El Protocolo de registro del sistema (Syslog) es una forma en que los dispositivos de red pueden usar un formato de mensaje estándar para comunicarse con un servidor de registro. Fue diseñado específicamente para facilitar el monitoreo de dispositivos de red. Los dispositivos pueden usar un agente syslog para enviar notificaciones mensajes bajo una amplia gama de condiciones específicas.

Estos mensajes de registro incluyen una marca de tiempo, una clasificación de gravedad, un ID de dispositivo (incluida la dirección IP) e información específica del evento. Aunque tiene deficiencias, el protocolo Syslog se aplica ampliamente porque es fácil de implementar y es bastante abierto, lo que permite muchas implementaciones propietarias diferentes y, por lo tanto, la capacidad de monitorear casi cualquier dispositivo conectado.

Syslog funciona en todos los sabores de Unix, Linux y otros *nix, así como en MacOS. Los servidores basados en Windows no admiten Syslog de forma nativa, pero hay muchas herramientas de terceros disponibles para permitir que los dispositivos Windows se comuniquen con un servidor Syslog.

Nota: el término "Syslog" puede referirse de diversas manera al proceso del servidor real o "daemon" (el demonio Syslog se llama syslogd cuando alguien está siendo preciso), el formato del mensaje y el protocolo. Esto sucede con sistemas ampliamente utilizados. que han existido por un tiempo y tienen múltiples usos.

Obtenga más información sobre las prácticas recomendadas del servidor Syslog aquí.

La necesidad de la tala

Una gran ventaja de syslog es que el servidor de registro puede monitorear una gran cantidad de eventos de syslog a través de archivos de registro. Los enrutadores, conmutadores, firewalls y servidores pueden generar mensajes de registro, así como muchas impresoras y otros dispositivos.

El servidor syslog recibe, categoriza y almacena mensajes de registro para su análisis, manteniendo una visión completa de lo que está sucediendo en todas partes de la red. Sin esta vista, los dispositivos pueden funcionar mal inesperadamente y las interrupciones pueden ser difíciles de rastrear.

Mensajes de Syslog

Los mensajes de Syslog se envían a través del Protocolo de datagramas de usuario (UDP), puerto 514. UDP es lo que se llama un protocolo sin conexión, por lo que los mensajes no se reconocen ni se garantiza que lleguen. Esto puede ser un inconveniente, pero también deja el sistema simple y fácil. para gestionar.

Los mensajes de Syslog a menudo están en un formato legible por humanos, pero no es necesario que lo sean. En su encabezado, cada mensaje tiene un nivel de prioridad, que es una combinación de un código para el proceso del dispositivo que crea el mensaje y un nivel de gravedad. El proceso los códigos, llamados "instalaciones", se derivan de UNIX. Los niveles de gravedad varían de 0 para emergencias y 1 para la atención inmediata requerida, hasta 6 para mensajes informativos y 7 para mensajes de depuración.

Juntos, estos dos códigos permiten una clasificación rápida de los mensajes de Syslog.

Recopilación y gestión de datos

Debido a la gran cantidad de datos de Syslog que resulta de la retención de todos estos mensajes, un servidor Syslog necesita una gran base de datos.

También necesita un software de administración y filtrado que permita al servidor generar automáticamente alertas, alarmas y notificaciones. El filtrado permite a un administrador de sistemas llamar fácilmente a archivos de una determinada fuente, como un firewall, para un especificado período de tiempo.

Las ventanas emergentes en pantalla o los mensajes de texto remotos pueden mantener a un administrador de sistemas al tanto de cualquier divergencia con el funcionamiento normal. Si hay alguna preocupación sobre un dispositivo en particular, los umbrales se pueden establecer más bajos, para monitorear más de cerca los mensajes de menor gravedad.

Los datos de Syslog se pueden utilizar de varias otras maneras, por ejemplo, para informes detallados, así como para la generación de diagramas para aclarar la estructura de la red.

El software security Information and Event Management (SIEM) proporciona una forma de rastrear, integrar y analizar la gran cantidad de datos de registro que Syslog recopila. Originalmente centrado en la presentación de informes de cumplimiento, SIEM ahora se usa más ampliamente y puede ser un complemento útil. a Syslog.

En qué se diferencia Syslog de SNMP

Simple Network Management Protocol (SNMP) es otro protocolo para la supervisión de dispositivos de red. SNMP funciona de manera diferente, obteniendo la mayor parte de su información mediante dispositivos de sondeo. Los servidores Syslog a menudo pueden aceptar datos SNMP, particularmente capturas SNMP, es decir, los dispositivos habilitados para SNMP envían sin ser sondeados.

SNMP es mejor para situaciones restringidas con condiciones predecibles, mientras que Syslog es más amplio en escala y menos restringido en formato, y cubre muchos tipos diferentes de eventos.

Diferentes sabores de Syslog

Además de Syslog, hay rsyslog y syslog-ng. Syslog es la receta original, que se remonta a principios de la década de 1980, mientras que los otros dos son sabores ligeramente diferentes que han salido desde entonces.

Syslog-ng se inició en 1988 y agrega algunas nuevas funciones de filtrado y cifrado.

Su sintaxis no se deriva directamente de syslog y, por lo tanto, un servidor syslog-ng y una configuración syslog-ng son algo diferentes. Puede obtener más información sobre cómo para instalar syslog-ng aquí.

 

Rsyslog data de 2004, y se deriva directamente de Syslog, por lo que se puede usar fácilmente como reemplazo de él, ya que se puede usar un archivo syslog.conf en lugar de rsyslog.conf. Al igual que syslog-ng, también tiene una capacidad mejorada para analizar datos no estructurados y enviarlos a varios destinos.

Tanto syslog-ng como rsyslog también pueden usar TCP, TLS y RELP, además de UDP.

 

 

Tags

Pruebe WhatsUp Gold

Comments

Comments are disabled in preview mode.