1. Giới thiệu chung:
-Giao thức Syslog giúp các thiết bị mạng có thể gởi các thông báo ,cảnh báo đển lưu trữ trên một thiết bị tập trung gọi là syslog server ,giao thức syslog được thiết kế đê thiết bị gởi thông tin đến syslog server và syslog server không cần gởi ngược lại cho thiết bị nên thông thường sử dụng UDP ở lớp vận chuyển trong mô hình TCP/IP
-Rất nhiều thiết bị của Cisco bao gồm router,switch,Pix firewall,ASA … đều có khả năng sử dụng syslog để gởi các thông tin về hệ thống,cảnh báo.Ví dụ như một Cisco router sẽ tạo ra một syslog nếu cổng bị down hay có sự thay đổi về cấu hình .Ta có thể cấu hình cho các thiết bị Cisco gởi thông tin syslog đến 1 syslog server ở bên ngoài để có thể lưu trữ tập trung ,trong trường hợp kết nối đến syslog server bị ngắt thì toàn bộ thông tin về syslog của thiết bị sẽ được lưu trữ cục bộ
-Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để truyền dữ liệu .Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau
• Facility (1) : phân loại nguồn sinh ra syslog (ứng dụng,hệ điều hành,các tiến trình..) Mặc định, thiết bị sử dụng Cisco IOS , CatOS switches, và VPN 3000 Concentrators sử dụng facility là local7 ,trong khi đó Cisco PIX Firewalls sử dụng local4 trong thông tin syslog
• Severity (2) : Mức độ phát sinh ra các thông tin syslog được phân chia ra như sau
Code:
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.
Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề liên quan các vấn đề về phần mềm và phần cứng.Tiến trình khởi động lại ,cổng up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug .
• Hostname : Có thể là tên hoặc Ip của thiết bị sinh ra syslog
• Timestamp : Thời gian sinh ra syslog theo định dạng MMM DD HH:MM:SS .Thời gian sinh ra syslog phải chính xác nên thông thường khi triển khai dịch vụ này ta thường kêt hợp với giao thức NTP (Network Time Protocol) để đồng bộ thông tin về thời gian trên tất cả thiết bị
• Message : Nội dung Syslog
Ví dụ :
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
2. Cấu hình Wiki Syslog Server:
Mô hình triển khai gồm 1 Cisco router và 1 PC cài đặt phần mềm Kiwi Syslog Server, các bạn có thể download tại đây
KiWi Syslog Server
-Rất nhiều thiết bị của Cisco bao gồm router,switch,Pix firewall,ASA … đều có khả năng sử dụng syslog để gởi các thông tin về hệ thống,cảnh báo.Ví dụ như một Cisco router sẽ tạo ra một syslog nếu cổng bị down hay có sự thay đổi về cấu hình .Ta có thể cấu hình cho các thiết bị Cisco gởi thông tin syslog đến 1 syslog server ở bên ngoài để có thể lưu trữ tập trung ,trong trường hợp kết nối đến syslog server bị ngắt thì toàn bộ thông tin về syslog của thiết bị sẽ được lưu trữ cục bộ
-Syslog sử dụng User Datagram Protocol (UDP), cổng 514 mặc định để truyền dữ liệu .Một gói tin syslog sẽ giới hạn trong 1024 bytes gồm 5 thông tin sau
• Facility (1) : phân loại nguồn sinh ra syslog (ứng dụng,hệ điều hành,các tiến trình..) Mặc định, thiết bị sử dụng Cisco IOS , CatOS switches, và VPN 3000 Concentrators sử dụng facility là local7 ,trong khi đó Cisco PIX Firewalls sử dụng local4 trong thông tin syslog
• Severity (2) : Mức độ phát sinh ra các thông tin syslog được phân chia ra như sau
Code:
0 Emergency: System is unusable.
1 Alert: Action must be taken immediately.
2 Critical: Critical conditions.
3 Error: Error conditions.
4 Warning: Warning conditions.
5 Notice: Normal but significant condition.
6 Informational: Informational messages.
7 Debug: Debug-level messages.
Thiết bị Cisco sử dụng mức Emergency đến Warning để thông báo các vấn đề liên quan các vấn đề về phần mềm và phần cứng.Tiến trình khởi động lại ,cổng up/down thì được gởi với mức Notice. Hệ thống khởi động lại là mức Informational. Kết quả của lệnh debug là mức Debug .
• Hostname : Có thể là tên hoặc Ip của thiết bị sinh ra syslog
• Timestamp : Thời gian sinh ra syslog theo định dạng MMM DD HH:MM:SS .Thời gian sinh ra syslog phải chính xác nên thông thường khi triển khai dịch vụ này ta thường kêt hợp với giao thức NTP (Network Time Protocol) để đồng bộ thông tin về thời gian trên tất cả thiết bị
• Message : Nội dung Syslog
Ví dụ :
Oct 29 10:00:01 EST: %SYS-5-CONFIG_I: Configured from console by vty0 (10.2.2.6)
2. Cấu hình Wiki Syslog Server:
Mô hình triển khai gồm 1 Cisco router và 1 PC cài đặt phần mềm Kiwi Syslog Server, các bạn có thể download tại đây
KiWi Syslog Server
-Khởi chạy chương trình KiWi Syslog Server
-Cài đặt Syslog Server chạy như một dịch vụ bằng cách vào Manage > Start the Syslogd service.
-Vào File > Setup để cấu hình thêm các mục khác như địa chỉ email để KiWi Syslog Server có thể gởi các cảnh báo hay thống kê
-Bắt đầu chạy dịch vụ Syslog Server Manage > Start the Syslogd service có thể kiểm tra lại họa động của server bằng cách vào File > Send test message to localhost
3. Cấu hình trên Router sử dụng syslog:
- Router(config)#logging host
Cấu hình địa chỉ Syslog Server
-Router(config)# logging trap level
Cấu hình mức độ Severity ,tham khảo thêm ở (2) ở đầu bài
-Router(config)# logging facility facility-type
Cấu hình mức độ facility, tham khảo thêm ở (1) ở đầu bài
- Router(config)# logging on
Bật chế độ logging
- Router# show logging
Xem lại toàn bộ cấu hình logging
-Lệnh cấu hình trên RouterA
RouterA#
RouterA #config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA (config)#logging 192.168.30.10
RouterA (config)#logging facility local3
RouterA (config)#logging trap warning
RouterA (config)#end
RouterA (config)#logging on
-Kết quả log trên giao diện Syslog Server
-Kiểm tra lại cấu hình Logging
RouterA#show logging
Syslog logging: enabled (0 messages dropped, 96298 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 28 messages logged, xml disabled,filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,filtering disabled
Buffer logging: disabled, xml disabled,filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
No active filter modules.
Trap logging: level warnings, 18 message lines logged
Logging to 192.168.30.10(global) (udp port 514, audit disabled, link up), 3 message lines logged, xml disabled,filtering disabled
-Cài đặt Syslog Server chạy như một dịch vụ bằng cách vào Manage > Start the Syslogd service.
-Bắt đầu chạy dịch vụ Syslog Server Manage > Start the Syslogd service có thể kiểm tra lại họa động của server bằng cách vào File > Send test message to localhost
3. Cấu hình trên Router sử dụng syslog:- Router(config)#logging host
Cấu hình địa chỉ Syslog Server
-Router(config)# logging trap level
Cấu hình mức độ Severity ,tham khảo thêm ở (2) ở đầu bài
-Router(config)# logging facility facility-type
Cấu hình mức độ facility, tham khảo thêm ở (1) ở đầu bài
- Router(config)# logging on
Bật chế độ logging
- Router# show logging
Xem lại toàn bộ cấu hình logging
-Lệnh cấu hình trên RouterA
RouterA#
RouterA #config terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA (config)#logging 192.168.30.10
RouterA (config)#logging facility local3
RouterA (config)#logging trap warning
RouterA (config)#end
RouterA (config)#logging on
-Kết quả log trên giao diện Syslog Server
-Kiểm tra lại cấu hình LoggingRouterA#show logging
Syslog logging: enabled (0 messages dropped, 96298 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)
Console logging: level debugging, 28 messages logged, xml disabled,filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,filtering disabled
Buffer logging: disabled, xml disabled,filtering disabled
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
No active filter modules.
Trap logging: level warnings, 18 message lines logged
Logging to 192.168.30.10(global) (udp port 514, audit disabled, link up), 3 message lines logged, xml disabled,filtering disabled
