O documento descreve o protocolo syslog, que permite o compartilhamento de logs entre dispositivos de rede. Ele explica como o syslog funciona, sua arquitetura, implementações, prioridades, recursos e ferramentas de coleta como HP Openview e Zabbix. O documento ressalta a importância dos logs para a administração de sistemas.
1. CST – REDES DE COMPUTADORES
Syslog
ISAQUE PROFETA DOS REIS
ARTHUR GEORGE CARVALHO
ELIEL MOURA COUTO
ROBERTO CÉSAR CORRÊA
JOSÉ GUSTAVO
2. CST – REDES DE COMPUTADORES
Histórico
Desenvolvido por Eric Allman por volta de 1980
como módulo de controle para o servidor de e-
mail Sendmail;
Passou a ser adotado por várias outras
aplicações, vindo a se tornar solução padrão em
matéria de logs em sistemas baseados em
UNIX/LINUX;
Padronizado por meio da RFC 3164 que entrou em
vigor por volta de 2001.
3. CST – REDES DE COMPUTADORES
Syslog
É um protocolo (ou serviço) que permite que
dispositivos de diferentes conexões troquem
mensagens de logs;
Logs: “Registro de atividades gerado por
programas de computador.” – Cert Br
Administração e gerência de ambientes de rede,
permite a centralização dos eventos desse
ambiente em um único nó de recebimento de
informações.
4. CST – REDES DE COMPUTADORES
Implementações
Syslogd - Padrão de vários ambientes e soluções
Syslog-ng - nova geração do syslog com novos
recursos
Windows Event-viewer - não é padrão syslog
5. CST – REDES DE COMPUTADORES
Logs
Registram todos os eventos de um sistema, desde os
mais simples aos mais críticos
São gerados não apenas pelo sistema, mas por
qualquer aplicação que tenha suporte a essa
solução.
“Logs são muito importantes para a administração
segura de sistemas, pois registram informações sobre
o seu funcionamento e sobre eventos por eles
detectados. Muitas vezes, os logs são o único recurso
que um administrador possui para descobrir as
causas de um problema ou comportamento anômalo.”
(NIC BR, 2003).
6. CST – REDES DE COMPUTADORES
Arquitetura
Mensagem – Informação da aplicação ou sistema
Dispositivo – Host de rede que gera mensagem
Coletor – Recebe e trata mensagens (Conhecido
comServidor Syslog)
Relay – Intermediário no encaminhamento de
mensagens entre Dispositivo e Coletor
Porta de comunicação UDP 514
8. CST – REDES DE COMPUTADORES
Syslog - Recursos
Recursos especificam a procedência dos logs, ou
seja, que tipo de mensagens de log se quer gravar.
9. CST – REDES DE COMPUTADORES
Syslog - Prioridades
Prioridades definem qual o nível de importância das
mensagens a serem registradas e coloca etiquetas
em cada uma delas com várias “prioridades”.
10. CST – REDES DE COMPUTADORES
Importância e Recomendações
Logs de eventos são a forma mais simples de obter
informações a respeito do seu sistema.
11. CST – REDES DE COMPUTADORES
Exemplo Linux: /var/log/messages
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Setting up rules from
/etc/sysconfig/SuSEfirewall2 ...
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Warning: no default
firewall zone defined, assuming 'ext'
Oct 18 14:39:10 Estacao-teste Oct 18
14:39:10 Estacao-teste SuSEfirewall2:
batch committing...
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Firewall rules successfully
set
Oct 18 16:13:29 Estacao-teste
smartd[2068]: Device: /dev/sda [SAT],
SMART Usage Attribute: 195
Hardware_ECC_Recovered changed from 67 to
66
Oct 18 16:13:31 Estacao-teste sudo:
isaque : TTY=pts/4 ; PWD=/home/isaque ;
USER=root ; COMMAND=/bin/cat
/var/log/messages
Vermelho: inicialização
do serviço de Firewall
do host
Azul: Comando de
sudo executado
Preto: Mensagens de
hardware do sistema
12. CST – REDES DE COMPUTADORES
Exemplo Cisco: show logging
Syslog logging: enabled (47 messages dropped, 0
messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 121635 messages
logged
Monitor logging: level debugging, 5 messages
logged
Buffer logging: level debugging, 121635 messages
logged
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
Trap logging: level informational, 122020 message
lines logged
Sep 28 23:56:38: %LINK-3-UPDOWN: Interface
GigabitEthernet9/9/9, changed state to up
Sep 28 23:57:23: %OSPF-5-ADJCHG: Process 1, Nbr
127.0.0.1 on GigabitEthernet9/9/9 from LOADING to
FULL, Loading Done
Oct 1 14:55:15: SSH0: password authentication failed
for Joao
Oct 1 14:55:16: SSH0: password authentication failed
for Joao
Oct 15 15:46:00: %SYS-5-CONFIG_I: Configured from
console by Jose on vty0 (127.0.0.2)
Oct 15 15:48:41: %SYS-5-CONFIG_I: Configured from
console by Jose on vty0 (127.0.0.2)
Azul: Informações do
sistema syslog do
roteador;
Vermelho: queda de link
em interface de rede;
Verde: mensagem do
processo OSPF;
Laranja: Falha de login;
Preto: mensagem de
alteração da
configuração;
13. CST – REDES DE COMPUTADORES
Exemplo Windows Event Viewer
14. CST – REDES DE COMPUTADORES
Syslog no Windows - NTSyslog
15. CST – REDES DE COMPUTADORES
Ferramentas de coletor
HP Openview:
16. CST – REDES DE COMPUTADORES
Ferramentas de coletor
ZABBIX:
17. CST – REDES DE COMPUTADORES
Syslog - Conclusão
Ferramenta extremamente útil e simples de ser
configurada ;
Exige ferramentas que façam um tratamento
efetivo das mensagens geradas;
Syslog + Processos de Gestão (FCAPS, ITIL) =
Pró-atividade e onisciência.
Importância de garantir integridade das
informações geradas com uso de ferramentas de:
– NTP: garantia de horário e
– Backup: garantia de disponibilidade.