Introduction à Syslog
La mise en place d'un système de journalisation est un élément important. Il est utilisé pour suiveiller les événements qui se produisent sur un réseau. Il permet notifier l'administrateur avec des messages système détaillés.
Ces messages peuvent être non critiques ou significatifs, et plusieurs options sont disponibles pour les stocker, les interpréter et les afficher.
Le protocole syslog, décrit dans la RFC 5424, permet d'envoyer des messages de notification d'événements à un collecteurs de messages (Syslog serveur).
Le syslog utilise le port 514/UDP.
Syslog assure trois fonctions principales :
- Recueillir les informations de journalisation pour la surveillance et le dépannage
- Sélectionner le type d'informations
- Spécifier les destinations des messages syslog capturés
Les opérations du syslog dans les équipements cisco
Les équipements Cisco peuvent générer des informations concernant les changements de configuration, les violations des ACL, l'état des interfaces, etc...
Les équipements Cisco peuvent envoyer des messages syslog à plusieurs destinations :
-
Tampon de journalisation (Logging buffer): Les messages sont stockés dans la mémoire du routeur pendant un certain temps. Les événements sont effacés lorsque le routeur est redémarré.
-
Console: La journalisation de la console est activée par défaut. Les messages Syslog sont envoyés à la console.
-
Lignes de terminal (Terminal lines): Les sessions EXEC activées peuvent être configurées pour recevoir des messages de log sur n'importe quelle ligne de terminal.
-
Serveur syslog: Les routeurs Cisco peuvent être configurés pour transmettre les messages de log à un service syslog externe.
Les messages syslog
- Chaque message syslog contient un niveau de gravité et une fonction.
| Level | Keyword | Description | Definition |
|---|---|---|---|
| 0 | emergencies | System is unusable. A panic condition normally broadcast to all users | LOG_EMERG |
| 1 | alerts | Immediate action is needed. A condtion that should be corrected immediately | LOG_ALERT |
| 2 | critial | Critical conditions exist. A critical event occurred that needs attention | LOG_CRIT |
| 3 | erros | Error conditions exist. An error occurred within the device | LOG_ERR |
| 4 | warnings | Warning conditions exist. A condition exists that may need to be evaluated | LOG_WARNING |
| 5 | notifications | Normal but significant condition. Non-error conditions that may require special handling | LOG_NOTICES |
| 6 | informational | Informational messages only | LOG_INFO |
| 7 | debugging | Debugging messages | LOG_DEBUG |
Composition d'un message syslog
000048: *Feb 19 11:36:48.779:``%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
<seq no>: numéro de séquence du log si service sequence number est configuré.
<timestamp>: date si service timestamps est configuré.
<facility>: La source ou la cause du message
<severity>: Levels 0 - 7
MNEMONIC: description sommaire du message
description: description du log
Implémentation de syslog
Syslog contiennent deux types de systèmes :
syslog servers: Ils acceptent et traitent les messages de journaux des clients syslog.
syslog client: équipements qui génèrent et transmettent les logs aux serveurs syslog.