Syslog’u Anlamak: Sunucular, Mesajlar ve Güvenlik

Syslog, ağ aygıtlarının olay mesajlarını genellikle bir Syslog sunucusu olarak bilinen bir günlük sunucusuna göndermesinin bir yoludur. Syslog protokolü geniş bir cihaz yelpazesi tarafından desteklenir ve farklı olay türlerini günlüğe kaydetmek için kullanılabilir. Örneğin, bir yönlendirici konsol oturumlarına giriş yapan kullanıcılar hakkında mesajlar gönderebilirken, bir web sunucusu erişim engellenmiş olayları günlüğe kaydedebilir.

Yönlendiriciler ve anahtarlar gibi çoğu ağ donanımı Syslog mesajlarını gönderebilir. Sadece bu değil, * nix sunucuların da çoğu güvenlik duvarı, bazı yazıcılar ve hatta Apache gibi web sunucuları gibi Syslog verileri üretme yeteneği vardır. Windows tabanlı sunucular Syslog’u doğal olarak desteklemez, ancak çok sayıda üçüncü taraf aracı, Windows Olay Günlüğü veya IIS verilerini toplayıp Syslog sunucusuna iletmeyi kolaylaştırır.

SNMP’nin aksine , Syslog bilgi toplamak için cihazları “yoklamak” için kullanılamaz. Örneğin, SNMP, bir yönetim istasyonunun sıcaklık verileri veya kullanılabilir disk alanı gibi şeyler hakkında bilgi istemesine olanak sağlayan karmaşık bir hiyerarşik yapıya sahiptir. Bu Syslog ile mümkün değil – sadece belirli olaylar tetiklendiğinde merkezi bir yere mesajlar gönderir.

syslog’un kullanım alanına bir örnek

Syslog Sunucular

Syslog, günlükleri birden çok kaynaktan tek bir konuma birleştirmek için harika bir yoldur. Genellikle, çoğu Syslog sunucusunda bunu mümkün kılan birkaç bileşen bulunur.

  • Syslog dinleyicisi: Syslog sunucusunun ağ üzerinden gönderilen mesajları alması gerekir. Bir dinleyici işlemi UDP portu 514 üzerinden gönderilen syslog verilerini toplar. UDP mesajları kabul edilmez veya ulaşmayı garanti etmez, bu nedenle bazı ağ cihazlarının mesaj teslimini sağlamak için TCP 1468 üzerinden Syslog verilerini göndereceğini unutmayın.
  • Bir veritabanı: Büyük ağlar çok miktarda Syslog verisi oluşturabilir. İyi Syslog sunucuları, hızlı geri alma için syslog verilerini depolamak için bir veritabanı kullanır.
  • Yönetim ve filtreleme yazılımı: Büyük miktarda veri potansiyeli nedeniyle, gerektiğinde belirli kayıt girişlerini bulmak zahmetli olabilir. Çözüm, hem işin bir bölümünü otomatikleştiren hem de önemli günlük mesajlarını filtrelemeyi ve görüntülemeyi kolaylaştıran bir syslog sunucusu kullanmaktır. Syslog sunucuları, seçilen mesajlara karşılık olarak uyarılar, bildirimler ve alarmlar oluşturabilmelidir – böylece yöneticiler bir problem meydana gelir gelmez ve hızlı harekete geçebilirler!

Syslog Mesajları

Burada Syslog mesajlarına derinlemesine bakmayacağız, ama bilmemiz gereken birkaç önemli şey var.

Syslog mesajları genellikle, nerede, ne zaman ve neden gönderildiği hakkında temel bilgileri tanımlamaya yardımcı olacak bilgileri içerir: ip adresi, zaman damgası ve gerçek günlük mesajı. Mesajlar bazen tanımlayıcı, insan tarafından okunabilir bir biçimde – ancak her zaman değil!

Syslog herhangi bir makinede bir mesajın kaynağını tanımlamak için “tesis” adlı bir kavram kullanır. Örneğin, “0” olan bir tesis bir Kernel mesajı olur ve “11” bir tesis bir FTP mesajı olur. Bu Syslog’un UNIX köklerine kadar uzanır. Çoğu Cisco ağ ekipmanı “Local6” veya “Local7” tesis kodlarını kullanır.

Syslog mesajlarının da bir şiddet seviyesi alanı var. Şiddet seviyesi mesajın ne kadar önemli olduğuna işaret eder. “0” ciddiyeti bir acil durumdur, “1” anında harekete geçme uyarısıdır ve ölçek “6” ve “7” ye kadar devam eder – bilgi ve hata ayıklama mesajları.