Syslog Settings - настройка Syslog

Syslog — стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в IP сетях. Протокол syslog прост: при наступлении определенных событий, коммутатор PSW-2G посылает короткое текстовое сообщение, размером меньше 1024 байт получателю сообщения. Сообщения отправляются по UDP (порт 514). Syslog используется для удобства администрирования и обеспечения информационной безопасности.

В коммутаторе имеется возможность гибко настроить только интересующие события и присвоить им соответствующий уровень важности. Вкладка Events → Event List) Уровни меняются от 0 до 7, где 0 - наивысший уровень важности.

Общепринята следующая градация уровней:

  • (0) Emergency: система неработоспособна
  • (1) Alert: система требует немедленного вмешательства
  • (2) Critical: состояние системы критическое
  • (3) Error: сообщения о возникших ошибках
  • (4) Warning: предупреждения о возможных проблемах
  • (5) Notice: сообщения о нормальных, но важных событиях
  • (6) Informational: информационные сообщения
  • (7) Debug: отладочные сообщения

Используя такое логическое разделение уровней важности событий, на приемной стороне можно по-разному их обрабатывать. Например, сообщения о событиях с уровнем 6,7 могут просто писаться в журнал событий, а сообщения о событиях с уровнем 0-3 выводятся оператору. В коммутаторе PSW-2G события распределены на две группы: set и trap.

Set – группа событий, наступающих при изменении параметров конфигурации через Web интерфейс. А trap —события, происходящие асинхронно при наступлении внешних событий, таких как изменение линка, статуса PoE, перезагрузки камер и др.

Все события разбиты по категориям:

  • base settings - изменение настроек в группе "Base Settings" (сетевые настройки, настройки доступа, настройки Syslog, SMTP, SNTP)
  • port settings - изменение настроек в группе "Port Settings" (скорость порта, дуплекс, Flow Control, состояние PoE)
  • VLAN settings - изменение настроек VLAN
  • STP/RSTP settings - изменение настроек резервирования (по протоколу STP)
  • other settings - изменение остальных настроек(QoS, Special Functions)
  • port.link - изменение статуса линка
  • port.PoE - изменение статуса PoE
  • STP - изменение топологии STP/RSTP
  • special function.link - пропал линк при активной функции Auto Restart
  • special function.ping - удаленное устройство не ответило на PING при активной функции Auto Restart
  • system - изменение состояния системы(перезагрузка, обновление, сброс на заводские установки и др.)
  • UPS - изменение в работе модуля бесперебойного питания (только в версии PSW-2G UPS) (переход на питание от АКБ и обратно на сетевое питание)

Формат Syslog сообщения

Согласно стандарту Syslog сообщение имеет следующий формат: <уровень важности><дата и время><сообщение>

Поле <дата и время> содержит дату и время наступления события. При этом дата и время получаются от SNTP сервера. Если в сети нет SNTP сервера или протокол не настроен, то в сообщении будет отображаться отностительное время с момента старта в секундах.

Также само тело сообщения имеет свой собственный формат вида: [числовой код сообщения] текстовая расшифровка сообщения.

Рассмотрим это на примере. Пусть у нас дано сообщение, полученное программой Wireshark:

syslog_vsh (1).png

Здесь мы видим, что в группе Base Settings на странице настройки Syslog включили в работу syslog. Уровень важности при этом установлен как Debug, собщение отправлено 25 марта в 12:01:25. Также можно видеть числовую маркировку сообщения [1.1.4.0.1]. В будущем планируется использовать ее для интеграции с программами управления и мониторинга сетью.

Настройка Syslog на коммутаторе

Настройка на коммутаторе не представляет особой сложности. Первое, что нужно сделать — это выбрать интересующие события во вкладке Events → Event List. Например, нас интересует событие изменения линка.

syslog_1.png

Затем во вкладке Events → Syslog Settings включаем работу с протоколом Syslog и устанавливаем IP адрес сервера, на который будут приходить сообщения.

syslog_2.png

Получение Syslog сообщений

После настройки коммутатора, переходим к настройке сервера.

Рассмотрим пример для ОС Windows. Существует большое число программ для работы с syslog-сообщениями. Вот некоторые из них:

  • Kiwi Syslog
  • Syslog Watcher
  • Datagram SyslogServer Suite
  • Syslogbroadband
  • LogZilla
  • Syslog Server Free Tool

Остановим свой выбор на программе Kiwi Log Viewer - это бесплатная упрощенная версия программы Kiwi Syslog Server. Но тем не менее она удовлетворяет поставленным задачам.

Адрес для загрузки - http://www.kiwisyslog.com/downloads.aspx

Установка программы не отличается особой сложностью, единственное, в окне Chose Operating Mode установите Install as Service (В этом случае Kiwi Syslog установится как служба: будет запускаться при старте ОС и резидентно сидеть в трее)

syslog_3.png

После установки, запускайте программу. По умолчанию в главном окне будут отображаться все принятые сообщения. Эти сообщения пишутся в текстовый файл. Также есть возможность настроить пересылку на email.

syslog_4.png