¿Qué es el servidor Syslog y su funcionamiento?

Todos los dispositivos de red, como enrutadores, servidores, firewalls, etc. crean o solicitan registros sobre los estados y los eventos que ocurren. Para un sistema pequeño, el seguimiento de estos registros no es un problema, el problema surge cuando se trata de sistemas grandes en los que el seguimiento de todos estos registros e información se vuelve un desafío. Para superar este problema, usamos Syslog con un servidor de registro conocido como servidor Syslog (como el servidor Kiwi Syslog, Graylog, el servidor Solarwind Syslog, etc.). 

Un servidor Syslog nos permite enviar la información de registro de todos nuestros dispositivos de red a un lugar centralizado. Los mensajes de registro se envían en el puerto UDP 514 al servidor Syslog. Desde aquí podemos buscar, administrar y archivar toda la información del registro.

Una amplia variedad de dispositivos admite el protocolo Syslog, por lo tanto, se puede utilizar para registrar varios tipos de eventos, como registros de un servidor web, un enrutador, etc.

¿Qué es Syslog?  
Syslog es un protocolo estándar para el registro de mensajes que utilizan los sistemas informáticos para enviar registros de eventos a un servidor Syslog para su almacenamiento. En los dispositivos de red, Syslog se puede usar para registrar eventos como cambios en el estado de la interfaz, reinicios del sistema, etc. Se pueden registrar muchos tipos diferentes de eventos. Los registros son esenciales para solucionar problemas, examinar la causa de los incidentes, etc.

Trabajo:
el estándar Syslog define tres capas, es decir, la capa de transporte de Syslog, la capa de aplicación de Syslog y la capa de contenido de Syslog.

  1. Capa de contenido de Syslog:
    son los datos reales contenidos en el mensaje de evento. Contiene algunos elementos informativos, como los códigos de las instalaciones y los niveles de gravedad.
  2. Capa de aplicación Syslog:
    esta capa genera, interpreta, enruta y almacena el mensaje.
  3. Capa de transporte Syslog:
    esta capa transmite el mensaje a través de una red.
Capas de Syslog

Capas de Syslog

Formato de mensaje de Syslog:  

seq:timestamp: %facility-severity-MNEMONIC:description

seq puede o no mostrarse en el mensaje Syslog real.

  1. seq: un número de secuencia que indica la secuencia/el orden de un mensaje.
  2. marca de tiempo: una marca de tiempo indica a qué hora se generó el mensaje.
  3. instalación: un valor que indica qué proceso en el dispositivo generó este mensaje.
  4. gravedad: un número que indica la gravedad del evento registrado. Hay 8 niveles de gravedad.
  5. MNEMÓNICO: un código abreviado para el mensaje, que indica lo que sucedió.
  6. descripción: información detallada sobre el evento que se está informando.
Formato de mensaje de Syslog

Ejemplo de formato de mensaje Syslog

Este es un mensaje de registro que se puede ver al configurar enrutadores y conmutadores.  

Códigos de instalación de Syslog:

Código

Palabra clave

Descripción

0

núcleo mensajes del núcleo

1

usuario mensajes a nivel de usuario

2

correo sistema de correo

3

demonio demonios del sistema

4

autenticación mensajes de seguridad/autorización

5

registro del sistema mensajes generados internamente por Syslog

6

lpr subsistema de impresora de línea

7

noticias subsistema de noticias de la red

8

uucp subsistema UUCP

9

cron demonio del reloj

10

autorizaciónprivada mensajes de seguridad/autorización

11

ftp demonio FTP

12

ntp subsistema NTP

13

seguridad auditoría de registros

14

consola alerta de registro

15

solaris-cron demonio del reloj

16-23

local uso local 0-7 (local0-7)

En la parte inferior tenemos los códigos del 16 al 23 para uso local, estos se usan generalmente para dispositivos de red.

Niveles de gravedad de Syslog:
esto es importante porque si no tenemos valores de gravedad, enviaría todos los mensajes de registro al servidor, lo que no se recomienda, ya que obstruiría el servidor. Con la ayuda del nivel de gravedad, podemos elegir qué mensajes se envían en función de su gravedad.  

Nivel

Palabra clave

Descripción

0

Emergencia El sistema es inutilizable

1

Alerta Se deben tomar medidas de inmediato

2

Crítico Condiciones críticas

3

Error Condiciones de error

4

Advertencia Condiciones de advertencia

5

Aviso Condición normal pero significativa (Notificaciones)

6

Informativo Mensajes informativos

7

depuración Mensajes de nivel de depuración

Hay 8 niveles de gravedad, cada nivel de gravedad tiene un número, siendo 0 el más grave y 7 el menos grave. Cada nivel también tiene una palabra clave, que es un nombre que identifica el nivel de gravedad. Luego hay una breve descripción del nivel de gravedad.

  1. Nivel 0, emergencia, eventos que inutilizan el sistema.
  2. El nivel 1, alerta, es para eventos para los que se deben tomar medidas de inmediato. Entonces, estos también son eventos muy urgentes/graves.
  3. El nivel 2 se denomina crítico y la descripción es simplemente «condiciones críticas». Mismo
  4. Nivel 3, error.
  5. Nivel 4, advertencia.
  6. El nivel 5, aviso/notificación, se utiliza para mensajes que representan una ‘condición normal pero significativa’.
  7. El nivel 6 es ‘Informativo’, y finalmente
  8. Nivel 7, es Depuración. Estos son los mensajes menos graves.

Servidor Syslog:
los servidores Syslog se utilizan para recopilar mensajes Syslog de múltiples fuentes en una sola ubicación. Un servidor Syslog puede ser un servidor físico o una máquina virtual. Pocos componentes hacen posible que los servidores Syslog reciban, almacenen e interpreten los mensajes.

  1. Escucha de Syslog: la escucha de
    Syslog permite que el servidor reciba mensajes enviados a través de la red mediante la recopilación de datos de Syslog enviados a través del puerto 514 de UDP, ya que los mensajes UDP no se reconocen o no son confiables, por lo tanto, algunos dispositivos de red pueden enviar datos de Syslog a través de TCP para garantizar la entrega de mensajes.
  2. Base de datos:
    dado que las redes grandes generan una gran cantidad de datos de Syslog, deben poder almacenar los datos de Syslog para una recuperación rápida y una referencia fácil.
  3. Automatización y filtrado:
    es difícil encontrar entradas de registro específicas en una gran cantidad de datos. Un servidor Syslog le permite recopilar y filtrar los registros.

Necesidad de registros:  

  1. La información de registro es muy importante y útil cuando estamos solucionando problemas. Por ejemplo, digamos que algunos usuarios informan una interrupción de la red como sucedió en la reciente interrupción de Facebook, WhatsApp e Instagram, luego podemos revisar toda la información de registro para ver si hubo algún problema.
  2. Otro beneficio de almacenar información de registro en un lugar central es la retención de datos.
  3. Puede proporcionar información transitoria que se necesita para devolver el estado anterior del sistema después de una falla.

Publicación traducida automáticamente

Artículo escrito por kmbh y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *