Apostila - Monitoramento de Redes - Cisco Academy

Prévia do material em texto

Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
1 
 
1. Introdução ao syslog 
Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm 
mecanismos confiáveis para notificar o administrador com mensagens de sistema 
detalhadas. Essas mensagens podem ser não críticas ou significativas. Os administradores 
de rede dispõem de várias opções de armazenamento, interpretação e exibição dessas 
mensagens, bem como para o recebimento de alertas referentes às mensagens que 
provocam maior impacto na infraestrutura de rede. 
O método mais comum de acesso às mensagens de sistema enviadas pelos 
dispositivos de rede consiste em usar um protocolo denominado syslog. 
Syslog é o termo usado para descrever um padrão. Também é usado para 
descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido 
para sistemas UNIX na década de 1980, mas foi documentado primeiro como RFC 3164 
pelo IETF em 2001. O syslog usa a porta UDP 514 para enviar mensagens de notificações 
de eventos em redes IP a coletores de mensagens de eventos, conforme demonstrado na 
figura 1. 
 
Figura 1 - Syslog 
Muitos dispositivos de rede oferecem suporte ao syslog, inclusive roteadores, 
switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo 
syslog permite que os dispositivos de rede enviem mensagens de sistema pela rede aos 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
2 
 
servidores syslog. É possível criar uma rede fora da banda (OOB, out-of-band) especial 
para essa finalidade. 
Há vários pacotes diferentes de software de Servidor syslog para Windows e UNIX. 
Muitos deles são freeware. 
O serviço de logging de syslog oferece três funções principais: 
 Capacidade de coletar informações de registro para o monitoramento e a 
identificação e solução de problemas 
 Capacidade de selecionar os tipos de informação de registro capturados 
 Capacidade de especificar os destinos das mensagens capturadas de syslog 
2. Operação de Syslog 
Nos dispositivos de rede da Cisco, o protocolo syslog começa com o envio de 
mensagens de sistema e a saída do comando debug para um processo de logging local 
interno do dispositivo. O modo pelo qual o processo de logging gerencia essas mensagens 
e saídas varia de acordo com as configurações do registro. Por exemplo, as mensagens de 
syslog podem ser enviadas pela rede a um Servidor syslog externo. Tais mensagens 
podem ser recuperadas sem a necessidade de acesso ao dispositivo real. As mensagens 
de log e as saídas armazenadas no Servidor externo podem ser inseridas em vários 
relatórios para facilitar a leitura. 
Por sua vez, as mensagens de syslog podem ser enviadas a um buffer interno. As 
mensagens enviadas ao buffer interno só podem ser exibidas por meio do CLI do 
dispositivo. 
Por fim, o administrador de rede pode especificar que apenas certos tipos de 
mensagens de sistema sejam enviados a vários destinos. Por exemplo, o dispositivo pode 
ser configurado para encaminhar todas as mensagens de sistema a um Servidor syslog 
externo. No entanto, as mensagens no nível de depuração (debug) são encaminhadas ao 
buffer interno e somente podem ser acessadas pelo administrador a partir do CLI. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
3 
 
 
Figura 2 - Opções de Destino de Mensagens de Syslog 
Conforme mostrado na figura 2, os destinos mais comuns das mensagens de syslog 
incluem: 
 Buffer de logging (RAM dentro de um roteador ou switch) 
 Linha de console 
 Linha do terminal 
 Servidor syslog 
É possível monitorar remotamente as mensagens do sistema por meio da 
visualização dos logs em um Servidor syslog ou por meio do acesso ao dispositivo pelo 
Telnet, SSH ou através da porta de console. 
3. Formato de mensagem do Syslog 
Os dispositivos da Cisco geram mensagens de syslog como resultado de eventos de 
rede. Todas as mensagens de syslog contêm um nível de gravidade e recurso. 
Os níveis numéricos menores correspondem aos alarmes de syslog mais 
importantes. O nível de gravidade das mensagens pode ser definido para controlar o local 
onde cada tipo de mensagem é exibido (isto é, na console ou em outros destinos). A lista 
completa de níveis de syslog é mostrada na figura 3. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
4 
 
 
Figura 3 - Nível de Gravidade no Syslog 
Cada nível de syslog tem seu próprio significado: 
 Nível de aviso - Nível de emergência - Essas mensagens são mensagens de 
erro sobre defeitos de software ou hardware; esses tipos de mensagens 
significam que a funcionalidade do dispositivo é afetada. A gravidade do 
problema determina o nível real de syslog aplicado. 
 Nível de depuração - Esse nível indica que as mensagens consistem em saídas 
geradas pela emissão de vários comandos debug. 
 Nível de notificação - O nível de notificações destina-se apenas à informação, a 
funcionalidade do dispositivo não é afetada. Mensagens de transições de 
ativação e desativação de interface e reinicialização do sistema são exibidas no 
nível de notificações. 
Além de especificar a gravidade, as mensagens de syslog também contêm 
informações sobre o recurso. Os recursos de syslog são identificadores de serviço que 
identificam e categorizam dados de estado do sistema para relatórios de mensagens de 
erros e eventos. As opções de recurso de registro disponíveis são específicas para o 
dispositivo de rede. Por exemplo, os switches Cisco série 2960 com Cisco IOS versão 
15.0(2) e os roteadores Cisco 1941 com Cisco IOS versão 15.2(4) oferecem suporte a 24 
opções de recursos, categorizadas em 12 tipos. 
Alguns recursos de mensagens de syslog comuns relatados nos roteadores Cisco 
IOS incluem: 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
5 
 
 IP 
 Protocolo OSPF 
 Sistema operacional SYS 
 IP Security (IPsec) 
 Interface IP (IF) 
Por padrão, este é o formato das mensagens de syslog no software Cisco IOS: 
seq no: timestamp: %principal-gravidade-MNEMONIC: descrição 
Os campos contidos na mensagem de syslog do software Cisco IOS são explicados 
na figura 4. 
 
Figura 4 - Formato de Mensagem do Syslog 
Por exemplo, em um switch Cisco, a saída que indica a alteração de estado de um 
link EtherChannel para ativado é: 
00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up 
Aqui, o recurso principal é LINK e o nível de gravidade é 3, com um mnemônico de 
UPDOWN. 
As mensagens mais comuns são mensagens de estado active e inactive de link e as 
mensagens produzidas pelo dispositivo quando este sai do modo de configuração. Se o 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
6 
 
registro de ACLestiver configurado, o dispositivo gerará mensagens de syslog quando os 
pacotes corresponderem a uma condição do parâmetro. 
4. Carimbo de data e hora de serviço 
As mensagens de log podem receber carimbos de data e hora, e é possível definir o 
endereço origem delas. Isso aprimora o gerenciamento e depuração em tempo real. 
Quando o comando de modo de configuração global service timestamps log 
uptime é inserido, o tempo transcorrido desde a última inicialização do switch é exibido 
nos eventos registrados. Uma versão mais útil desse comando aplica a palavra-
chave datetime no lugar da palavra-chave uptime; isso força cada evento registrado a 
exibir a data e a hora associadas a cada evento. 
Durante o uso da palavra-chave datetime, é necessário definir o relógio no 
dispositivo de rede. Isso pode ser feito de uma destas maneiras: 
 Definição manual com o comando clock set 
 Definição automática com o NTP (Network Time Protocol) 
Lembre-se de que o NTP é o protocolo usado para permitir que os dispositivos de 
rede sincronizem suas configurações de hora com um Servidor NTP. 
Para permitir que o relógio de software seja sincronizado por um Servidor de horário 
NTP, use o comando ntp server ip-address no modo de configuração global. Um 
exemplo de configuração é exibido na figura 5. R1 está configurado como um cliente NTP, 
enquanto o roteador R2 funciona como um Servidor NTP autoritativo. Um dispositivo de 
rede pode ser configurado como um Servidor NTP para permitir que outros dispositivos 
sincronizem sua hora, ou como um cliente NTP. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
7 
 
 
Figura 5 - Configuração do NTP 
No restante deste capítulo, pressupõe-se que o relógio foi definido e que o comando 
service timestamps log datetime foi configurado em todos os dispositivos. 
5. Servidor Syslog 
Para exibir as mensagens de syslog, é necessário instalar um Servidor syslog em 
uma estação de trabalho na rede. Há várias versões freeware e shareware de syslog, bem 
como versões corporativas para compra. Na figura 6, uma versão de avaliação do Kiwi 
Syslog Daemon é exibida em um computador Windows 7. 
 
Figura 6 - Tela Principal de um Servidor Syslog 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
8 
 
O Servidor syslog oferece uma interface relativamente amigável ao usuário para a 
visualização da saída do syslog. O Servidor analisa a saída e coloca as mensagens em 
colunas predefinidas para facilitar a interpretação. Se os carimbos de data e hora estiverem 
configurados no dispositivo de rede que gera as mensagens de syslog, a data e a hora de 
cada mensagem será exibida na saída do Servidor syslog, conforme mostrado na figura 7. 
 
Figura 7 - Exibição de Mensagem em um Servidor Syslog 
Os administradores de rede podem facilmente navegar pela grande quantidade de 
dados compilada em um Servidor syslog. Uma vantagem de visualizar mensagens de 
syslog em um Servidor syslog é a capacidade de executar pesquisas detalhadas nos 
dados. Além disso, o administrador de rede pode excluir rapidamente do banco de dados 
as mensagens sem importância. 
6. Registro padrão 
Por padrão, os roteadores e switches Cisco enviam mensagens de log para todos os 
níveis de gravidade para o console. Em algumas versões do IOS, o dispositivo também 
armazena as mensagens de log em buffers por padrão. Para ativar essas duas 
configurações, use os comandos de configuração global logging console e logging 
buffered, respectivamente. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
9 
 
O comando show logging exibe as configurações de serviço de logging padrão 
em um roteador Cisco, conforme mostrado na figura 8. As primeiras linhas da saída listam 
informações sobre o processo de logging, enquanto as linhas finais mostram as 
mensagens de log. 
A primeira linha destacada informa que esse roteador faz registros no console e 
inclui mensagens de depuração (debug). Isso na verdade significa que todas as 
mensagens de nível de depuração, bem como as mensagens de nível inferior (como 
mensagens de nível de notificação), são registradas no console. A saída indica também 
que 32 dessas mensagens foram registradas. 
 
 
Figura 8 - Configurações de Serviços de Logging Padrão 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
10 
 
A segunda linha destacada informa que esse roteador faz registros em um buffer 
interno. Como esse roteador ativou o registro em um buffer interno, o comando show 
logging lista também as mensagens nesse buffer. Você pode visualizar no fim da saída 
algumas das mensagens de sistema que foram registradas. 
7. Comandos de roteador e switch para clientes de syslog 
São necessárias três etapas para que o roteador envie mensagens do sistema a um 
Servidor syslog, onde elas podem ser armazenadas, filtradas e analisadas: 
Etapa 1. Configure o nome do host destino ou o endereço IP do Servidor syslog no modo 
de configuração global: 
R1(config)# logging 192.168.1.3 
Etapa 2. Controle as mensagens que serão enviadas ao Servidor syslog com o comando 
de modo de configuração global logging trap level. Por exemplo, para limitar as 
mensagens aos níveis 4 e inferiores (0 a 4), use um destes dois comandos equivalentes: 
R1(config)# logging trap 4 
R1(config)# logging trap warning 
Etapa 3. Se desejar, configure a interface origem com o comando de modo de 
configuração global logging source-interface interface-type interface 
number. Ele especifica que os pacotes de syslog contêm o endereço IPv4 ou IPv6 de uma 
interface específica, independentemente da interface usada pelo pacote para sair do 
roteador. Por exemplo, para definir a interface origem como g0/0, use este comando: 
R1(config)# logging source-interface g0/0 
Na figura 9, R1 é configurado para enviar mensagens de log de níveis 4 e inferiores 
para o Servidor syslog em 192.168.1.3. A interface origem é definida como G0/0. Uma 
interface de loopback é criada, desativada, e depois ativada novamente. A saída do 
console reflete essas ações. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
11 
 
Mostrado na figura 10, o Servidor syslog Tftpd32 foi configurado em um computador 
Windows 7 com o endereço IP 192.168.1.3. Como você pode observar, as únicas 
mensagens que aparecem no Servidor syslog são aquelas com nível de gravidade 4 ou 
inferior (mais grave). As mensagens com nível de gravidade 5 ou superior (menos grave) 
aparecem na saída de console do roteador, mas não aparecem na saída do Servidor 
syslog, pois logging trap limita as mensagens de syslog enviadas a esse Servidor de 
acordo com a gravidade destas. 
 
Figura 9 - Configuração de Syslog 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks- Cisco Networking Academy 
12 
 
 
Figura 10 - Saída do Servidor Syslog 
8 - Verificação de Syslog 
Use o comando show logging para exibir as mensagens registradas. Quando o 
buffer de registro for grande, será útil usar a opção de pipe (|) com o comando show 
logging. A opção de pipe permite que o administrador diga especificamente quais 
mensagens devem ser exibidas. 
Por exemplo, a emissão do comando show logging | include changed 
state to up, conforme mostrado na figura 11, assegura que somente as notificações de 
interface que afirmam que a interface teve “seu estado alterado” ("changed to state up") 
serão exibidas. 
A figura 12 mostra que a emissão do comando show logging | begin June 
12 22:35 exibe o conteúdo do buffer de registro que ocorreu em 12 de junho ou depois 
dessa data. 
Instituto Federal do Sul de Minas - Campus Inconfidentes 
Curso Superior de Tecnologia em Redes de Computadores 
Gerenciamento de Redes 
 
Prof. Kleber Rezende - Apostila de Monitoramento de Logs 
Extraída de CCNA Connecting Networks - Cisco Networking Academy 
13 
 
 
Figura 11 - Verificação de Syslog - Parte 1 
 
Figura 12 - Verificação de Syslog - Parte 2