Перейти к содержанию

05. Syslog

Введение

Syslog (System Logging Protocol) — это стандартный протокол для ведения логов в сетевых устройствах, серверах и операционных системах. Он используется для сбора, хранения и анализа системных событий, предупреждений и ошибок.

Зачем нужен Syslog?

  • Централизованный сбор логов
  • Упрощение диагностики и устранения неисправностей
  • Мониторинг событий в реальном времени
  • Уведомления и автоматизированные ответы на критические события

Основные компоненты Syslog

  • Источник (Client) – устройство, отправляющее логи (маршрутизаторы, коммутаторы, серверы)
  • Сервер (Collector/Receiver) – устройство, принимающее и хранящее логи
  • Фильтр и обработка логов – возможность сортировки и анализа записей

Структура сообщений Syslog

Формат Syslog-сообщения

Syslog-сообщение состоит из следующих частей:

  1. Приоритет (PRI) – комбинация уровня важности (severity) и типа события (facility).
  2. Заголовок (Header) – содержит метку времени и имя хоста.
  3. Тело сообщения (Message Body) – текст события, который может включать детали ошибки.

Уровни важности (Severity levels)

Код Уровень Описание
0 Emergency Критическая ошибка
1 Alert Немедленное внимание
2 Critical Серьезная ошибка
3 Error Ошибка
4 Warning Предупреждение
5 Notice Важное уведомление
6 Informational Информационное сообщение
7 Debug Отладочные данные

Категории сообщений (Facility Levels)

Код Facility Описание
0 Kernel messages Сообщения ядра ОС
1 User-level messages Пользовательские сообщения
2 Mail system Почтовая система
3 System daemons Системные службы
4 Security/authorization messages Логи безопасности
5 Syslog messages Сам протокол Syslog
6 Line printer subsystem Подсистема печати
7 Network news subsystem Новости сети

Работа Syslog в сетевых устройствах

Поток передачи данных

  1. Устройство (например, маршрутизатор) генерирует лог-сообщение.
  2. Сообщение передается через UDP (порт 514) или TCP на Syslog-сервер.
  3. Syslog-сервер сохраняет сообщение в журнале и может отправлять уведомления администраторам.

Протоколы передачи

  • UDP 514 – быстрее, но без гарантии доставки.
  • TCP 514 – надежнее, но с дополнительной нагрузкой.
  • Secure Syslog (TLS/SSL) – защищенный вариант передачи логов.

Настройка Syslog в Cisco Packet Tracer

Настройка Syslog на маршрутизаторе

  1. Открываем CLI маршрутизатора и переходим в режим конфигурации:

    bash enable configure terminal

  2. Указываем IP-адрес Syslog-сервера (предположим, 192.168.1.100):

    bash logging 192.168.1.100

  3. Определяем уровень логирования (например, предупреждения и выше):

    bash logging trap warnings

  4. Включаем генерацию сообщений о загрузке устройства:

    bash logging on

  5. Проверяем текущие настройки:

    bash show logging

Настройка Syslog-сервера

  1. Выбираем PC в Cisco Packet Tracer.
  2. Открываем вкладку Services → Syslog.
  3. Включаем службу Syslog.
  4. Проверяем полученные логи в окне Syslog-сервера.

Проверка работы Syslog

  1. Сгенерируем тестовые события, например, перезагрузим маршрутизатор:

    bash reload

  2. Проверяем, отображаются ли сообщения на Syslog-сервере.

Заключение

Syslog – ключевой инструмент для мониторинга сетевой инфраструктуры. Он позволяет:

  • Централизовать сбор и анализ логов.
  • Повысить оперативность устранения сбоев.
  • Автоматизировать оповещения об инцидентах.