap 4
R1(config)# logging trap warning
Etapa 3. Se desejar, configure a interface origem com o comando de modo de
configuração global logging source-interface interface-type interface
number. Ele especifica que os pacotes de syslog contêm o endereço IPv4 ou IPv6 de uma
interface específica, independentemente da interface usada pelo pacote para sair do
roteador. Por exemplo, para definir a interface origem como g0/0, use este comando:
R1(config)# logging source-interface g0/0
Na figura 9, R1 é configurado para enviar mensagens de log de níveis 4 e inferiores
para o Servidor syslog em 192.168.1.3. A interface origem é definida como G0/0. Uma
interface de loopback é criada, desativada, e depois ativada novamente. A saída do
console reflete essas ações.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
11
Mostrado na figura 10, o Servidor syslog Tftpd32 foi configurado em um computador
Windows 7 com o endereço IP 192.168.1.3. Como você pode observar, as únicas
mensagens que aparecem no Servidor syslog são aquelas com nível de gravidade 4 ou
inferior (mais grave). As mensagens com nível de gravidade 5 ou superior (menos grave)
aparecem na saída de console do roteador, mas não aparecem na saída do Servidor
syslog, pois logging trap limita as mensagens de syslog enviadas a esse Servidor de
acordo com a gravidade destas.
Figura 9 - Configuração de Syslog
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
12
Figura 10 - Saída do Servidor Syslog
8 - Verificação de Syslog
Use o comando show logging para exibir as mensagens registradas. Quando o
buffer de registro for grande, será útil usar a opção de pipe (|) com o comando show
logging. A opção de pipe permite que o administrador diga especificamente quais
mensagens devem ser exibidas.
Por exemplo, a emissão do comando show logging | include changed
state to up, conforme mostrado na figura 11, assegura que somente as notificações de
interface que afirmam que a interface teve “seu estado alterado” ("changed to state up")
serão exibidas.
A figura 12 mostra que a emissão do comando show logging | begin June
12 22:35 exibe o conteúdo do buffer de registro que ocorreu em 12 de junho ou depois
dessa data.
Instituto Federal do Sul de Minas - Campus Inconfidentes
Curso Superior de Tecnologia em Redes de Computadores
Gerenciamento de Redes
Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy
13
Figura 11 - Verificação de Syslog - Parte 1
Figura 12 - Verificação de Syslog - Parte 2
top related