Erfassen und Überwachen von Syslog-Meldungen
Syslog-Meldungen zentralisieren
Warnungen in Quasi-Echtzeit verhindern Ausfallzeiten
Mit Regeln und Aktionen auf Syslog-Meldungen reagieren
Syslog-Meldungen zur Erfüllung von Auditanforderungen archivieren
Syslog-Meldungsformate bedarfsgerecht anpassen
Was ist eine Syslog-Meldung?
Eine Syslog-Meldung ist eine Meldung in einem standardisierten Format, das das System Logging Protocol (syslog) verwendet, über das Netzwerkgeräte kommunizieren. Netzwerkgeräte wie Router, Switches, Firewalls und Server nutzen Syslog-Meldungen, um Informationen über ihren Status oder wichtige Ereignisse zu senden, daher sind sie äußerst wichtig für die Fehlerbehebung im Netzwerk.
Um die Vorteile von Syslog-Meldungen für Netzwerküberwachung und Fehlerbehebung nutzen zu können, ist ein guter Syslog-Server wichtig. Ein Syslog-Server kann Syslog-Meldungen von Syslog-fähigen Geräten zentralisieren und es Ihnen ermöglichen, auf die Meldungen zuzugreifen und sie zu durchsuchen oder zu filtern (und in der Regel noch vieles mehr). Hierzu müssen die Syslog-fähigen Geräte so konfiguriert werden, dass sie die Syslog-Meldungen an einen Syslog-Server senden.
Syslog-Meldungen werden vor allem von Netzwerkgeräten mit Linux- und Unix-Betriebssystemen verwendet. Standardmäßig werden Syslog-Meldungen über UDP (User Datagram Protocol) gesendet. Dies ist ein verbindungsloses Protokoll, sodass nicht garantiert werden kann, dass die Meldung tatsächlich ankommt. Einige Geräte können jedoch auch ein verbindungsbasiertes Protokoll – TCP (Transmission Control Protocol) – verwenden, das die erfolgreiche Meldungszustellung sicherstellt.
Aus welchen Bestandteilen setzt sich eine Syslog-Meldung zusammen?
Syslog-Meldungen weisen drei Hauptbestandteile auf:
HEADER (Identifikationsinformationen) SD (strukturierte Daten) MSG (eigentliche Meldung)
Header: Der Header einer Syslog-Meldung enthält Identifikationsinformationen wie Version, Zeitstempel, Hostname, IP-Adresse des Geräts, Prozess-ID und Meldungspriorität (PRI). Bei der Priorität einer Syslog-Meldung handelt es sich um einen berechneten Wert, anhand dessen Syslog-Meldungen klassifiziert, die Wichtigkeit der Meldung bestimmt und bei Bedarf geeignete Maßnahmen zugewiesen werden können.
Strukturierte Daten: Dieser Bestandteil einer Syslog-Meldung stellt ein wohldefiniertes und leicht zu analysierendes Datenformat bereit. Da die eigentliche Meldung ein Freitextformat aufweist, kann es schwierig sein, ihr die relevanten Informationen zu entnehmen. Strukturierte Daten bieten eine Möglichkeit, zusätzliche nützliche Informationen über eine Syslog-Meldung (z. B. Leistungsindikatoren für Datenverkehr oder IP-Adressen) in einem Format bereitzustellen, das sich besser für die weitere Datenverarbeitung eignet.
Meldung: Dieser Bestandteil einer Syslog-Meldung enthält die eigentliche Meldung in einem Freitextformat und stellt Informationen zum Ereignis bereit. Normalerweise wird für Syslog-Meldungen ein UNICODE-Zeichensatz mit UTF-8-Codierung verwendet.
Wie wird der PRI-Wert zur Angabe der Priorität einer Syslog-Meldung berechnet?
PRI: Die Priorität einer Syslog-Meldung wird als Kombination von zwei Variablen berechnet: Einrichtung und Schweregrad.
Der Einrichtungscode gibt den Typ des Systems an, das die Meldung generiert hat. Möglich sind numerische Werte zwischen 0 und 23 basierend auf 15 vordefinierten Werten und 8 Werten, die lokal definiert werden können.
Nummer
Einrichtungsbeschreibung
0
Kernel-Meldungen
1
Meldungen auf Benutzerebene
2
Mailsystem
3
System-Daemons
4
Sicherheits-/Autorisierungsmeldungen
5
Von syslogd generierte Meldungen
6
Zeilendrucker-Untersystem
7
Network News-Untersystem
8
UUCP-Untersystem
9
Takt-Daemon
10
Sicherheits-/Autorisierungsmeldungen
11
FTP-Daemon
12
NTP-Untersystem
13
Protokollaudit
14
Protokollwarnung
15
Takt-Daemon
16 - 23
Lokal verwendet
Schweregrad: Diese Variable gibt die Wichtigkeit der eigentlichen Meldung an und kann einen numerischen Wert zwischen 0 und 7 haben (Meldungsstufen „Notfall“ bis „Debugging“).
Die Priorität einer Syslog-Meldung wird wie folgt berechnet:
Priorität = Einrichtung * 8 + Schweregrad
Eine Notfall-Kernel-Meldung hat beispielsweise den Prioritätswert 0. Je niedriger der Prioritätswert, desto größer die Wichtigkeit einer Meldung.
Ein guter Syslog-Server ermöglicht es Ihnen, Meldungen mit hoher Priorität zu identifizieren und angemessen auf die Situation zu reagieren, sei es durch Senden einer E-Mail-Benachrichtigung an einen Netzwerkadministrator oder durch Ausführen eines externen Skripts.
Welche Schweregrade von Syslog-Meldungen gibt es?
Es gibt acht Schweregrade zur Kategorisierung von Syslog-Meldungen. Im Folgenden finden Sie die Beschreibung der einzelnen Schweregrade gemäß RFC 5424, „The Syslog Protocol“:
Numerischer Code Schweregrad 0 Notfall: System kann nicht verwendet werden 1 Alarm: sofortiger Handlungsbedarf 2 Kritisch: kritische Bedingungen 3 Fehler: Fehlerbedingungen 4 Warnung: Warnungsbedingungen 5 Hinweis: normale, aber bedeutsame Bedingung 6 Information: Informationsmeldungen 7 Debugging: Debug-Meldungen Es ist unwahrscheinlich, dass Sie Notfallmeldungen erhalten, da diese normalerweise bedeuten, dass das System ausgefallen ist und keine Meldungen gesendet werden können. Debug-Meldungen werden hingegen in der Regel während der Entwicklung verwendet und haben normalerweise keinen Einfluss auf den Netzwerkbetrieb, daher erhalten Sie hierüber vermutlich auch keine Benachrichtigungen.
Wie bei der Priorität sollte es auch bei einem guten Syslog-Server möglich sein, Regeln einzurichten, um entsprechend dem Schweregrad auf Syslog-Meldungen zu reagieren.
Wofür werden Syslog-Meldungen eingesetzt?
Syslog-Meldungen werden normalerweise von Netzwerk- und Systemadministratoren herangezogen, um mögliche Probleme mit einem Netzwerkgerät frühzeitig erkennen und beheben zu können. Syslog-Meldungen liefern wichtige Informationen zum Status von Netzwerkgeräten und zu wichtigen Ereignissen, die sich negativ auf den Standardbetriebs eines Netzwerks auswirken können. Zusammen mit SNMP-Trapssind Syslog-Meldungen ein grundlegendes Kommunikationsmittel für Netzwerkgeräte wie Router, Switches, Firewalls und Server. In einem typischen Netzwerk werden jede Minute Tausende von Syslog-Meldungen und SNMP-Traps generiert. Ohne eine zentralisierte Lösung sind sie für die Netzwerküberwachung ungeeignet. Beide Meldungstypen können von einem Syslog-Server erfasst werden, der als Zentrale für alle von Netzwerkgeräten generierten Protokolle dient. Ein Syslog-Server ist ein einfaches Mittel, um auf Protokolle zuzugreifen, sie zu durchsuchen und zu filtern, und ein wesentlicher Bestandteil der Protokollverwaltung.
- Was ist eine Syslog-Meldung?
- Aus welchen Bestandteilen setzt sich eine Syslog-Meldung zusammen?
- Wie wird der PRI-Wert zur Angabe der Priorität einer Syslog-Meldung berechnet?
- Welche Schweregrade von Syslog-Meldungen gibt es?
- Wofür werden Syslog-Meldungen eingesetzt?
Was ist eine Syslog-Meldung?
Eine Syslog-Meldung ist eine Meldung in einem standardisierten Format, das das System Logging Protocol (syslog) verwendet, über das Netzwerkgeräte kommunizieren. Netzwerkgeräte wie Router, Switches, Firewalls und Server nutzen Syslog-Meldungen, um Informationen über ihren Status oder wichtige Ereignisse zu senden, daher sind sie äußerst wichtig für die Fehlerbehebung im Netzwerk.
Um die Vorteile von Syslog-Meldungen für Netzwerküberwachung und Fehlerbehebung nutzen zu können, ist ein guter Syslog-Server wichtig. Ein Syslog-Server kann Syslog-Meldungen von Syslog-fähigen Geräten zentralisieren und es Ihnen ermöglichen, auf die Meldungen zuzugreifen und sie zu durchsuchen oder zu filtern (und in der Regel noch vieles mehr). Hierzu müssen die Syslog-fähigen Geräte so konfiguriert werden, dass sie die Syslog-Meldungen an einen Syslog-Server senden.
Syslog-Meldungen werden vor allem von Netzwerkgeräten mit Linux- und Unix-Betriebssystemen verwendet. Standardmäßig werden Syslog-Meldungen über UDP (User Datagram Protocol) gesendet. Dies ist ein verbindungsloses Protokoll, sodass nicht garantiert werden kann, dass die Meldung tatsächlich ankommt. Einige Geräte können jedoch auch ein verbindungsbasiertes Protokoll – TCP (Transmission Control Protocol) – verwenden, das die erfolgreiche Meldungszustellung sicherstellt.
Mit der Kiwi Syslog Server-Software können wir Fehler sehr viel schneller als früher erkennen, untersuchen und beheben.
Anwendungstechniker
Großes Medien- und Unterhaltungsunternehmen
Zentralisierte und vereinfachte Protokollerfassung und ‑archivierung
Kiwi Syslog Server NG
Stets gut informiert über die IT-Umgebung sein und die Sicherheit verbessern
Protokolle zur Unterstützung der Compliance speichern und archivieren
Zeit sparen durch automatische Archivierung von Protokollen
Nur 359 $ für eine unbegrenzte Anzahl an Geräten
Keine monatlichen Gebühren