Configuer et Vérifier la journalisation avec Syslog

Configuer et Vérifier la journalisation avec Syslog
Configuer et Vérifier la journalisation avec Syslog

Syslog est un terme utilisé pour décrire une norme que l’IETF a documentée pour la première fois dans le RFC 3164 en 2001.

Il s’agit d’un protocole populaire utilisé par de nombreux périphériques réseau, notamment les routeurs, les commutateurs, les serveurs d’application, les pare-feu et d’autres appareils réseau.

Ces appareils peuvent envoyer leurs messages à travers le réseau pour être stockés sur les serveurs syslog pour un accès ultérieur par les administrateurs réseau.

Fonctionnement du Syslog

Syslog utilise le port UDP 514 pour envoyer des messages de notification d’événement sur les réseaux IP aux collecteurs de messages d’événement, comme le montre la Figure A.

Figure A - Exemple de serveur Syslog
Figure A – Exemple de serveur Syslog

Le service de journalisation syslog offre trois fonctionnalités principales :

  • Collecte d’informations d’enregistrement pour la surveillance et le dépannage
  • Sélection du type d’informations d’enregistrement à capturé
  • Spécification des destinations des messages syslog capturés

Sur les périphériques réseau Cisco, le protocole syslog commence par l’envoi de messages système et la sortie de débogage à un processus de journalisation local interne au périphérique.

Il est possible de surveiller à distance les messages système en visualisant les journaux sur un serveur syslog, ou en accédant au périphérique via Telnet, Secure Shell (SSH), ou via le port console.

Les appareils Cisco produisent des messages syslog à la suite d’événements réseau. Chaque message syslog contient un niveau de sévérité et une facilité. Le tableau A présente la liste complète des niveaux de gravité de syslog.

Tableau A – Niveau de sévérité Syslog

Nom de la sévéritéNiveau de sévéritéExplication
Situation d'urgenceNiveau 0Système inutilisable
AlerteNiveau 1Une action immédiate s'impose
CritiqueNiveau 2État critique
ErreurNiveau 3État d'erreur
AvertissementNiveau 4État d'avertissement
NotificationNiveau 5État normale mais significative
InformatifNiveau 6Message d'information
DébogageNiveau 7Message de débogage

En plus de préciser la gravité, les messages syslog contiennent des informations sur l’installation. Les installations Syslog sont des identificateurs de service qui identifient et catégorisent les données sur l’état du système pour la déclaration des messages d’erreur et d’événement.

Les options de journalisation disponibles sont spécifiques au périphérique réseau. Les fonctions courantes de messagerie syslog signalées sur les routeurs Cisco IOS sont les suivantes :

  • IP
  • Protocole OSPF
  • Système d’exploitation SYS
  • Sécurité IP (IPsec)
  • Interface IP (IF)

Le format par défaut des messages syslog est le suivant :

no. seq : horodatage : %entité-sévérité-MNÉMONIQUE: description

Le tableau B résume chaque champ du message syslog.

En utilisant le format du message et le tableau B, vous pouvez facilement interpréter le message suivant :

00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up

La commande service sequence-numbers n’a pas été configurée, mais la commande service timestamps a été configurée. L’entité est LINK, la sévérité est 3, et la partie MNÉMONIQUE est UPDOWN. Le reste du message fournit une description de l’événement.

Configuration et vérification de Syslog

Par défaut, les routeurs et commutateurs Cisco envoient à la console des messages de journal pour tous les niveaux de gravité. Sur certaines versions de Cisco IOS, l’appareil tamponne également les messages du journal par défaut.

Pour activer ces deux paramètres, utilisez respectivement les commandes de configuration globale logging console et logging buffered.

La commande show logging affiche les paramètres par défaut du service de journalisation sur un routeur Cisco, comme le montre l’exemple A.

Exemple A – Paramètres par défaut du service de journalisation des données

R1# show logging
Syslog logging: enabled (0 messages dropped, 2 messages rate-limited, 0 flushes,
   0 overruns, xml disabled, filtering disabled)


No Active Message Discriminator.


No Inactive Message Discriminator.


   Console logging: level debugging, 32 messages logged, xml disabled,
      filtering disabled
   Monitor logging: level debugging, 0 messages logged, xml disabled,
      filtering disabled
   Buffer logging: level debugging, 32 messages logged, xml disabled,
      filtering disabled
   Exception Logging: size (4096 bytes)
   Count and timestamp logging messages: disabled
   Persistent logging: disabled


No active filter modules.


   Trap logging: level informational, 34 message lines logged
      Logging Source-Interface: VRF Name:
Log Buffer (8192 bytes):


*Jan 2 00:00:02.527: %LICENSE-6-EULA_ACCEPT_ALL: The Right to Use End User
License Agreement is accepted
*Jan 2 00:00:02.631: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name
  = c1900 Next reboot level = ipbasek9 and License = ipbasek9
*Jan 2 00:00:02.851: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name
  = c1900 Next reboot level = securityk9 and License = securityk9
*Jan 2 00:01:01.619: %IFMGR-7-NO_IFINDEX_FILE: Unable to open nvram:/ifIndex
  table No such file or directory

......................

 

Pour configurer le routeur afin qu’il envoie des messages système à un serveur syslog, suivez les trois étapes suivantes :

Étape 1. Configurez l’adresse IP du serveur syslog en mode configuration globale :

R1(config)# logging 192.168.1.1.3

Étape 2. Contrôler les messages qui seront envoyés au serveur syslog à l’aide de la commande de configuration globale logging trap level. Par exemple, pour limiter les messages aux niveaux 4 et inférieurs (0 à 4), utilisez l’une des deux commandes équivalentes :

R1(config)# logging trap 4
or
R1(config)# logging trap warning

Étape 3. En option, configurer l’interface source à l’aide de la commande du mode de configuration globale logging source-interface interface-type interface-number.

Ceci spécifie que les paquets syslog contiennent l’adresse d’une interface spécifique, quelle que soit l’interface utilisée par le paquet pour quitter le routeur.

Par exemple, pour régler l’interface source sur g0/0, utilisez la commande suivante :

R1(config)# logging source-interface g0/0

 

L’exemple B montre la sortie de la commande show logging. Les réglages par défaut ont été modifiés, comme indiqué par les surlignages.

Exemple B – Vérification du service de journalisation après le contrôle de la configuration

R1# show logging

Syslog logging: enabled (0 messages dropped, 2 messages rate-limited, 0 flushes,
   0 overruns, xml disabled, filtering disabled)


No Active Message Discriminator.




No Inactive Message Discriminator.



   Console logging: level debugging, 41 messages logged, xml disabled,
      filtering disabled
   Monitor logging: level debugging, 0 messages logged, xml disabled,
      filtering disabled
   Buffer logging: level debugging, 41 messages logged, xml disabled,
      filtering disabled
   Exception Logging: size (4096 bytes)
   Count and timestamp logging messages: disabled
   Persistent logging: disabled


No active filter modules.
   Trap logging: level warnings, 43 message lines logged
      Logging to 192.168.1.3 (udp port 514, audit disabled,
         link up),
         4 message lines logged,
         0 message lines rate-limited,
         0 message lines dropped-by-MD,
         xml disabled, sequence number disabled
         filtering disabled
      Logging Source-Interface: VRF Name:
      GigabitEthernet0/0

............................

 

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image