Baixe o app para aproveitar ainda mais
Prévia do material em texto
Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 1 1. Introdução ao syslog Quando certos eventos ocorrem em uma rede, os dispositivos de rede têm mecanismos confiáveis para notificar o administrador com mensagens de sistema detalhadas. Essas mensagens podem ser não críticas ou significativas. Os administradores de rede dispõem de várias opções de armazenamento, interpretação e exibição dessas mensagens, bem como para o recebimento de alertas referentes às mensagens que provocam maior impacto na infraestrutura de rede. O método mais comum de acesso às mensagens de sistema enviadas pelos dispositivos de rede consiste em usar um protocolo denominado syslog. Syslog é o termo usado para descrever um padrão. Também é usado para descrever o protocolo desenvolvido para esse padrão. O protocolo syslog foi desenvolvido para sistemas UNIX na década de 1980, mas foi documentado primeiro como RFC 3164 pelo IETF em 2001. O syslog usa a porta UDP 514 para enviar mensagens de notificações de eventos em redes IP a coletores de mensagens de eventos, conforme demonstrado na figura 1. Figura 1 - Syslog Muitos dispositivos de rede oferecem suporte ao syslog, inclusive roteadores, switches, servidores de aplicativos, firewalls e outros dispositivos de rede. O protocolo syslog permite que os dispositivos de rede enviem mensagens de sistema pela rede aos Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 2 servidores syslog. É possível criar uma rede fora da banda (OOB, out-of-band) especial para essa finalidade. Há vários pacotes diferentes de software de Servidor syslog para Windows e UNIX. Muitos deles são freeware. O serviço de logging de syslog oferece três funções principais: Capacidade de coletar informações de registro para o monitoramento e a identificação e solução de problemas Capacidade de selecionar os tipos de informação de registro capturados Capacidade de especificar os destinos das mensagens capturadas de syslog 2. Operação de Syslog Nos dispositivos de rede da Cisco, o protocolo syslog começa com o envio de mensagens de sistema e a saída do comando debug para um processo de logging local interno do dispositivo. O modo pelo qual o processo de logging gerencia essas mensagens e saídas varia de acordo com as configurações do registro. Por exemplo, as mensagens de syslog podem ser enviadas pela rede a um Servidor syslog externo. Tais mensagens podem ser recuperadas sem a necessidade de acesso ao dispositivo real. As mensagens de log e as saídas armazenadas no Servidor externo podem ser inseridas em vários relatórios para facilitar a leitura. Por sua vez, as mensagens de syslog podem ser enviadas a um buffer interno. As mensagens enviadas ao buffer interno só podem ser exibidas por meio do CLI do dispositivo. Por fim, o administrador de rede pode especificar que apenas certos tipos de mensagens de sistema sejam enviados a vários destinos. Por exemplo, o dispositivo pode ser configurado para encaminhar todas as mensagens de sistema a um Servidor syslog externo. No entanto, as mensagens no nível de depuração (debug) são encaminhadas ao buffer interno e somente podem ser acessadas pelo administrador a partir do CLI. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 3 Figura 2 - Opções de Destino de Mensagens de Syslog Conforme mostrado na figura 2, os destinos mais comuns das mensagens de syslog incluem: Buffer de logging (RAM dentro de um roteador ou switch) Linha de console Linha do terminal Servidor syslog É possível monitorar remotamente as mensagens do sistema por meio da visualização dos logs em um Servidor syslog ou por meio do acesso ao dispositivo pelo Telnet, SSH ou através da porta de console. 3. Formato de mensagem do Syslog Os dispositivos da Cisco geram mensagens de syslog como resultado de eventos de rede. Todas as mensagens de syslog contêm um nível de gravidade e recurso. Os níveis numéricos menores correspondem aos alarmes de syslog mais importantes. O nível de gravidade das mensagens pode ser definido para controlar o local onde cada tipo de mensagem é exibido (isto é, na console ou em outros destinos). A lista completa de níveis de syslog é mostrada na figura 3. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 4 Figura 3 - Nível de Gravidade no Syslog Cada nível de syslog tem seu próprio significado: Nível de aviso - Nível de emergência - Essas mensagens são mensagens de erro sobre defeitos de software ou hardware; esses tipos de mensagens significam que a funcionalidade do dispositivo é afetada. A gravidade do problema determina o nível real de syslog aplicado. Nível de depuração - Esse nível indica que as mensagens consistem em saídas geradas pela emissão de vários comandos debug. Nível de notificação - O nível de notificações destina-se apenas à informação, a funcionalidade do dispositivo não é afetada. Mensagens de transições de ativação e desativação de interface e reinicialização do sistema são exibidas no nível de notificações. Além de especificar a gravidade, as mensagens de syslog também contêm informações sobre o recurso. Os recursos de syslog são identificadores de serviço que identificam e categorizam dados de estado do sistema para relatórios de mensagens de erros e eventos. As opções de recurso de registro disponíveis são específicas para o dispositivo de rede. Por exemplo, os switches Cisco série 2960 com Cisco IOS versão 15.0(2) e os roteadores Cisco 1941 com Cisco IOS versão 15.2(4) oferecem suporte a 24 opções de recursos, categorizadas em 12 tipos. Alguns recursos de mensagens de syslog comuns relatados nos roteadores Cisco IOS incluem: Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 5 IP Protocolo OSPF Sistema operacional SYS IP Security (IPsec) Interface IP (IF) Por padrão, este é o formato das mensagens de syslog no software Cisco IOS: seq no: timestamp: %principal-gravidade-MNEMONIC: descrição Os campos contidos na mensagem de syslog do software Cisco IOS são explicados na figura 4. Figura 4 - Formato de Mensagem do Syslog Por exemplo, em um switch Cisco, a saída que indica a alteração de estado de um link EtherChannel para ativado é: 00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up Aqui, o recurso principal é LINK e o nível de gravidade é 3, com um mnemônico de UPDOWN. As mensagens mais comuns são mensagens de estado active e inactive de link e as mensagens produzidas pelo dispositivo quando este sai do modo de configuração. Se o Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 6 registro de ACLestiver configurado, o dispositivo gerará mensagens de syslog quando os pacotes corresponderem a uma condição do parâmetro. 4. Carimbo de data e hora de serviço As mensagens de log podem receber carimbos de data e hora, e é possível definir o endereço origem delas. Isso aprimora o gerenciamento e depuração em tempo real. Quando o comando de modo de configuração global service timestamps log uptime é inserido, o tempo transcorrido desde a última inicialização do switch é exibido nos eventos registrados. Uma versão mais útil desse comando aplica a palavra- chave datetime no lugar da palavra-chave uptime; isso força cada evento registrado a exibir a data e a hora associadas a cada evento. Durante o uso da palavra-chave datetime, é necessário definir o relógio no dispositivo de rede. Isso pode ser feito de uma destas maneiras: Definição manual com o comando clock set Definição automática com o NTP (Network Time Protocol) Lembre-se de que o NTP é o protocolo usado para permitir que os dispositivos de rede sincronizem suas configurações de hora com um Servidor NTP. Para permitir que o relógio de software seja sincronizado por um Servidor de horário NTP, use o comando ntp server ip-address no modo de configuração global. Um exemplo de configuração é exibido na figura 5. R1 está configurado como um cliente NTP, enquanto o roteador R2 funciona como um Servidor NTP autoritativo. Um dispositivo de rede pode ser configurado como um Servidor NTP para permitir que outros dispositivos sincronizem sua hora, ou como um cliente NTP. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 7 Figura 5 - Configuração do NTP No restante deste capítulo, pressupõe-se que o relógio foi definido e que o comando service timestamps log datetime foi configurado em todos os dispositivos. 5. Servidor Syslog Para exibir as mensagens de syslog, é necessário instalar um Servidor syslog em uma estação de trabalho na rede. Há várias versões freeware e shareware de syslog, bem como versões corporativas para compra. Na figura 6, uma versão de avaliação do Kiwi Syslog Daemon é exibida em um computador Windows 7. Figura 6 - Tela Principal de um Servidor Syslog Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 8 O Servidor syslog oferece uma interface relativamente amigável ao usuário para a visualização da saída do syslog. O Servidor analisa a saída e coloca as mensagens em colunas predefinidas para facilitar a interpretação. Se os carimbos de data e hora estiverem configurados no dispositivo de rede que gera as mensagens de syslog, a data e a hora de cada mensagem será exibida na saída do Servidor syslog, conforme mostrado na figura 7. Figura 7 - Exibição de Mensagem em um Servidor Syslog Os administradores de rede podem facilmente navegar pela grande quantidade de dados compilada em um Servidor syslog. Uma vantagem de visualizar mensagens de syslog em um Servidor syslog é a capacidade de executar pesquisas detalhadas nos dados. Além disso, o administrador de rede pode excluir rapidamente do banco de dados as mensagens sem importância. 6. Registro padrão Por padrão, os roteadores e switches Cisco enviam mensagens de log para todos os níveis de gravidade para o console. Em algumas versões do IOS, o dispositivo também armazena as mensagens de log em buffers por padrão. Para ativar essas duas configurações, use os comandos de configuração global logging console e logging buffered, respectivamente. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 9 O comando show logging exibe as configurações de serviço de logging padrão em um roteador Cisco, conforme mostrado na figura 8. As primeiras linhas da saída listam informações sobre o processo de logging, enquanto as linhas finais mostram as mensagens de log. A primeira linha destacada informa que esse roteador faz registros no console e inclui mensagens de depuração (debug). Isso na verdade significa que todas as mensagens de nível de depuração, bem como as mensagens de nível inferior (como mensagens de nível de notificação), são registradas no console. A saída indica também que 32 dessas mensagens foram registradas. Figura 8 - Configurações de Serviços de Logging Padrão Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 10 A segunda linha destacada informa que esse roteador faz registros em um buffer interno. Como esse roteador ativou o registro em um buffer interno, o comando show logging lista também as mensagens nesse buffer. Você pode visualizar no fim da saída algumas das mensagens de sistema que foram registradas. 7. Comandos de roteador e switch para clientes de syslog São necessárias três etapas para que o roteador envie mensagens do sistema a um Servidor syslog, onde elas podem ser armazenadas, filtradas e analisadas: Etapa 1. Configure o nome do host destino ou o endereço IP do Servidor syslog no modo de configuração global: R1(config)# logging 192.168.1.3 Etapa 2. Controle as mensagens que serão enviadas ao Servidor syslog com o comando de modo de configuração global logging trap level. Por exemplo, para limitar as mensagens aos níveis 4 e inferiores (0 a 4), use um destes dois comandos equivalentes: R1(config)# logging trap 4 R1(config)# logging trap warning Etapa 3. Se desejar, configure a interface origem com o comando de modo de configuração global logging source-interface interface-type interface number. Ele especifica que os pacotes de syslog contêm o endereço IPv4 ou IPv6 de uma interface específica, independentemente da interface usada pelo pacote para sair do roteador. Por exemplo, para definir a interface origem como g0/0, use este comando: R1(config)# logging source-interface g0/0 Na figura 9, R1 é configurado para enviar mensagens de log de níveis 4 e inferiores para o Servidor syslog em 192.168.1.3. A interface origem é definida como G0/0. Uma interface de loopback é criada, desativada, e depois ativada novamente. A saída do console reflete essas ações. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 11 Mostrado na figura 10, o Servidor syslog Tftpd32 foi configurado em um computador Windows 7 com o endereço IP 192.168.1.3. Como você pode observar, as únicas mensagens que aparecem no Servidor syslog são aquelas com nível de gravidade 4 ou inferior (mais grave). As mensagens com nível de gravidade 5 ou superior (menos grave) aparecem na saída de console do roteador, mas não aparecem na saída do Servidor syslog, pois logging trap limita as mensagens de syslog enviadas a esse Servidor de acordo com a gravidade destas. Figura 9 - Configuração de Syslog Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks- Cisco Networking Academy 12 Figura 10 - Saída do Servidor Syslog 8 - Verificação de Syslog Use o comando show logging para exibir as mensagens registradas. Quando o buffer de registro for grande, será útil usar a opção de pipe (|) com o comando show logging. A opção de pipe permite que o administrador diga especificamente quais mensagens devem ser exibidas. Por exemplo, a emissão do comando show logging | include changed state to up, conforme mostrado na figura 11, assegura que somente as notificações de interface que afirmam que a interface teve “seu estado alterado” ("changed to state up") serão exibidas. A figura 12 mostra que a emissão do comando show logging | begin June 12 22:35 exibe o conteúdo do buffer de registro que ocorreu em 12 de junho ou depois dessa data. Instituto Federal do Sul de Minas - Campus Inconfidentes Curso Superior de Tecnologia em Redes de Computadores Gerenciamento de Redes Prof. Kleber Rezende - Apostila de Monitoramento de Logs Extraída de CCNA Connecting Networks - Cisco Networking Academy 13 Figura 11 - Verificação de Syslog - Parte 1 Figura 12 - Verificação de Syslog - Parte 2
Compartilhar