Syslog significa System Logging Protocol (Protocolo de Registro do Sistema) e é um protocolo padrão usado para enviar mensagens de logs do sistema ou de eventos para um servidor específico, chamado de servidor syslog. A TI é usada principalmente para coletar vários logs de dispositivos de várias máquinas diferentes em um local central para monitoramento e análise.
O protocolo está ativado na maioria dos equipamentos de rede, como roteadores, switches, firewalls e até mesmo em algumas impressoras e scanners. Além disso, o Syslog está disponível em sistemas baseados em Unix e Linux e em muitos servidores da Web, incluindo o Apache. O Syslog não é instalado por padrão nos sistemas Windows, que usam seu próprio log de eventos do Windows. Esses eventos podem ser encaminhados por meio de utilitários de terceiros ou outras configurações que usam o protocolo Syslog.
O Syslog é definido na RFC 5424, The Syslog Protocol, que tornou obsoleta a RFC 3164 anterior.
Em um determinado dispositivo, vários eventos são gerados pelo sistema em resposta a condições variáveis. Em geral, esses eventos são registrados localmente, onde podem ser revisados e analisados por um administrador. No entanto, monitorar vários logs em um número igualmente grande de roteadores, switches e sistemas seria demorado e impraticável. O Syslog ajuda a resolver esse problema, encaminhando esses eventos para um servidor centralizado.
Tradicionalmente, o Syslog usa o protocolo UDP na porta 514, mas pode ser configurado para usar qualquer porta. Além disso, alguns dispositivos usarão o TCP 1468 para enviar dados do Syslog para obter a confirmação da entrega da mensagem.
A transmissão de pacotes do Syslog é assíncrona. O que faz com que uma mensagem Syslog seja gerada é configurado no próprio roteador, switch ou servidor. Ao contrário de outros protocolos de monitoramento, como o SNMP, não há mecanismo para sondar os dados do syslog. Em algumas implementações, o SNMP pode ser usado para definir ou modificar os parâmetros do Syslog remotamente.
Os alertas personalizados e a visualização de dados permitem que você identifique e evite rapidamente problemas de saúde e desempenho da rede.
A mensagem do Syslog consiste em três partes: PRI (um valor de prioridade calculado), HEADER (com informações de identificação) e MSG (a mensagem propriamente dita).
Os dados PRI enviados pelo protocolo Syslog são provenientes de dois valores numéricos que ajudam a categorizar a mensagem. O primeiro é o valor Facility. Esse valor é um dos 15 valores predefinidos ou vários valores definidos localmente, no caso de 16 a 23. Esses valores categorizam o tipo de mensagem ou qual sistema gerou o evento.
O segundo rótulo de uma mensagem do Syslog categoriza a importância ou a gravidade da mensagem em um código numérico de 0 a 7.
Os valores de ambos os rótulos não têm definições rígidas. Portanto, cabe ao sistema ou aplicativo determinar como registrar um evento (por exemplo, como aviso, notificação ou outra coisa) e em qual recurso. Dentro do mesmo aplicativo ou serviço, números mais baixos devem corresponder a problemas mais graves relativos ao processo específico.
Os dois valores são combinados para produzir um valor de prioridade enviado com a mensagem. O valor de prioridade é calculado multiplicando-se o valor do recurso por oito e, em seguida, adicionando-se o valor de gravidade ao resultado. Quanto menor o PRI, maior a prioridade.
Dessa forma, uma mensagem do kernel recebe um valor mais baixo (prioridade mais alta) do que um alerta de log, independentemente da gravidade do alerta de log. Os identificadores adicionais no pacote incluem o nome do host, o endereço IPS, a ID do processo, o nome do aplicativo e o registro de data e hora da mensagem.
O palavreado ou o conteúdo real da mensagem do Syslog não é definido pelo protocolo. Algumas mensagens são textos simples e legíveis, outras podem ser apenas legíveis por máquina.
Normalmente, as mensagens do Syslog não têm mais de 1024 bytes.
As notificações em tempo real significam uma solução de problemas mais rápida para que você possa agir antes que ocorram problemas mais sérios.
Partes da mensagem do Syslog:
O servidor Syslog também é conhecido como coletor ou receptor Syslog.
As mensagens Syslog são enviadas do dispositivo gerador para o coletor. O endereço IPS do servidor Syslog de destino deve ser configurado no próprio dispositivo, seja por linha de comando ou por meio de um arquivo conf. Uma vez configurado, todos os dados do Syslog serão enviados para esse servidor. Não há nenhum mecanismo no protocolo syslog para que um servidor diferente solicite dados syslog.
Embora a maioria das implementações Unix e os fornecedores de rede, como a Cisco, tenham seus próprios coletores syslog básicos, há vários outros disponíveis também.
O software de monitoramento PRTG da Paessler oferece um sensor integrado Destinatário Syslog. O receptor coleta todas as mensagens Syslog entregues. Para usar a função, o administrador precisa adicionar o receptor Syslog e, em seguida, configurar o endereço IPS desse servidor como o servidor de destino para dados de monitoramento em todos os dispositivos a serem monitorados.
Uma vez coletados, o painel mostra:
O protocolo Syslog pode gerar muitas mensagens. O Syslog simplesmente encaminha as mensagens tão rapidamente quanto as gera. Como resultado, a capacidade mais importante para um servidor Syslog é a capacidade de filtrar e reagir adequadamente aos dados Syslog recebidos.
O sensor PRTG Syslog Receiver oferece a capacidade de definir regras de filtragem. Essas regras permitem que as mensagens do Syslog sejam incluídas ou excluídas como avisos ou erros, independentemente de como elas foram originalmente geradas no dispositivo. Essa filtragem garante que os administradores sejam notificados sobre todos os erros que desejam conhecer, sem serem sobrecarregados por erros menos importantes.
O protocolo Syslog não oferece nenhum mecanismo de segurança. Não há autenticação build-in para garantir que as mensagens sejam provenientes do dispositivo que alega estar enviando-as. Não há criptografia para ocultar as informações que estão sendo enviadas ao servidor. O TI é particularmente suscetível aos chamados "ataques de reprodução", em que um invasor gera um fluxo anterior de avisos para obter uma resposta.
A maioria das implementações do Syslog é configurável com relação a quais recursos e quais números de gravidade gerarão eventos do Syslog que são encaminhados ao servidor Syslog. É importante configurar isso adequadamente para evitar inundar o servidor (e a rede) com tráfego desnecessário. Por exemplo, Debug nunca deve ser definido para enviar mensagens, exceto durante os testes.
É aconselhável definir os parâmetros do Syslog para exigir o recurso e a gravidade mais altos possíveis (com o número mais baixo) para minimizar o tráfego. Embora um erro de roteador possa indicar que uma interface está inoperante e, portanto, precisa ser relatada, uma impressora de rede menos importante pode ser configurada para gerar tráfego Syslog somente para eventos críticos.
Os sistemas Windows não implementam o Syslog no sistema de log de eventos padrão. Os eventos gerados no sistema de log de eventos do Windows podem ser coletados e encaminhados a um servidor Syslog usando utilitários de terceiros. Esses utilitários monitoram o Log de eventos, usam as informações para criar um evento formatado em syslog e encaminham os eventos usando o protocolo syslog padrão.
Uma das principais limitações do protocolo syslog é que o dispositivo que está sendo monitorado deve estar em funcionamento e conectado à rede para gerar e enviar um evento syslog. Um erro crítico do recurso kernel pode nunca enviar um erro, pois o sistema fica off-line. Em outras palavras, o Syslog não é uma boa maneira de monitorar o status de ativação e desativação dos dispositivos.
O PRTG é um software abrangente de monitoramento de rede e mantém o controle de toda a sua infraestrutura de TI.
Embora o Syslog não seja uma boa maneira de monitorar o status dos dispositivos em rede, ele pode ser uma boa maneira de monitorar a saúde geral do equipamento de rede. Embora um software de monitoramento de rede, como o PRTG Network Monitor, ofereça um conjunto de utilitários para monitorar uma rede, nada diz a um administrador que há um problema mais rapidamente do que um log de eventos cheio de avisos. O monitoramento do Syslog configurado corretamente detectará o aumento repentino do volume e da gravidade dos eventos, possivelmente avisando antes que ocorra um problema detectável pelo usuário.
A rede corporativa média contém vários dispositivos aos quais ninguém deveria estar tentando obter acesso em um dia normal. Se um switch remoto, que só recebe logs uma vez por ciclo de auditoria, de repente tiver tentativas diárias de login (bem-sucedidas ou não), é preciso verificar. Nesses tipos de dispositivos, o Syslog pode ser configurado para encaminhar eventos de autenticação para um servidor Syslog, sem a sobrecarga de ter que instalar e configurar um agente de monitoramento completo.
O Syslog também oferece uma maneira de garantir que os eventos críticos sejam registrados e armazenados fora do servidor original. O primeiro esforço de um invasor após comprometer um sistema é cobrir os rastros deixados nos logs. Os eventos encaminhados via Syslog estarão fora de alcance.
Há muitas maneiras de monitorar como um aplicativo está sendo executado em um servidor. No entanto, esses monitores podem ignorar como o aplicativo está afetando outros processos no servidor. Embora a alta utilização da CPU ou da memória seja fácil de detectar com outros monitores, os eventos logados podem ajudar a mostrar mais problemas possíveis. Um aplicativo está tentando acessar continuamente um arquivo que está bloqueado? Uma tentativa de gravação no banco de dados está gerando um erro? Eventos como esses podem passar despercebidos quando causados por aplicativos que fazem um bom trabalho para contornar erros, mas não devem ser ignorados. O Syslog garantirá que esses eventos registrados recebam a atenção que merecem.
O monitoramento completo da rede requer o uso de várias ferramentas. O Syslog é um pilar importante no monitoramento da rede porque garante que os eventos que ocorrem sem um efeito dramático não passem despercebidos. A prática recomendada é usar um software que combine todas as ferramentas para ter sempre uma visão geral do que está acontecendo na rede.
Tabela periódica de monitoramento de rede: Obtenha seu infográfico
