بررسی سرویس Syslog Server در لینوکس
Syslog Server
تجهیزات شبکه از پروتکل Syslog برای ارسال پیغام رخداد های خود به یک سرور گیرنده پیغام
که اصطلاحا Syslog Server نامیده می شود، استفاده می کنند.
این پروتکل توسط بسیاری از انواع تجهیزات شبکه مانند سوئیچ ها، روترها و فایروال ها پشتیبانی می شود.
تجهیزات شبکه می توانند به گونه ای تنظیم شوند تا رخداد های مختلفی را با ارسال پیغام Syslog اطلاع رسانی کنند.
برای مثال یک روتر ممکن است هر بار که یک کاربر به کنسول آن وارد شد پیغام syslog ارسال کند،
و یک وب سرور زمانی که رخداد access-denied روی داد، پیغام Syslog ارسال کند.
بیشتر تجهیزات شبکه مانند سوئیچ ها و روتر ها می توانند پیغام Syslog ارسال کنند،
علاوه بر اینها، همه سیستم عامل های مبتنی بر Unix و همه انواع سیستم عامل های Linux
از Syslog به عنوان روش اصلی مدیریت لاگ استفاده می کنند.
بسیاری از برنامه های کاربردی و سرویس ها مانندOracle وApache نیز از این پروتکل پشتیبانی می کنند،
پس اگر در شبکه شما هر یک از موارد فوق وجود دارد، به کارگیری یک نرم افزار پیشرفته مانیتورینگ لاگ یک امر حیاتی است.
اجزاء یک Syslog Server پیشرفته
استفاده از Syslog روشی مناسب برای جمع آوری و متمرکز سازی لاگ ها از همه تجهیزات شبکه است،
به طور معمول همه سرورهای Syslog دارای چند جزء اصلی هستند :
Syslog Listener : یک Syslog Server باید بتواند پیغام های سیس لاگ را از طریق شبکه دریافت کند،
بنابراین در این سیستم ها یک پروسه همیشه برای دریافت پیغام های سیس لاگ گوش فرا می دهد.
پیغام های Syslog به طور پیش فرض بر روی پورت 514 و پروتکل UDP ارسال می شوند،
پس از آنجایی که از پروتکل UDPاستفاده می شود، گارانتی برای تحویل پیغام به مقصد وجود ندارد.
به همین دلیل هم برخی از تجهیزات از پروتکل TCP و پورت 1468 برای اطمینان از دریافت پیغام های Syslog استفاده می کنند.
A Database : در شبکه های بزرگ حجم زیادی از لاگ تولید می شود،
لذا نرم افزار های Syslog Server پیشرفته از یک پایگاه داده متمرکز
برای نگهداری لاگ ها و دسترسی سریع به لاگ های ذخیره شده استفاده می کنند.
Management and Filtering Mechanism : به دلیل اینکه در بیشتر مواقع حجم لاگ های دریافتی در یک شبکه زیاد است،
جستجو و یافتن یک لاگ بخصوص ممکن است بسیار طاقت فرسا باشد.
بنابراین نرم افزار های پیشرفته مانیتورینگ لاگ امکانات مفیدی را در اختیار شما قرار می دهند
تا در کوتاه ترین زمان به اطلاعات مورد نظر خود دسترسی پیدا کنید.
Alerting Module : یک Syslog Server خوب دارای امکاناتی برای ارسال اخطار به مسئولان شبکه است،
تا طبق تنظیمات انجام شده، در صورت دریافت پیغام های با اهمیت با ارسال اخطار افراد مسئول را از موضوع باخبر سازد.
آشنایی با ساختار پیغام های Syslog
سایز هر پیغام Syslog می تواند حداکثر 1024 بایت باشد، و دارای اطلاعات زیر است :
- Facility
- Severity
- Hostname
- Timestamp
- Message
داشتن درک مناسبی از هر یک از این پارامتر ها شما را در راه اندازی و استفاده از نرم افزارهای مانیتورینگ Syslog کمک می کند،
در ادامه هر یک از این پارامتر ها را معرفی می کنیم :
Facility
یکی از پارامتر های پیغام Syslog به نام Facility، تعیین می کند
که لاگ توسط چه نوع سرویس یا نرم افزاری ایجاد شده است.
برای مثال بیشتر تجهیزات Cisco از مقدار Local7 استفاده می کنند.
به صورت استاندارد مقدار Facility می تواند یکی از موارد جدول زیر باشد :
Severity
این پارامتر شدت یا به عبارتی اهمیت پیغام Syslog را نشان می دهد،
به طور استاندارد مقدار Severity می تواند یکی از موارد جدول زیر باشد :
برای درک بهتر هر یک از موارد به توضیحات ستون آخر دقت کنید.
برای مثال در خصوص تجهیزات Cisco به طور کلی از Severityها به روش ذیل استفاده می شود :
از سطح Emergency تا سطح Warning برای ارسال پیغام های مربوط به موضوعات سخت افزاری و نرم افزاری استفاده می شود،
برای اطلاع رسانی هنگام Restart شدن دستگاه و یا تغییر وضعیت اینترفیس ها (up/down) از سطح Noticeاستفاده می شود،
رویداد Reload با سطح Informational ارسال می شود، و خروجی دستورات debug با سطح debug ارسال می شود.
Hostname
نام و یا آدرس IP سیستم ارسال کننده پیغام Syslog
Timestamp
زمان ایجاد پیغام Syslog
Message
متن پیغام Syslog که معمولا توضیحاتی در خصوص رخداد مربوطه ارائه می کند.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.