Erfassen und Überwachen von Syslog-Meldungen

Eine Syslog-Meldung ist eine Meldung in einem standardisierten Format, das das System Logging Protocol (syslog) verwendet, über das Netzwerkgeräte kommunizieren. Netzwerkgeräte wie Router, Switches, Firewalls und Server nutzen Syslog-Meldungen, um Informationen über ihren Status oder wichtige Ereignisse zu senden, daher sind sie äußerst wichtig für die Fehlerbehebung im Netzwerk.

Um die Vorteile von Syslog-Meldungen für Netzwerküberwachung und Fehlerbehebung nutzen zu können, ist ein guter Syslog-Server wichtig. Ein Syslog-Server kann Syslog-Meldungen von Syslog-fähigen Geräten zentralisieren und es Ihnen ermöglichen, auf die Meldungen zuzugreifen und sie zu durchsuchen oder zu filtern (und in der Regel noch vieles mehr). Hierzu müssen die Syslog-fähigen Geräte so konfiguriert werden, dass sie die Syslog-Meldungen an einen Syslog-Server senden.

Syslog-Meldungen werden vor allem von Netzwerkgeräten mit Linux- und Unix-Betriebssystemen verwendet. Standardmäßig werden Syslog-Meldungen über UDP (User Datagram Protocol) gesendet. Dies ist ein verbindungsloses Protokoll, sodass nicht garantiert werden kann, dass die Meldung tatsächlich ankommt. Einige Geräte können jedoch auch ein verbindungsbasiertes Protokoll – TCP (Transmission Control Protocol) – verwenden, das die erfolgreiche Meldungszustellung sicherstellt.

Syslog-Meldungen weisen drei Hauptbestandteile auf:

HEADER (Identifikationsinformationen) SD (strukturierte Daten) MSG (eigentliche Meldung)

Header: Der Header einer Syslog-Meldung enthält Identifikationsinformationen wie Version, Zeitstempel, Hostname, IP-Adresse des Geräts, Prozess-ID und Meldungspriorität (PRI). Bei der Priorität einer Syslog-Meldung handelt es sich um einen berechneten Wert, anhand dessen Syslog-Meldungen klassifiziert, die Wichtigkeit der Meldung bestimmt und bei Bedarf geeignete Maßnahmen zugewiesen werden können.

Strukturierte Daten: Dieser Bestandteil einer Syslog-Meldung stellt ein wohldefiniertes und leicht zu analysierendes Datenformat bereit. Da die eigentliche Meldung ein Freitextformat aufweist, kann es schwierig sein, ihr die relevanten Informationen zu entnehmen. Strukturierte Daten bieten eine Möglichkeit, zusätzliche nützliche Informationen über eine Syslog-Meldung (z. B. Leistungsindikatoren für Datenverkehr oder IP-Adressen) in einem Format bereitzustellen, das sich besser für die weitere Datenverarbeitung eignet.

Meldung: Dieser Bestandteil einer Syslog-Meldung enthält die eigentliche Meldung in einem Freitextformat und stellt Informationen zum Ereignis bereit. Normalerweise wird für Syslog-Meldungen ein UNICODE-Zeichensatz mit UTF-8-Codierung verwendet.

PRI: Die Priorität einer Syslog-Meldung wird als Kombination von zwei Variablen berechnet: Einrichtung und Schweregrad.

Der Einrichtungscode gibt den Typ des Systems an, das die Meldung generiert hat. Möglich sind numerische Werte zwischen 0 und 23 basierend auf 15 vordefinierten Werten und 8 Werten, die lokal definiert werden können.

Schweregrad: Diese Variable gibt die Wichtigkeit der eigentlichen Meldung an und kann einen numerischen Wert zwischen 0 und 7 haben (Meldungsstufen „Notfall“ bis „Debugging“).

Die Priorität einer Syslog-Meldung wird wie folgt berechnet:

Priorität = Einrichtung * 8 + Schweregrad

Eine Notfall-Kernel-Meldung hat beispielsweise den Prioritätswert 0. Je niedriger der Prioritätswert, desto größer die Wichtigkeit einer Meldung.

Ein guter Syslog-Server ermöglicht es Ihnen, Meldungen mit hoher Priorität zu identifizieren und angemessen auf die Situation zu reagieren, sei es durch Senden einer E-Mail-Benachrichtigung an einen Netzwerkadministrator oder durch Ausführen eines externen Skripts.

Es gibt acht Schweregrade zur Kategorisierung von Syslog-Meldungen. Im Folgenden finden Sie die Beschreibung der einzelnen Schweregrade gemäß RFC 5424, „The Syslog Protocol“:

Es ist unwahrscheinlich, dass Sie Notfallmeldungen erhalten, da diese normalerweise bedeuten, dass das System ausgefallen ist und keine Meldungen gesendet werden können. Debug-Meldungen werden hingegen in der Regel während der Entwicklung verwendet und haben normalerweise keinen Einfluss auf den Netzwerkbetrieb, daher erhalten Sie hierüber vermutlich auch keine Benachrichtigungen.

Wie bei der Priorität sollte es auch bei einem guten Syslog-Server möglich sein, Regeln einzurichten, um entsprechend dem Schweregrad auf Syslog-Meldungen zu reagieren.

Syslog-Meldungen werden normalerweise von Netzwerk- und Systemadministratoren herangezogen, um mögliche Probleme mit einem Netzwerkgerät frühzeitig erkennen und beheben zu können. Syslog-Meldungen liefern wichtige Informationen zum Status von Netzwerkgeräten und zu wichtigen Ereignissen, die sich negativ auf den Standardbetriebs eines Netzwerks auswirken können. Zusammen mit SNMP-Trapssind Syslog-Meldungen ein grundlegendes Kommunikationsmittel für Netzwerkgeräte wie Router, Switches, Firewalls und Server. In einem typischen Netzwerk werden jede Minute Tausende von Syslog-Meldungen und SNMP-Traps generiert. Ohne eine zentralisierte Lösung sind sie für die Netzwerküberwachung ungeeignet. Beide Meldungstypen können von einem Syslog-Server erfasst werden, der als Zentrale für alle von Netzwerkgeräten generierten Protokolle dient. Ein Syslog-Server ist ein einfaches Mittel, um auf Protokolle zuzugreifen, sie zu durchsuchen und zu filtern, und ein wesentlicher Bestandteil der Protokollverwaltung.