syslog: Funcionamiento y Configuración

En esta sección se explica qué es y cómo funciona syslog. Además, cómo configurar syslog para recopilar mensajes en un dispositivo de administración de red de una pequeña a mediana empresa.

Supervisar una red en funcionamiento puede proporcionar información a un administrador de red para administrar la red de forma proactiva e informar estadísticas de uso de la red a otros.

La actividad de los enlaces, las tasas de error y el estado de los enlaces son algunos de los factores que contribuyen a que un administrador de red determine el estado y el uso de una red. Recopilar y revisar esta información en el transcurso del tiempo permite que un administrador de red vea y proyecte el crecimiento, y puede contribuir a que detecte y reemplace una parte defectuosa antes de que falle por completo.

En este capítulo, se abarcan tres protocolos que puede usar un administrador de red para controlar la red. Syslog, SNMP y NetFlow son protocolos populares con diferentes puntos fuertes y débiles. Juntos proporcionan un buen conjunto de herramientas para comprender qué sucede en una red.

El protocolo NTP se utiliza para sincronizar la hora a través de los dispositivos, lo cual es especialmente importante al intentar comparar los archivos de registro de distintos dispositivos.

1. Introducción a syslog

Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de confianza para notificar mensajes detallados del sistema al administrador. Estos mensajes pueden ser importantes o no.

Los administradores de red tienen una variedad de opciones para almacenar, interpretar y mostrar estos mensajes, así como para recibir esos mensajes que podrían tener el mayor impacto en la infraestructura de la red.

El método más común para acceder a los mensajes del sistema que proporcionan los dispositivos de red es utilizar un protocolo denominado “syslog“.

Syslog usa el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes IP a recopiladores de mensajes de eventos.

El término “syslog” se utiliza para describir un estándar. También se utiliza para describir el protocolo desarrollado para ese estándar. El protocolo syslog se desarrolló para los sistemas UNIX en la década de los ochenta, pero la IETF lo registró por primera vez como RFC 3164 en 2001.

Muchos dispositivos de red admiten syslog, incluidos routers, switches, servidores de aplicación, firewalls y otros dispositivos de red. El protocolo syslog permite que los dispositivos de red envíen los mensajes del sistema a servidores de syslog a través de la red. Es posible armar una red especial fuera de banda (OOB) para este propósito.

Existen varios paquetes de software diferentes de servidores de syslog para Windows y UNIX. Muchos de ellos son freeware.

El servicio de registro de syslog proporciona tres funciones principales:

• La capacidad de recopilar información de registro para el control y la resolución de problemas
• Capacidad de seleccionar el tipo de información de registro que se captura
• La capacidad de especificar los destinos de los mensajes de syslog capturados

2. Funcionamiento de syslog

En los dispositivos de red Cisco, el protocolo syslog comienza enviando los mensajes del sistema y el resultado del comando debug a un proceso de registro local interno del dispositivo. La forma en que el proceso de registro administra estos mensajes y resultados se basa en las configuraciones del dispositivo.

Por ejemplo, los mensajes de syslog se pueden enviar a través de la red a un servidor de syslog externo. Estos mensajes se pueden recuperar sin necesidad de acceder al dispositivo propiamente dicho. Los resultados y los mensajes de registro almacenados en el servidor externo se pueden incluir en varios informes para facilitar la lectura.

Por otra parte, los mensajes de syslog se pueden enviar a un búfer interno. Los mensajes enviados al búfer interno solo se pueden ver mediante la CLI del dispositivo.

Por último, el administrador de red puede especificar que solo se envíen determinados tipos de mensajes del sistema a varios destinos. Por ejemplo, se puede configurar el dispositivo para que reenvíe todos los mensajes del sistema a un servidor de syslog externo. Sin embargo, los mensajes del nivel de depuración se reenvían al búfer interno, y solo el administrador puede acceder a ellos desde la CLI.

Como se muestra en la ilustración, los destinos comunes para los mensajes de syslog incluyen lo siguiente:

• Búfer de registro (RAM dentro de un router o switch)
• Línea de consola
• Línea de terminal
• Servidor de syslog

Es posible controlar los mensajes del sistema de manera remota viendo los registros en un servidor de syslog o accediendo al dispositivo mediante Telnet, SSH o a través del puerto de consola.

3. Formato de los mensajes de syslog

Los dispositivos de Cisco generan mensajes de syslog como resultado de los eventos de red. Cada mensaje de syslog contiene un nivel de gravedad y una instalación.

3.1. Nivel de gravedad de syslog

Cuanto más bajos son los números de nivel, más fundamentales son las alarmas de syslog. El nivel de gravedad de los mensajes se puede establecer para controlar dónde se muestra cada tipo de mensaje (es decir, en la consola o los otros destinos). En la Imagen 3, se muestra la lista completa de los niveles de syslog.

Cada nivel de syslog tiene su propio significado:

• Nivel de advertencia, nivel de emergencia: estos son mensajes de error sobre software o hardware que funciona mal; estos tipos de mensajes significan que la funcionalidad del dispositivo se ve afectada. La gravedad del problema determina el nivel real de syslog que se aplica.
• Nivel de depuración: este nivel indica que los mensajes son resultados que se generan a partir de la emisión de varios comandos debug.
• Nivel de notificación: el nivel de notificación solo proporciona información, la funcionalidad del dispositivo no se ve afectada. Los mensajes de interfaz activa o inactiva, o de reinicio del sistema se muestran en el nivel de notificación.

3.2. Información sobre la instalación

Además de especificar la gravedad, los mensajes de syslog también contienen información sobre la instalación. Las instalaciones de syslog son identificadores de servicios que identifican y categorizan los datos de estado del sistema para informar los mensajes de error y de eventos.

Las opciones de instalación de registro disponibles son específicas del dispositivo de red. Por ejemplo, los switches Cisco de la serie 2960 y los routers Cisco 1941 admiten 24 opciones de instalación que se categorizan en 12 tipos de instalación.

Algunas instalaciones comunes de mensajes de syslog que se informan en los routers con IOS de Cisco incluyen lo siguiente:

• IP
• Protocolo OSPF
• Sistema operativo SYS
• Seguridad IP (IPsec)
• IP de interfaz (IF)

De manera predeterminada, el formato de los mensajes de syslog en el software IOS de Cisco es el siguiente:

seq no: timestamp: %facility-severity-MNEMONIC: description

Los campos incluidos en el mensaje de syslog del software IOS de Cisco se explican en la imagen:

Por ejemplo, el resultado de ejemplo de un switch Cisco para un enlace EtherChannel que cambia al estado activo es el siguiente:

00:00:46: %LINK-3-UPDOWN: Interface 
Port-channel1, changed state to up

Aquí la instalación es LINK, y el nivel de gravedad es 3, con la MNEMOTÉCNICA UPDOWN.

Los mensajes más comunes son los de enlace activo y enlace inactivo, y los mensajes que produce un dispositivo cuando sale del modo de configuración. Si se configura el registro de ACL, el dispositivo genera mensajes de syslog cuando los paquetes coinciden con una condición de parámetros.

4. Marca de hora del servicio

Los mensajes de registro se pueden marcar con la hora, y se puede establecer la dirección de origen de los mensajes de syslog. Esto mejora la depuración y la administración en tiempo real.

Cuando se introduce el comando del modo de configuración global service timestamps log uptime, se muestra la cantidad de tiempo que transcurrió desde la última vez que se arrancó el switch en los eventos registrados. Una versión más útil de este comando aplica la palabra clave datetime en lugar de la palabra clave uptime; esto hace que cada evento registrado muestre la fecha y la hora asociadas al evento.

Cuando se utiliza la palabra clave datetime, se debe establecer el reloj en el dispositivo de red. Esto se puede lograr de dos maneras:

• Configuración manual mediante el comando clock set
• Configuración automática mediante el protocolo NTP

Para permitir que un servidor horario NTP sincronice el reloj del software, use el comando del modo de configuración global:

ntp server ip-address

En la ilustración, se muestra un ejemplo de configuración. El R1 está configurado como cliente NTP, mientras que el router R2 funciona como servidor NTP autoritativo. Un dispositivo de red se puede configurar como servidor NTP, para que los otros dispositivos sincronicen fuera de su hora, o como cliente NTP.

R2(config)# ntp master 1

R1(config)# ntp server 10.1.1.1

Para el resto del capítulo, se supone que se estableció el reloj y se configuró el comando service timestamps log datetime en todos los dispositivos.

5. Servidor de syslog

Para ver los mensajes de syslog, se debe instalar un servidor de syslog en una estación de trabajo en la red. Hay varias versiones de freeware y shareware de syslog, así como versiones empresariales para comprar.

El servidor de syslog proporciona una interfaz relativamente fácil de usar para ver el resultado de syslog. El servidor analiza el resultado y coloca los mensajes en columnas predefinidas para interpretarlos con facilidad.

Los administradores de red pueden navegar fácilmente a través de una gran cantidad de datos que se recopilan en un servidor de syslog. Una ventaja de ver los mensajes de syslog en un servidor de syslog es la capacidad de realizar búsquedas granulares a través de los datos. Además, un administrador de red puede eliminar rápidamente de la base de datos los mensajes de syslog que no son importantes.

6. Registro predeterminado

De forma predeterminada, los routers y switches de Cisco envían mensajes de registro a la consola para todos los niveles de gravedad. En algunas versiones del IOS, el dispositivo también almacena en búfer los mensajes de registro de manera predeterminada. Para habilitar estas dos configuraciones, utilice los comandos de configuración global logging console y logging buffered, respectivamente.

El comando show logging muestra la configuración predeterminada del servicio de registro en un router Cisco, como se muestra en la ilustración. En las primeras líneas del resultado, se proporciona información sobre el proceso de registro, y al final del resultado se indican los mensajes de registro.

• En la primera línea resaltada, se indica que este router se registra en la consola y se incluyen mensajes de depuración. Esto en realidad significa que todos los mensajes del nivel de depuración, así como cualquier mensaje de nivel inferior (como los mensajes del nivel de notificación), se registran en la consola. El resultado también indica que se registraron 32 de estos mensajes.
• En la segunda línea resaltada, se indica que este router se registra en un búfer interno. Dado que en este router se habilitó el registro en un búfer interno, el comando show logging también indica los mensajes en ese búfer.

7. Comandos de router y switch para los clientes syslog

Existen tres pasos para configurar el router para que envíe los mensajes del sistema a un servidor de syslog donde se puedan almacenar, filtrar y analizar:

• Paso 1. Configure el nombre del host de destino o la dirección IP del servidor de syslog en el modo de configuración global:

R1(config)# logging 192.168.1.3

• Paso 2. Controle los mensajes que se envían al servidor de syslog con el comando del modo de configuración global logging trap level. Por ejemplo, para limitar los mensajes a los niveles 4 e inferiores (0 a 4), utilice uno de los dos comandos equivalentes:

R1(config)# logging trap 4

R1(config)# logging trap warning

• Paso 3. De manera optativa, configure la interfaz de origen con el comando del modo de configuración global:

logging source-interface interface-type interface number

Esto especifica que los paquetes de syslog incluyen la dirección IPv4 o IPv6 de una interfaz específica, independientemente de la interfaz que use el paquete para salir del router. Por ejemplo, para establecer la interfaz de origen en g0/0, utilice el siguiente comando:

R1(config)# logging source-interface g0/0

7.1. Ejemplo de configuración de syslog

En la Imagen 8, el R1 se configuró para enviar mensajes de registro de los niveles 4 e inferiores al servidor de syslog en 192.168.1.3. La interfaz de origen se estableció en la interfaz G0/0. Se crea una interfaz loopback, se desactiva y se vuelve a activar. El resultado de la consola refleja estas acciones.

Los únicos mensajes que aparecen en el servidor de syslog son aquellos con un nivel de gravedad de 4 o menos (más graves). Los mensajes con un nivel de gravedad de 5 o más (menos graves) aparecen en el resultado de la consola del router, pero no aparecen en el resultado del servidor de syslog, porque el comando logging trap limita los mensajes de syslog que se envían al servidor de syslog según el nivel de gravedad.

8. Verificación de syslog

Puede utilizar el comando show logging para ver cualquier mensaje que se registre. Cuando el búfer de registro es grande, es conveniente utilizar la opción de la barra vertical (|) con el comando show logging. La opción de la barra vertical permite que el administrador indique específicamente qué mensajes se deben mostrar.

Por ejemplo, mediante la emisión del comando show logging | include changed state to up, se asegura que solo se muestren las notificaciones de interfaz en las que se indica “changed state to up“.

En la Imagen 9, también se muestra que mediante la emisión del comando show logging | begin June 12 22:35 se muestra el contenido del búfer de registro que ocurrió el 12 de junio o después de esta fecha.