Syslog
Resumen
Se explica el funcionamiento de syslog. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!
¡Bienvenido!: Este tema forma parte del Módulo 10 del curso de Cisco CCNA 3, para un mejor seguimiento del curso puede ir a la sección CCNA 3 para guiarte del índice.
Tabla de Contenido
1. Introducción a Syslog
Como una luz de verificación del motor en el panel de tu coche, los componentes de tu red pueden decirte si hay algo mal. El protocolo del syslog fue diseñado para asegurar que puedas recibir y entender estos mensajes. Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos confiables para notificar al administrador con mensajes detallados del sistema. Estos mensajes pueden ser no críticos o significativos. Los administradores de red tienen una variedad de opciones para almacenar, interpretar y mostrar estos mensajes. También se les puede avisar de los mensajes que podrían tener un mayor impacto en la infraestructura de la red.
El método más común para acceder a los mensajes del sistema es utilizar un protocolo denominado Syslog.
El término “syslog” se utiliza para describir un estándar. También se utiliza para describir el protocolo desarrollado para ese estándar. El protocolo syslog se desarrolló para los sistemas UNIX en la década de los ochenta, pero la IETF lo registró por primera vez como RFC 3164 en 2001. Syslog usa el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes IP a recolectores de mensajes de eventos, como se muestra en la ilustración.
Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a servidores de syslog a través de la red.
Existen varios paquetes de software syslog para servidores Windows y UNIX. Muchos de ellos son freeware.
El servicio de registro de syslog proporciona tres funciones principales:
- La capacidad de recopilar información de registro para el control y la solución de problemas
- La capacidad de escoger el tipo de información de registro que se captura
- La capacidad de especificar los destinos de los mensajes de syslog capturados
2. Funcionamiento de Syslog
En los dispositivos de red Cisco, el protocolo syslog comienza enviando los mensajes del sistema y la salida de debug a un proceso de registro local interno del dispositivo. La forma en que el proceso de registro administra estos mensajes y resultados se basa en las configuraciones del dispositivo. Por ejemplo, los mensajes de syslog se pueden enviar a través de la red a un servidor de syslog externo. Estos mensajes se pueden recuperar sin necesidad de acceder al dispositivo directamente. Los resultados y los mensajes de registro almacenados en el servidor externo se pueden incluir en varios informes para facilitar la lectura.
Por otra parte, los mensajes de syslog se pueden enviar a un búfer interno. Los mensajes enviados al búfer interno solo se pueden ver mediante la CLI del dispositivo.
Por último, el administrador de red puede especificar que solo se envíen a varios destinos, ciertos tipos de mensajes. Por ejemplo, se puede configurar el dispositivo para que reenvíe todos los mensajes del sistema a un servidor de syslog externo. Sin embargo, los mensajes del nivel de depuración/debug se reenvían al búfer interno, y solo el administrador puede acceder a ellos desde la CLI.
Como se muestra en la ilustración, los destinos comunes para los mensajes de syslog incluyen lo siguiente:
- Búfer de registro (RAM dentro de un router o switch)
- Línea de consola
- Línea de terminal
- Servidor de syslog
Es posible controlar los mensajes del sistema de manera remota viendo los registros en un servidor de syslog o accediendo al dispositivo mediante Telnet, SSH o a través del puerto de consola.
3. Formato de Mensaje de Syslog
Los dispositivos de Cisco generan mensajes de syslog como resultado de los eventos de red. Cada mensaje de syslog contiene un nivel de gravedad.
Cuanto más bajos son los números de nivel, más críticas son las alarmas de syslog. El nivel de gravedad de los mensajes se puede establecer para controlar dónde se muestra cada tipo de mensaje (es decir, en la consola o los otros destinos). En la tabla se muestra la lista completa de los niveles de syslog.
| Nombre de Gravedad | Nivel de Gravedad | Explicación |
|---|---|---|
| Emergencia | Nivel 0 | Sistema inutilizable |
| Alerta | Nivel 1 | Se necesita una acción inmediata |
| Crítico | Nivel 2 | Condición crítica |
| Error | Nivel 3 | Condición de error |
| Advertencia | Nivel 4 | Condición de advertencia |
| Notificación | Nivel 5 | Condición normal, pero significativa |
| Informativo | Nivel 6 | Mensaje informativo |
| Depuración | Nivel 7 | Mensaje de depuración |
Cada nivel de syslog tiene su propio significado:
- Advertencia Nivel 4- Emergencia Nivel 0: Estos mensajes son mensajes de error sobre problemas de software o hardware; indican que la funcionalidad del dispositivo está afectada. La gravedad del problema determina el nivel real de syslog que se aplica.
- Notificación Nivel 5: El nivel de notificaciones es para eventos normales, pero significativos. Por ejemplo: los mensajes relacionados con el cambio de interfaces o el reinicio del sistema son mostrados en el nivel de notificaciones.
- Informativo Nivel 6: Un mensaje informativo normal que no afecta la funcionalidad del dispositivo. Por ejemplo, cuando se enciende un dispositivo de Cisco, puede ver el siguiente mensaje informativo: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End User License Agreement is accepted.
- Depuración Nivel 7: Este nivel indica que los mensajes son generados como resultado a partir de la ejecución de diversos comandos
debug.
4. Recursos Syslog
Además de especificar la gravedad, los mensajes de syslog también contienen información sobre el recurso. Los recursos de syslog son identificadores de servicios que identifican y categorizan los datos de estado del sistema para informar los mensajes de error y de eventos. Las opciones de recurso de registro disponibles son específicas del dispositivo de red. Por ejemplo, los switches Cisco de la serie 2960 que ejecutan el IOS de Cisco versión 15.0(2) y los routers Cisco 1941 que ejecutan el IOS de Cisco versión 15.2(4) admiten 24 opciones de recurso que se categorizan en 12 tipos de recurso.
Algunos mensajes comunes de recursos syslog que informan los routers con IOS de Cisco incluyen lo siguiente:
- IF – Identifica que el mensaje del syslog fue generado por una interfaz.
- IP – Identifica que el mensaje del syslog fue generado por IP.
- OSPF – Identifica que el mensaje del syslog fue generado por el protocolo de enrutamiento del OSPF.
- SYS – Identifica que el mensaje del syslog fue generado por el sistema operativo del dispositivo.
- IPSEC – Identifica que el mensaje del syslog fue generado por el protocolo de encriptación IP Security.
De manera predeterminada, el formato de los mensajes de syslog en el software IOS de Cisco es el siguiente:
%facility-severity-MNEMONIC: description
El ejemplo muestra un switch Cisco en el cual el estado del enlace de EtherChannel cambia a up (Activo):
%LINK-3-UPDOWN: Interface Port-channel1, changed state to up
Aquí el recurso es LINK, y el nivel de gravedad es 3.
Los mensajes más comunes son los de enlace up/activo y enlace down/inactivo, y los mensajes que produce un dispositivo cuando sale del modo de configuración. Si se configura el registro de ACL, el dispositivo genera mensajes de syslog cuando los paquetes coinciden con una condición de parámetros.
5. Configurar Marca de Tiempo de Syslog
De manera predeterminada, los mensajes de registro no tienen marca de tiempo. Por ejemplo: en el ejemplo, la interfaz GigabitEthernet 0/0/0 está apagada (shutdown). El mensaje que se registra en la consola no muestra cuándo se modificó el estado de la interfaz. Los mensajes de registro deben tener marcas de tiempo,de manera que cuando se envían a otro destino, como un servidor syslog, haya un registro del momento en el que se generó el mensaje.
Utiliza el comando service timestamps log datetime para forzar que los eventos registrados muestren la fecha y la hora. Como puede verse en la figura, cuando se vuelve a activar la interfaz GigabitEthernet 0/0/0 de R1, los mensajes de registros contienen la fecha y hora.
R1# configure terminal R1(config)# interface g0/0/0 R1(config-if)# shutdown %LINK-5-CHANGED: Interface GigabitEthernet0/0/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to down R1(config-if)# exit R1(config)# service timestamps log datetime R1(config)# interface g0/0/0 R1(config-if)# no shutdown *Mar 1 11:52:42: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to down *Mar 1 11:52:45: %LINK-3-UPDOWN: Interface GigabitEthernet0/0/0, changed state to up *Mar 1 11:52:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0/0, changed state to up R1(config-if)#
Nota: Cuando se utiliza la palabra datetime, se debe configurar el reloj del dispositivo de red, ya sea manualmente o a través de NTP, tal como se analizó anteriormente.
Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.
¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.
