1. CE ESTE SYSLOG?

Syslog reprezintă System Logging Protocol și este un protocol standard utilizat pentru a trimite mesaje de jurnal sau de eveniment pe un anumit server, numit server syslog. Este utilizat în principal pentru colectarea diferitelor jurnale de dispozitiv de la mai multe mașini diferite într-o locație centrală pentru monitorizare și revizuire.

Protocolul este activat pe majoritatea echipamentelor de rețea, cum ar fi routere, comutatoare, firewall-uri și chiar unele imprimante și scanere. În plus, syslog este disponibil pe sistemele bazate pe Unix și Linux și pe multe servere web, inclusiv Apache. Syslog nu este instalat în mod implicit pe sistemele Windows, care utilizează propriul jurnal de evenimente Windows. Aceste evenimente pot fi redirecționate prin utilități terțe sau alte configurații folosind protocolul syslog.
Syslog este definit în RFC 5424, Protocolul Syslog, care a fost scos din uz anteriorul RFC 3164.

Componente Syslog
Pe orice dispozitiv dat, diverse evenimente sunt generate de sistem ca răspuns la schimbarea condițiilor. Aceste evenimente sunt de obicei înregistrate local unde pot fi revizuite și analizate de către un administrator. Cu toate acestea, monitorizarea numeroaselor jurnale printr-un număr la fel de numeros de routere, comutatoare și sisteme ar necesita mult timp și ar fi nepractic. Syslog ajută la rezolvarea acestei probleme trimitând acele evenimente către un server centralizat.

Transmisia Syslog
În mod tradițional, Syslog folosește protocolul UDP pe portul 514, dar poate fi configurat pentru a folosi orice port. În plus, unele dispozitive vor utiliza TCP 1468 pentru a trimite date syslog pentru a primi transmiterea mesajelor confirmate.
Transmiterea pachetelor Syslog este asincronă. Ceea ce determină generarea unui mesaj syslog ce este configurat în routerul, comutatorul sau serverul în sine. Spre deosebire de alte protocoale de monitorizare, cum ar fi SNMP, nu există niciun mecanism de sondare a datelor syslog. În unele implementări, SNMP poate fi utilizat pentru a seta sau modifica parametrii syslog de la distanță.

2. FORMATUL MESAJULUI SYSLOG

Mesajul syslog este format din trei părți: PRI (o valoare prioritară calculată), HEADER (cu informații de identificare) și MSG (mesajul în sine).
Datele PRI trimise prin protocolul syslog provin din două valori numerice care ajută la clasificarea mesajului. Primul este valoarea Facilității. Această valoare este una dintre cele 15 valori predefinite sau diferite valori definite local în cazul de la 16 la 23. Aceste valori clasifică tipul de mesaj sau ce sistem a generat evenimentul.

A doua etichetă a unui mesaj syslog clasifică importanța sau severitatea mesajului într-un cod numeric de la 0 la 7.

Valorile ambelor etichete nu au definiții grele. Astfel, revine sistemului sau aplicației să stabilească modul de înregistrare a unui eveniment (de exemplu, ca avertizare, notificare sau altceva) și pe ce facilitate. În cadrul aceleiași aplicații sau servicii, numerele mai mici ar trebui să corespundă problemelor mai severe în raport cu procesul specific.

Cele două valori sunt combinate pentru a produce o valoare prioritară trimisă cu mesajul. Valoarea prioritară se calculează prin înmulțirea valorii Facilității cu opt și apoi se adaugă Valoarea de severitate la rezultat. Cu cât PRI este mai mic, cu atât prioritatea este mai mare.

(Facility Value * 8) + Severity Value = PRI

În acest fel, un mesaj de kernel primește o valoare mai mică (prioritate mai mare) decât o alertă de jurnal, indiferent de gravitatea alertei de jurnal. Identificatorii adiționali din pachet includ numele de gazdă, adresa IP, ID-ul procesului, numele aplicației și marca de timp a mesajului.
Verbiage sau conținutul mesajului syslog nu sunt definite prin protocol. Unele mesaje sunt simple, citite text, altele pot fi citite doar de mașini.
Mesajele Syslog nu sunt de obicei mai mari de 1024 octeți.

3. EXEMPLU DE MESAJ SYSLOG

Părți ale mesajului syslog:

4. SERVERUL SYSLOG

Serverul Syslog este cunoscut și sub denumirea de colector sau receptor syslog.
Mesajele Syslog sunt trimise de la dispozitivul generator către colector. Adresa IP a serverului syslog de destinație trebuie configurată pe dispozitivul propriu, fie prin linie de comandă, fie printr-un fișier conf. Odată configurate, toate datele syslog vor fi trimise serverului respectiv. Nu există niciun mecanism în cadrul protocolului syslog pentru ca un server diferit să solicite date syslog.
În timp ce majoritatea implementărilor Unix și a furnizorilor de rețea, precum Cisco, au propriile barebones syslog, existand și alte câteva disponibile.
Programul de monitorizare PRTG oferă un senzor Syslog Receiver încorporat. Receptorul colectează toate mesajele Syslog livrate. Pentru a utiliza funcția, administratorul trebuie să adauge Syslog Receiver și apoi să configureze adresa IP a serverului respectiv ca server de destinație pentru datele syslog de pe toate dispozitivele care trebuie monitorizate.

Odată adunat, tabloul de bord arată:

• Numărul de mesaje syslog primite pe secundă.
• Numărul de mesaje clasificate drept „avertisment” pe secundă.
• Numărul de mesaje clasificate drept „eroare” pe secundă.
• Numărul de pachete scăzute pe secundă.

Protocolul syslog poate genera o mulțime de mesaje. Syslog transmite pur și simplu mesajele cât de repede le generează. Drept urmare, cea mai importantă abilitate pentru un server syslog este capacitatea de a filtra și reacționa corect la datele de syslog primite.
Senzorul receptor PRTG Syslog oferă posibilitatea de a seta reguli de filtrare. Aceste reguli permit includerea sau excluderea mesajelor syslog ca avertizări sau erori, indiferent de modul în care au fost generate inițial pe dispozitiv. Această filtrare asigură ca administratorii să fie notificați despre toate erorile despre care doresc să știe fără să fie copleșiți de erori mai puțin importante.

5. SECURITATE

Protocolul syslog nu oferă niciun mecanism de securitate. Nu există nicio autentificare încorporată pentru a vă asigura că mesajele provin de la dispozitivul care pretinde că le trimite. Nu există o criptare care să ascundă ce informații sunt trimise serverului. Este deosebit de susceptibilă la așa-numitele „atacuri de redare” în care un atacator generează un flux anterior de avertismente pentru a răspunde ilicit.

6. SYSLOG DESIGN

Configurația dispozitivului
Majoritatea implementărilor syslog sunt configurabile cu privire la ce facilități și la ce numere de severitate vor genera evenimente syslog care sunt transmise serverului syslog. Este important să configurați acest lucru în mod corespunzător pentru a evita inundarea serverului (și a rețelei) cu trafic inutil. De exemplu, Debug nu trebuie setat să trimită mesaje decât în timpul testării.
Este recomandabil să setați parametrii syslog pentru a necesita cea mai mare posibilitate (cel mai mic număr) și severitatea pentru a minimiza traficul. În timp ce o eroare a routerului ar putea indica faptul că o interfață este scăzută și, astfel, trebuie raportată definitiv, o imprimantă de rețea mai puțin importantă poate fi configurată pentru a genera doar trafic syslog pentru evenimente critice.

Windows
Sistemele Windows nu implementează syslog în cadrul sistemului de jurnal de evenimente standard. Evenimentele generate în cadrul sistemului de logare Windows pot fi adunate și redirecționate către un server syslog folosind utilități terțe. Aceste utilități monitorizează jurnalul de evenimente, utilizează informațiile pentru a crea un eveniment formatat syslog și transmiteți evenimentele folosind protocolul syslog standard.

Limitări
O limitare majoră a protocolului syslog este că dispozitivul monitorizat trebuie să fie în funcțiune și să fie conectat la rețea pentru a genera și trimite un eveniment syslog. O eroare critică din instalația kernel nu poate trimite niciodată o eroare, deoarece sistemul este deconectat. Cu alte cuvinte, syslog nu este o modalitate bună de a monitoriza starea sus și jos a dispozitivelor.

7. UTILIZAREA SYSLOG

Deși syslog nu este o modalitate bună de a monitoriza starea dispozitivelor în rețea, poate fi o modalitate bună de a monitoriza starea generală a echipamentelor de rețea. În timp ce software-ul de monitorizare a rețelei precum PRTG oferă o serie de utilități pentru a urmări o rețea, nimic nu spune administratorului că există o problemă mai rapidă decât un jurnal de evenimente completat cu avertismente. Monitorizarea syslog configurată în mod corespunzător va detecta creșterea bruscă a volumului și gravității evenimentului, posibil să furnizeze o notificare înainte de apariția unei probleme detectabile de utilizator.

Securitate / autorizare / audit
Rețeaua corporativă medie conține numeroase dispozitive la care nimeni nu ar trebui să încerce să obțină acces într-o zi medie. Dacă un comutator la distanță care se conectează o singură dată pe ciclu de audit are brusc încercări de autentificare zilnică (cu succes sau altfel), se verifică. Pe aceste tipuri de dispozitive, syslog poate fi setat să redirecționeze evenimentele de autentificare către un server syslog, fără ca acesta să fie nevoit să instaleze și să configureze un agent de monitorizare complet.
Syslog oferă, de asemenea, o modalitate de a vă asigura că evenimentele critice sunt înregistrate și stocate pe serverul original. Primul efort al unui atacator după compromisul unui sistem este de a acoperi piesele rămase în jurnal. Evenimentele transmise prin syslog vor fi la îndemână.

Monitorizarea aplicațiilor
Există o mulțime de moduri de a monitoriza modul în care o aplicație rulează pe un server. Cu toate acestea, aceste monitoare pot trece cu vederea modul în care aplicația afectează alte procese pe server. În timp ce utilizarea procesorului ridicat sau a memoriei este suficient de ușor de detectat cu alte monitoare, evenimentele înregistrate pot ajuta la afișarea mai multor probleme posibile. O aplicație încearcă continuu să acceseze un fișier blocat? Există o încercare de scriere a bazei de date care generează o eroare? Evenimente ca acestea pot fi nedetectate atunci când sunt cauzate de aplicații care fac o treabă bună de a rezolva erorile, dar nu ar trebui ignorate. Syslog se va asigura că acele evenimente înregistrate vor primi atenția pe care o merită.

Syslog ca parte a monitorizării generale a rețelei
Monitorizarea completă a rețelei necesită utilizarea mai multor instrumente. Syslog este un pilon important în monitorizarea rețelei, deoarece asigură că evenimentele care nu au un efect dramatic nu cad prin fisuri. Cele mai bune practici sunt utilizarea unui software care combină toate instrumentele pentru a avea întotdeauna o imagine de ansamblu a ceea ce se întâmplă în rețea.

Sursa: https://www.paessler.com/it-explained/syslog