1. Introdução ao syslog

Documentos relacionados
Gerenciamento e Interoperabilidade de Redes

Capítulo 2: Configurar um Sistema Operacional de Rede

Capítulo 4: Conceitos de Roteamento

Flexible NetFlow que filtra com monitoramento de desempenho

Configurando e Testando a sua Rede

CCNA Exploration (Protocolos e Conceitos de Roteamento) Roteamento Estático

Packet Tracer - Conectar um roteador a uma LAN

Configurar receptores da notificação de SNMP em um interruptor com o CLI

Configuração do log de sistema no Roteadores RV016, RV042, RV042G e RV082 VPN

A memória entra o Switches controlado 200/300 Series

Configurar a interface de gerenciamento IPv4 em um interruptor SG350XG ou SG550XG com o CLI

Configurar o evento que entra um ponto de acesso Wireless

Entendendo os desvios do Protocolo Simples de Gerenciamento de Rede (SNMP)

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Configurando o interruptor como um cliente SNTP do protocolo de tempo de rede simples do unicast através do CLI

Manual do Usuário Brother Meter Read Tool

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

Este documento não se restringe a versões de software e hardware específicas.

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configuração de exemplo utsando o comando ip nat outside source static

Aplicação do aprimoramento de recursos ASA SNMP

Gerenciamento de Redes: Protocolo SNMP

PIX/ASA: Exemplo de configuração da característica da atualização automática do cliente do IPSec VPN

Configuração de Registro CDR com Servidores Syslog e Gateways Cisco IOS

VISÃO GERAL. Faça a gestão da segurança de rede até 250 postos através de uma consola baseada na cloud.

Configurar capturas de pacote de informação em AireOS WLC

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Problemas comuns com o conjunto transparente do Inter-local ASA

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Índice. Introdução. Pré-requisitos. Requisitos

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

Volt Tecnologia. específicos para fazer reset do contador, uma forma simples é colocar zero no contador. Nestee caso, o Gerente faz o

Configurar ajustes da autenticação de servidor do Shell Seguro (ssh) em um interruptor

Laboratório Usar o CLI para reunir informações do dispositivo de rede

Configuração do log de sistema na série do VPN Router RV320 e RV325

Pesquise defeitos o bit TWAMP S é ajustado incorretamente

What Do EIGRP "Not On Common Subnet" Messages Mean?

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Manual do Aplicativo de Configuração

Vários protocolos roteados em PVCs ATM utilizando encapsulamento LLC

Exemplo da configuração de HSRP do IPv6

Guia Técnico v6.1 SNMP TG Conteúdo

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Gerência de Redes Turma : V

Multicast UCS L2 com exemplo de configuração dos 5000 e 1000V Series Switch do nexo

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Gerenciamento e interoperabilidade de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: Firewall, ACLS e VPN

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

Aula 13 Roteamento Dinâmico com Protocolos Link-State (Protocolo OSPF)

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

Gerencie sua segurança de rede para até 250 estações a partir de um único painel

Critérios para a nomeação de conjuntos de PPP multilink

Exemplo de Configuração de Ponto de Acesso como Ponte de Grupo de Trabalho

Configurar um server público com Cisco ASDM

Compreendendo o endereço local de link do IPv6

Configuração alerta do no Access point WAP121 e WAP321 de Cisco

Laboratório Configuração do Backup e da Restauração de Dados no Windows 8

Gerenciamento de Redes. Alan Santos

Servidor DHCP Dynamic Host Configuration Protocol

Client e configuração Nenhum-MODE

Leia-me do monitor do Veritas System Recovery 16

Laboratório - Projeto e implantação de um esquema de endereçamento de sub-rede IPv4

O módulo ASA FirePOWER (SFR) pesquisa defeitos procedimentos de geração do arquivo usando ASDM (o Gerenciamento da Em-caixa)

CCNA Exploration (Protocolos e Conceitos de Roteamento) Protocolo RIP

Configuração da recusa de técnicas de prevenção do serviço (série da Segurança) em switch empilhável do Sx500 Series

TeamViewer Manual Wake-on-LAN

Forneça dados ao Smart Net Total Care por meio do coletor Netformx

Configurar o RAIO para o server de Windows 2008 NP - WAAS AAA

Criação de túnel redundante entre Firewall usando o PDM

Laboratório - Uso do CLI IOS com tabelas de endereços MAC do switch

Capítulo 9: Listas de Controle de Acesso

Change Auditor. Visão geral do Change Auditor. ESM Engineering July 2016

Configurando uma VPN MPLS Básica

Mobilidade DHCP interno expresso

X.25 para conversão de TCP

Este é o segundo modulo, nele abordaremos os métodos de gerenciamento do Windows Server 2008.

Laboratório - Uso do Wireshark para examinar uma captura UDP DNS

Copyright Smar

Exemplo de configuração do ISDN - IP

Exemplo de configuração do enlace virtual OSPFv3

Table of Contents. I Introdução. II Configurando o servidor D-Guard Center. III Configuração de D-Guard Center - Operador. IV Configurando o Sigma

Este documento requer uma compreensão do ARP e de ambientes Ethernet.

Configurar ajustes do e personalize notificações de no WAP125 e no WAP581

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Configurar configurações de tempo no RV130 e no roteador RV130W

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Policy Routing with Catalyst 3550 Series Switch Configuration Example

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

Aula Prática de Redes Industriais Wireshark

Uso de scripts EEM monitorar a utilização elevada da CPU em Series Switch do Cisco catalyst

Configurações iniciais para o OSPF em um enlace ponto a ponto

Backup da fineza e configuração da elevação com SFTP

Configurando IPSec entre três roteadores usando endereços privados

Configurando o TACACS+, o RAIO, e o Kerberos no Switches do Cisco catalyst

Configurar ajustes do relé do protocolo de configuração dinâmica host (DHCP) em um interruptor através do comando line interface(cli)

Transcrição:

1. Introdução ao syslog Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm mecanismos confiáveis para notificar o administrador com mensagens de sistema detalhadas. Essas mensagens podem ser não críticas ou significativas. Os administradores de rede dispõem de várias opções de armazenamento, interpretação e exibição dessas mensagens, bem como para o recebimento de alertas referentes às mensagens que provocam maior impacto na infraestrutura de rede. O método mais comum de acesso às mensagens de sistema enviadas pelos dispositivos de rede consiste em usar um protocolo denominado syslog. Syslog é o termo usado para descrever um padrão. Também é usado para descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido para sistemas UNIX na década de 1980, mas foi documentado primeiro como RFC 3164 pelo IETF em 2001. O syslog usa a porta UDP 514 para enviar mensagens de notificações de eventos em redes IP a coletores de mensagens de eventos, conforme demonstrado na figura 1. Figura 1 - Syslog Muitos dispositivos de rede oferecem suporte ao syslog, inclusive roteadores, switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo syslog permite que os dispositivos de rede enviem mensagens de sistema pela rede aos 1

servidores syslog. É possível criar uma rede fora da banda (OOB, out-of-band) especial para essa finalidade. Há vários pacotes diferentes de software de Servidor syslog para Windows e UNIX. Muitos deles são freeware. O serviço de logging de syslog oferece três funções principais: Capacidade de coletar informações de registro para o monitoramento e a identificação e solução de problemas Capacidade de selecionar os tipos de informação de registro capturados Capacidade de especificar os destinos das mensagens capturadas de syslog 2. Operação de Syslog Nos dispositivos de rede da Cisco, o protocolo syslog começa com o envio de mensagens de sistema e a saída do comando debug para um processo de logging local interno do dispositivo. O modo pelo qual o processo de logging gerencia essas mensagens e saídas varia de acordo com as configurações do registro. Por exemplo, as mensagens de syslog podem ser enviadas pela rede a um Servidor syslog externo. Tais mensagens podem ser recuperadas sem a necessidade de acesso ao dispositivo real. As mensagens de log e as saídas armazenadas no Servidor externo podem ser inseridas em vários relatórios para facilitar a leitura. Por sua vez, as mensagens de syslog podem ser enviadas a um buffer interno. As mensagens enviadas ao buffer interno só podem ser exibidas por meio do CLI do dispositivo. Por fim, o administrador de rede pode especificar que apenas certos tipos de mensagens de sistema sejam enviados a vários destinos. Por exemplo, o dispositivo pode ser configurado para encaminhar todas as mensagens de sistema a um Servidor syslog externo. No entanto, as mensagens no nível de depuração (debug) são encaminhadas ao buffer interno e somente podem ser acessadas pelo administrador a partir do CLI. 2

incluem: Figura 2 - Opções de Destino de Mensagens de Syslog Conforme mostrado na figura 2, os destinos mais comuns das mensagens de syslog Buffer de logging (RAM dentro de um roteador ou switch) Linha de console Linha do terminal Servidor syslog É possível monitorar remotamente as mensagens do sistema por meio da visualização dos logs em um Servidor syslog ou por meio do acesso ao dispositivo pelo Telnet, SSH ou através da porta de console. 3. Formato de mensagem do Syslog Os dispositivos da Cisco geram mensagens de syslog como resultado de eventos de rede. Todas as mensagens de syslog contêm um nível de gravidade e recurso. Os níveis numéricos menores correspondem aos alarmes de syslog mais importantes. O nível de gravidade das mensagens pode ser definido para controlar o local onde cada tipo de mensagem é exibido (isto é, na console ou em outros destinos). A lista completa de níveis de syslog é mostrada na figura 3. 3

Figura 3 - Nível de Gravidade no Syslog Cada nível de syslog tem seu próprio significado: Nível de aviso - Nível de emergência - Essas mensagens são mensagens de erro sobre defeitos de software ou hardware; esses tipos de mensagens significam que a funcionalidade do dispositivo é afetada. A gravidade do problema determina o nível real de syslog aplicado. Nível de depuração - Esse nível indica que as mensagens consistem em saídas geradas pela emissão de vários comandos debug. Nível de notificação - O nível de notificações destina-se apenas à informação, a funcionalidade do dispositivo não é afetada. Mensagens de transições de ativação e desativação de interface e reinicialização do sistema são exibidas no nível de notificações. Além de especificar a gravidade, as mensagens de syslog também contêm informações sobre o recurso. Os recursos de syslog são identificadores de serviço que identificam e categorizam dados de estado do sistema para relatórios de mensagens de erros e eventos. As opções de recurso de registro disponíveis são específicas para o dispositivo de rede. Por exemplo, os switches Cisco série 2960 com Cisco IOS versão 15.0(2) e os roteadores Cisco 1941 com Cisco IOS versão 15.2(4) oferecem suporte a 24 opções de recursos, categorizadas em 12 tipos. IOS incluem: Alguns recursos de mensagens de syslog comuns relatados nos roteadores Cisco 4

IP Protocolo OSPF Sistema operacional SYS IP Security (IPsec) Interface IP (IF) Por padrão, este é o formato das mensagens de syslog no software Cisco IOS: seq no: timestamp: %principal-gravidade-mnemonic: descrição Os campos contidos na mensagem de syslog do software Cisco IOS são explicados na figura 4. Figura 4 - Formato de Mensagem do Syslog Por exemplo, em um switch Cisco, a saída que indica a alteração de estado de um link EtherChannel para ativado é: 00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up UPDOWN. Aqui, o recurso principal é LINK e o nível de gravidade é 3, com um mnemônico de As mensagens mais comuns são mensagens de estado active e inactive de link e as mensagens produzidas pelo dispositivo quando este sai do modo de configuração. Se o 5

registro de ACL estiver configurado, o dispositivo gerará mensagens de syslog quando os pacotes corresponderem a uma condição do parâmetro. 4. Carimbo de data e hora de serviço As mensagens de log podem receber carimbos de data e hora, e é possível definir o endereço origem delas. Isso aprimora o gerenciamento e depuração em tempo real. Quando o comando de modo de configuração global service timestamps log uptime é inserido, o tempo transcorrido desde a última inicialização do switch é exibido nos eventos registrados. Uma versão mais útil desse comando aplica a palavrachave datetime no lugar da palavra-chave uptime; isso força cada evento registrado a exibir a data e a hora associadas a cada evento. Durante o uso da palavra-chave datetime, é necessário definir o relógio no dispositivo de rede. Isso pode ser feito de uma destas maneiras: Definição manual com o comando clock set Definição automática com o NTP (Network Time Protocol) Lembre-se de que o NTP é o protocolo usado para permitir que os dispositivos de rede sincronizem suas configurações de hora com um Servidor NTP. Para permitir que o relógio de software seja sincronizado por um Servidor de horário NTP, use o comando ntp server ip-address no modo de configuração global. Um exemplo de configuração é exibido na figura 5. R1 está configurado como um cliente NTP, enquanto o roteador R2 funciona como um Servidor NTP autoritativo. Um dispositivo de rede pode ser configurado como um Servidor NTP para permitir que outros dispositivos sincronizem sua hora, ou como um cliente NTP. 6

Figura 5 - Configuração do NTP No restante deste capítulo, pressupõe-se que o relógio foi definido e que o comando service timestamps log datetime foi configurado em todos os dispositivos. 5. Servidor Syslog Para exibir as mensagens de syslog, é necessário instalar um Servidor syslog em uma estação de trabalho na rede. Há várias versões freeware e shareware de syslog, bem como versões corporativas para compra. Na figura 6, uma versão de avaliação do Kiwi Syslog Daemon é exibida em um computador Windows 7. Figura 6 - Tela Principal de um Servidor Syslog 7

O Servidor syslog oferece uma interface relativamente amigável ao usuário para a visualização da saída do syslog. O Servidor analisa a saída e coloca as mensagens em colunas predefinidas para facilitar a interpretação. Se os carimbos de data e hora estiverem configurados no dispositivo de rede que gera as mensagens de syslog, a data e a hora de cada mensagem será exibida na saída do Servidor syslog, conforme mostrado na figura 7. Figura 7 - Exibição de Mensagem em um Servidor Syslog Os administradores de rede podem facilmente navegar pela grande quantidade de dados compilada em um Servidor syslog. Uma vantagem de visualizar mensagens de syslog em um Servidor syslog é a capacidade de executar pesquisas detalhadas nos dados. Além disso, o administrador de rede pode excluir rapidamente do banco de dados as mensagens sem importância. 6. Registro padrão Por padrão, os roteadores e switches Cisco enviam mensagens de log para todos os níveis de gravidade para o console. Em algumas versões do IOS, o dispositivo também armazena as mensagens de log em buffers por padrão. Para ativar essas duas configurações, use os comandos de configuração global logging console e logging buffered, respectivamente. 8

O comando show logging exibe as configurações de serviço de logging padrão em um roteador Cisco, conforme mostrado na figura 8. As primeiras linhas da saída listam informações sobre o processo de logging, enquanto as linhas finais mostram as mensagens de log. A primeira linha destacada informa que esse roteador faz registros no console e inclui mensagens de depuração (debug). Isso na verdade significa que todas as mensagens de nível de depuração, bem como as mensagens de nível inferior (como mensagens de nível de notificação), são registradas no console. A saída indica também que 32 dessas mensagens foram registradas. Figura 8 - Configurações de Serviços de Logging Padrão 9

A segunda linha destacada informa que esse roteador faz registros em um buffer interno. Como esse roteador ativou o registro em um buffer interno, o comando show logging lista também as mensagens nesse buffer. Você pode visualizar no fim da saída algumas das mensagens de sistema que foram registradas. 7. Comandos de roteador e switch para clientes de syslog São necessárias três etapas para que o roteador envie mensagens do sistema a um Servidor syslog, onde elas podem ser armazenadas, filtradas e analisadas: Etapa 1. Configure o nome do host destino ou o endereço IP do Servidor syslog no modo de configuração global: R1(config)# logging 192.168.1.3 Etapa 2. Controle as mensagens que serão enviadas ao Servidor syslog com o comando de modo de configuração global logging trap level. Por exemplo, para limitar as mensagens aos níveis 4 e inferiores (0 a 4), use um destes dois comandos equivalentes: R1(config)# logging trap 4 R1(config)# logging trap warning Etapa 3. Se desejar, configure a interface origem com o comando de modo de configuração global logging source-interface interface-type interface number. Ele especifica que os pacotes de syslog contêm o endereço IPv4 ou IPv6 de uma interface específica, independentemente da interface usada pelo pacote para sair do roteador. Por exemplo, para definir a interface origem como g0/0, use este comando: R1(config)# logging source-interface g0/0 Na figura 9, R1 é configurado para enviar mensagens de log de níveis 4 e inferiores para o Servidor syslog em 192.168.1.3. A interface origem é definida como G0/0. Uma interface de loopback é criada, desativada, e depois ativada novamente. A saída do console reflete essas ações. 10

Mostrado na figura 10, o Servidor syslog Tftpd32 foi configurado em um computador Windows 7 com o endereço IP 192.168.1.3. Como você pode observar, as únicas mensagens que aparecem no Servidor syslog são aquelas com nível de gravidade 4 ou inferior (mais grave). As mensagens com nível de gravidade 5 ou superior (menos grave) aparecem na saída de console do roteador, mas não aparecem na saída do Servidor syslog, pois logging trap limita as mensagens de syslog enviadas a esse Servidor de acordo com a gravidade destas. Figura 9 - Configuração de Syslog 11

8 - Verificação de Syslog Figura 10 - Saída do Servidor Syslog Use o comando show logging para exibir as mensagens registradas. Quando o buffer de registro for grande, será útil usar a opção de pipe ( ) com o comando show logging. A opção de pipe permite que o administrador diga especificamente quais mensagens devem ser exibidas. Por exemplo, a emissão do comando show logging include changed state to up, conforme mostrado na figura 11, assegura que somente as notificações de interface que afirmam que a interface teve seu estado alterado ("changed to state up") serão exibidas. A figura 12 mostra que a emissão do comando show logging begin June 12 22:35 exibe o conteúdo do buffer de registro que ocorreu em 12 de junho ou depois dessa data. 12

Figura 11 - Verificação de Syslog - Parte 1 Figura 12 - Verificação de Syslog - Parte 2 13

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback