Was ist ein Syslog Server und wie funktioniert er?

System Logging Protocol (Syslog) ist eine Möglichkeit, wie Netzwerkgeräte ein Standardnachrichtenformat verwenden können, um mit einem Protokollierungsserver zu kommunizieren. Es wurde speziell entwickelt, um die Überwachung von Netzwerkgeräten zu vereinfachen. Geräte können einen Syslog-Agenten verwenden, um Benachrichtigungen zu senden Nachrichten unter einer Vielzahl spezifischer Bedingungen.

Zu diesen Protokollmeldungen gehören ein Zeitstempel, eine Schweregradbewertung, eine Geräte-ID (einschließlich IP-Adresse) und ereignisspezifische Informationen. Obwohl es Mängel aufweist, wird das Syslog-Protokoll weit verbreitet, da es einfach zu implementieren ist und open-ended, was viele verschiedene proprietäre Implementierungen und damit die Möglichkeit, fast jedes angeschlossene Gerät zu überwachen.

Syslog funktioniert auf allen Varianten von Unix, Linux und anderen *nix, sowie MacOS. Windows-basierte Server unterstützen Syslog nicht nativ, aber viele Tools von Drittanbietern stehen zur Verfügung, damit Windows-Geräte mit einem Syslog-Server kommunizieren können.

Hinweis: Der Begriff "Syslog" kann sich unterschiedlich auf den eigentlichen Serverprozess oder "Daemon" beziehen (der Syslog-Daemon wird syslogd genannt, wenn jemand genau ist), das Nachrichtenformat und das Protokoll. Dies geschieht bei weit verbreiteten Systemen die schon eine Weile da sind und mehrere Verwendungen haben.

Die Notwendigkeit der Protokollierung

Ein großer Vorteil von syslog ist, dass der Protokollserver eine große Anzahl von Syslog-Ereignissen über Protokolldateien überwachen kann. Router, Switches, Firewalls und Server können Protokollnachrichten sowie viele Drucker und andere Geräte generieren.

Der syslog-Server empfängt, kategorisiert und speichert Protokollnachrichten zur Analyse, wobei er eine umfassende Ansicht dessen aufrechterhält, was überall im Netzwerk vor sich geht. Ohne diese Ansicht können Geräte unerwartet fehlweisen, und Ausfälle können schwer nachzuvollziehen sein.

Syslog-Nachrichten

Syslog-Nachrichten werden über User Datagram Protocol (UDP), Port 514, gesendet. UDP ist ein so genanntes verbindungsloses Protokoll, sodass Nachrichten nicht bestätigt oder garantiert ankommen. Dies kann ein Nachteil sein, lässt aber auch das System einfach und einfach zu verwalten.

Syslog-Nachrichten sind oft in einem für DenDap lesbaren Format, müssen es aber nicht sein. In der Kopfzeile hat jede Nachricht eine Prioritätsstufe, die eine Kombination aus einem Code für den Prozess des Geräts, das die Nachricht erstellt, und einem Schweregrad darstellt. Die Prozesscodes, "Einrichtungen" genannt werden, werden von UNIX abgeleitet. Die Schweregrade reichen von 0 für Notfall und 1 für sofortige Aufmerksamkeit erforderlich, bis zu 6 für Information al- und 7 für Debug-Nachrichten.

Zusammen ermöglichen diese beiden Codes eine schnelle Klassifizierung von Syslog-Nachrichten.

Sammeln und Verwalten von Daten

Aufgrund der großen Menge an Syslog-Daten, die sich aus der Aufbewahrung all dieser Nachrichten ergibt, benötigt ein Syslog-Server eine große Datenbank.

Darüber hinaus benötigt es Verwaltungs- und Filtersoftware, mit der der Server automatisch Warnungen, Alarme und Benachrichtigungen generieren kann. Durch die Filterung kann ein Sysadmin Dateien aus einer bestimmten Quelle, z. B. einer Firewall, für eine bestimmte Zeit einfach aufrufen. Zeitraum.

Popups auf dem Bildschirm oder Remote-Textnachrichten können einen Sysadmin über jede Abweichung von der normalen Funktion aufbewahren. Wenn bedenken sollte, dass ein bestimmtes Gerät befürchtet wird, können Schwellenwerte niedriger festgelegt werden, um Nachrichten mit geringerem Schweregrad genauer zu überwachen.

Die Syslog-Daten können auf verschiedene andere Arten verwendet werden, z.B. für detaillierte Sanfangerstellung, sowie die Erstellung von Diagrammen, um die Struktur des Netzwerks zu klären.

Die SieM-Software (Security Information and Event Management) bietet eine Möglichkeit, die große Menge an Protokolldaten, die Syslog sammelt, nachzuverfolgen, zu integrieren und zu analysieren. Ursprünglich auf Compliance-Reporting ausgerichtet, ist SIEM heute breiter verbreitet und kann eine nützliche zu Syslog.

Wie unterscheidet sich Syslog von SNMP

Simple Network Management Protocol (SNMP) ist ein weiteres Protokoll für die Überwachung von Netzwerkgeräten. SNMP funktioniert anders und erhält die meisten Informationen durch Abrufgeräte. Syslog-Server können häufig SNMP-Daten akzeptieren, insbesondere SNMP-Traps, d. d. a. SNMP-fähige Geräte senden, ohne abgefragt zu werden.

SNMP eignet sich am besten für eingeschränkte Situationen mit vorhersagbaren Bedingungen, während Syslog sowohl maßstabsgetreuer als auch weniger eingeschränkt ist und viele verschiedene Arten von Ereignissen abdeckt.

Unterschiedliche Varianen von Syslog

Neben Syslog gibt es rsyslog und syslog-ng. Syslog ist das ursprüngliche Rezept, das aus den frühen 1980er Jahren stammt, während die anderen beiden leicht unterschiedliche Aromen sind, die seitdem herausgekommen sind.

Syslog-ng wurde 1988 begonnen und fügt einige neue Filter- und Verschlüsselungsfunktionen hinzu. Seine Syntax ist nicht direkt von syslog abgeleitet und so sind ein syslog-ng-Server und eine syslog-ng-Konfiguration etwas anders. Weitere Informationen zur Installation von syslog-ng hier.

Rsyslog stammt aus dem Jahr 2004 und wird direkt von Syslog abgeleitet, so dass es leicht als Ersatz dafür verwendet werden kann, da eine datei syslog.conf anstelle von rsyslog.conf verwendet werden kann. Ähnlich wie syslog-ng hat es auch die Fähigkeit verbessert, unstrukturierte Daten und versenden Sie sie an verschiedene Ziele.

Sowohl syslog-ng als auch rsyslog können neben UDP auch TCP, TLS und RELP verwenden.

Tags

Blog-Abonnement

Erhalten Sie einmal im Monat eine E-Mail mit unseren neuesten Blog-Beiträgen.

<p class='-pt2 -m0'>Thanks for subscribing!</p> Loading animation

Kommentare
Comments are disabled in preview mode.