Wat is een Syslog-server en hoe werkt deze?

Syslog (System Logging Protocol) is een manier waarop netwerkapparaten een standaardberichtindeling kunnen gebruiken om te communiceren met een logserver. Het is speciaal ontworpen om het gemakkelijk te maken om netwerkapparaten te controleren. Apparaten kunnen een Syslog-agent gebruiken om meldingen te verzenden berichten onder een breed scala aan specifieke omstandigheden.

Deze logboekberichten bevatten een tijdstempel, een prioriteitsniveau, een apparaat-id (inclusief IP-adres) en informatie die specifiek is voor de gebeurtenis. Hoewel het tekortkomingen heeft, wordt het Syslog-protocol op grote schaal toegepast omdat het eenvoudig te implementeren is en redelijk is open-ended, waardoor veel verschillende eigen implementaties mogelijk zijn, en dus de mogelijkheid om bijna elk aangesloten apparaat te bewaken.

Syslog werkt op alle smaken van Unix, Linux en andere *nix, evenals MacOS. Windows-servers ondersteunen Syslog niet native, maar er zijn veel hulpprogramma's van derden beschikbaar waarmee Windows-apparaten kunnen communiceren met een Syslog-server.

Opmerking: de term "Syslog" kan op verschillende manieren verwijzen naar het eigenlijke serverproces of "daemon" (de Syslog-daemon wordt syslogd genoemd wanneer iemand nauwkeurig is), het berichtformaat en het protocol. Dit gebeurt met veelgebruikte systemen die al een tijdje bestaan en meerdere toepassingen hebben. 

De noodzaak van Syslog

Een groot voordeel van syslog is dat de log server een groot aantal syslog events kan monitoren via logbestanden. Routers, switches, firewalls en servers kunnen log berichten  genereren, evenals veel printers en andere apparaten.

De syslog-server ontvangt, categoriseert en slaat logs op voor analyse, waardoor een uitgebreid overzicht wordt behouden van wat er overal op het netwerk gebeurt. Zonder deze weergave kunnen apparaten onverwacht defect raken en kunnen storingen moeilijk te traceren zijn. 

Syslog-berichten

Syslog-berichten worden verzonden via UDP (User Datagram Protocol), poort 514. UDP is wat een verbindingsloos protocol wordt genoemd, dus berichten worden niet bevestigd of komen gegarandeerd aan. Dit kan een nadeel zijn, maar laat het systeem ook eenvoudig en gemakkelijk te beheren.

Syslog-berichten hebben vaak een voor mensen leesbaar formaat, maar hoeven dat niet te zijn. In de koptekst heeft elk bericht een prioriteitsniveau, een combinatie van een code voor het proces van het apparaat dat het bericht maakt en de ernst (severity level). Het proces codes, genaamd "faciliteiten", zijn afgeleid van UNIX. Ernstniveaus variëren van 0 voor noodgevallen en 1 voor onmiddellijke aandacht die nodig is, tot 6 voor informatieve en 7 voor foutopsporingsberichten.

Samen zorgen deze twee codes voor een snelle classificatie van Syslog-berichten.  

Gegevens verzamelen en beheren

Vanwege de grote hoeveelheid Syslog-gegevens die het gevolg zijn van het bewaren van al deze berichten, heeft een Syslog-server een grote database nodig.

Het heeft ook beheer- en filtersoftware nodig waarmee de server automatisch waarschuwingen, alert en meldingen kan genereren. Met de filter kan een systeembeheerder eenvoudig bestanden oproepen van een bepaalde bron, zoals een firewall, voor een opgegeven tijdsperiode.

Pop-ups op het scherm of externe sms-berichten kunnen een sysadmin op de hoogte houden van eventuele afwijkingen van de normale werking. Als er enige bezorgdheid is over een bepaald apparaat, kunnen drempels lager worden ingesteld om berichten met een lagere prioriteit nauwlettender te volgen.

De Syslog-gegevens kunnen op verschillende andere manieren worden gebruikt, bijvoorbeeld voor gedetailleerde rapportage en het genereren van diagrammen om de structuur van het netwerk te verduidelijken.

SIEM-software (Security Information and Event Management) biedt een manier om de enorme hoeveelheid log data die Syslog verzamelt bij te houden, te integreren en te analyseren. Oorspronkelijk gericht op compliance rapportage, wordt SIEM nu op grotere schaal gebruikt en kan het een nuttige aanvulling zijn naar syslog.  

Hoe Syslog verschilt van SNMP

Simple Network Management Protocol (SNMP) is een ander protocol voor het monitoren van netwerkapparaten. SNMP werkt anders en krijgt de meeste informatie door polling-apparaten. Syslog-servers kunnen vaak SNMP-gegevens accepteren, met name SNMP-traps, dat wil zeggen dat SNMP-apparaten verzenden zonder te worden gepolst.

SNMP is het beste voor beperkte situaties met voorspelbare omstandigheden, terwijl Syslog zowel breder van schaal als minder beperkt in formaat is en veel verschillende soorten gebeurtenissen omvat.

Verschillende smaken van Syslog

Naast Syslog zijn er rsyslog en syslog-ng. Syslog is het originele recept, daterend uit de vroege jaren 1980, terwijl de andere twee enigszins verschillende smaken zijn die sindsdien zijn uitgekomen.

Syslog-ng werd gestart in 1988 en voegt een aantal nieuwe filter- en coderingsfuncties toe.

De syntaxis is niet rechtstreeks afgeleid van syslog en dus zijn een syslog-ng-server en syslog-ng-configuratie enigszins verschillend. U kunt meer te weten komen over hoe om syslog-ng hier te installeren.

 

Rsyslog dateert uit 2004 en is rechtstreeks afgeleid van Syslog, dus het kan gemakkelijk worden gebruikt als vervanging ervan, omdat een syslog.conf-bestand kan worden gebruikt in plaats van rsyslog.conf . Net als syslog-ng heeft het ook een  verbeterd vermogen om te parseren ongestructureerde gegevens en data te verzenden naar verschillende bestemmingen.

Zowel syslog-ng als rsyslog kunnen naast UDP ook TCP, TLS en RELP gebruiken.

 

 

Tags

Comments
Comments are disabled in preview mode.