Ugrás a tartalomhoz

syslog

A Wikiszótárból, a nyitott szótárból
(Syslog szócikkből átirányítva)

Angol


Főnév

syslog (tsz. syslogs)

  1. (informatika) A Syslog (System Logging Protocol) egy szabványosított naplózási protokoll, amelyet különféle eszközök – például Cisco hálózati eszközök (routerek, switchek, tűzfalak) – használnak a rendszerüzenetek és események továbbítására egy központi naplózási szerverre. A Syslog lehetővé teszi a rendszergazdák számára, hogy valós időben figyelemmel kísérjék, archiválják és elemezzék a hálózati eseményeket, hibákat és konfigurációs változásokat. A Cisco környezetben különösen fontos szerepet tölt be a hibaelhárításban, biztonsági elemzésekben és naplózási megfelelőségekben.


Alapfogalmak

A Syslog üzenetek három fő elemből állnak:

  1. Facility – Meghatározza, hogy az üzenet melyik rendszerkomponensből származik (pl. kernel, hálózat, daemonok).
  2. Severity (súlyosság) – Az esemény fontossági szintje (0-tól 7-ig, ahol 0 a legsúlyosabb).
  3. Üzenettartalom – Az esemény leírása, amely tartalmazhat dátumot, időpontot, eszköz nevét, alrendszert és részletes üzenetet.


Súlyossági szintek (Severity levels)

A Cisco eszközök a Syslog üzenetekhez 8 prioritási szintet rendelnek:

Szint Név Leírás
0 Emergency Rendszer összeomlott, használhatatlan.
1 Alert Azonnali beavatkozás szükséges.
2 Critical Kritikus rendszerhiba.
3 Error Hiba történt, de a rendszer működik.
4 Warning Figyelmeztetés, potenciális probléma.
5 Notice Normál, de jelentős esemény.
6 Informational Általános információk.
7 Debug Hibakeresési adatok.


Cisco eszközök és Syslog

A Cisco eszközök a Syslog protokollt használják a különböző események továbbítására, például:

  • Hálózati interfészek állapotváltozása (pl. interface down/up)
  • Routing események (pl. OSPF szomszédság megszűnése)
  • Hozzáférési lista (ACL) szabályok által blokkolt csomagok
  • Felhasználói bejelentkezések, jogosultságmódosítások
  • Konfigurációs változások (%SYS-5-CONFIG_I)
  • NAT események
  • Hardverhibák


Syslog konfigurálása Cisco eszközökön

1. Syslog szerver IP címének megadása:

Router(config)# logging 192.168.1.100

Ez a parancs beállítja a Syslog szerver IP címét, ahová az eszköz az üzeneteket küldi.

2. Naplózási szint beállítása:

Router(config)# logging trap warnings

Ez a beállítás azt mondja meg, hogy csak a warning (4) vagy annál súlyosabb üzeneteket küldje el a szerverre.

3. Eszköznév és időbélyeg hozzáadása:

Router(config)# service timestamps log datetime msec
Router(config)# logging facility local7

Ezek a parancsok biztosítják, hogy az üzenetek pontos időbélyeggel és az eszköz azonosítójával legyenek ellátva.

4. Konzol és terminál kimenet szűrése:

Router(config)# logging console notifications
Router(config)# logging monitor informational

Syslog típusok Cisco eszközökön

  • Console logging: A konzolhoz csatlakoztatott felhasználó látja az üzeneteket.
  • Monitor logging: Távoli terminál (pl. Telnet/SSH) felhasználók láthatják az üzeneteket.
  • Buffered logging: A RAM-ba történő naplózás, amit később show logging paranccsal lehet lekérdezni.
  • Syslog server logging: Az üzenetek elküldése egy központi szerverre (pl. kiértékelés, archiválás céljából).


Központi Syslog szerverek

A Cisco Syslog üzeneteket célszerű egy dedikált szerverre gyűjteni. Erre a célra több ismert szoftver áll rendelkezésre:

  • Linux rendszereken: rsyslog, syslog-ng, Graylog, Logstash (ELK stack)
  • Windows: Kiwi Syslog Server, SolarWinds, EventTracker
  • Felhőalapú megoldások: Splunk, Datadog, Loggly

A központosított naplózás segít: - Történeti elemzésben - Biztonsági események rekonstruálásában - Incidens utáni vizsgálatban - Megfelelőségi követelmények teljesítésében (pl. ISO, PCI-DSS)


Gyakorlati példák Cisco Syslog üzenetekre

%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
%SYS-5-CONFIG_I: Configured from console by vty0 (192.168.1.50)
%SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: admin] [Source: 192.168.1.10] [localport: 22]

Ezekből: - %LINK-3-UPDOWN: Egy interfész állapota változott. - %SYS-5-CONFIG_I: Valaki konfigurációt végzett. - %SEC_LOGIN-5-LOGIN_SUCCESS: Sikeres bejelentkezés történt.


Tipikus hibák és elhárítás

  1. Nincs naplózás a Syslog szerveren: Ellenőrizzük az IP-címet, a tűzfal beállításokat, és hogy engedélyezve van-e a naplózás.
  2. Túl sok üzenet (pl. debug): Állítsuk be megfelelően a naplózási szintet (logging trap informational helyett pl. warning).
  3. Időbélyegek hiánya: Engedélyezzük a service timestamps parancsot.
  4. RAM napló telítődése: Növelhetjük a logging buffered méretét.


Összegzés

A Syslog egy alapvető fontosságú protokoll a Cisco eszközök menedzselésében és biztonságában. Lehetővé teszi a hibák, állapotváltozások, és konfigurációs műveletek valós idejű nyomon követését, és biztosítja, hogy ezek az események hosszú távon visszakereshetők legyenek. Helyes beállításával a hálózati adminisztrátorok hatékonyan reagálhatnak a problémákra, megelőzhetik a szolgáltatáskimaradásokat, és megfelelhetnek a különféle IT audit- és biztonsági szabványoknak. A Syslog tehát nem csak egyszerű naplózás – hanem a megbízható és biztonságos hálózati működés egyik pillére.


További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=syslog&oldid=3494359