Tìm hiểu về giao thức Syslog (Syslog là gì, Cổng mặc định, Mục đích sử dụng)

Trong bài viết này, chúng ta sẽ thảo luận và kiểm tra Giao thức Syslog chạy trên cổng UDP mặc định 514 (hoặc cổng TCP an toàn 6514), đồng thời mô tả các đặc điểm và tính hữu dụng của Syslog trong mạng.

​

Tất cả các hệ thống máy tính và thiết bị mạng tạo ra một bản ghi lịch sử (history) của các sự kiện diễn ra trên thiết bị. Bản ghi các sự kiện này được gọi là tệp nhật ký và thường được lưu dưới dạng tệp văn bản trong bộ nhớ thiết bị hoặc chỉ được lưu trữ tạm thời bên trong RAM của thiết bị.

Tệp nhật ký hữu ích cho Quản trị viên khi khắc phục sự cố với thiết bị vì họ có thể xem tất cả các sự kiện đã diễn ra tại một thời điểm và ngày nhất định.

Nếu Quản trị viên quản lý một mạng rất lớn với hàng trăm thiết bị, thì việc khắc phục sự cố này có thể trở nên rất khó khăn, đặc biệt nếu không biết thiết bị nào đã gây ra sự cố hoặc nếu nhiều thiết bị đang gặp sự cố.

Trong trường hợp này, tệp nhật ký trên mỗi thiết bị sẽ cần được kiểm tra riêng lẻ và một số tệp nhật ký có thể chứa hàng nghìn dòng đầu ra.

Giao thức nhật ký hệ thống được sử dụng để chuyển các thông báo nhật ký này từ các thiết bị đến một máy chủ trung tâm (máy chủ nhật ký hệ thống) để có thể lưu trữ chúng trong thời gian dài và phân tích chúng một cách hiệu quả.

Cổng giao thức nhật ký hệ thống mặc định (default syslog protocol port) là gì? (UDP 514)

Theo mặc định, giao thức nhật ký hệ thống hoạt động trên cổng UDP 514. Nếu bạn cần chuyển các gói nhật ký hệ thống qua tường lửa, bạn cần cho phép truy cập tại UDP 514.

Cổng nhật ký hệ thống an toàn (secure syslog port) là gì? (TCP 6514)

Nếu bạn gửi nhật ký hệ thống qua cổng UDP mặc định, thì tin nhắn sẽ không được mã hóa và có thể bị chặn và đánh cắp qua mạng. Nếu bạn muốn truyền thông báo nhật ký an toàn, thì Syslog phải hoạt động trên TCP 6514 với xác thực dựa trên chứng chỉ TLS an toàn (RFC 5425).

Máy chủ nhật ký hệ thống(syslog server) được sử dụng để làm gì?

Máy chủ Syslog là một ứng dụng chạy trên máy tính thu thập và sắp xếp tất cả các tệp nhật ký được gửi từ các thiết bị khác nhau trên mạng.

​

Khi một sự kiện diễn ra trên một thiết bị, thiết bị này sẽ ghi sự kiện đó vào tệp nhật ký của chính nó và sau đó nó sẽ gửi một bản sao của sự kiện đến máy chủ nhật ký hệ thống bằng cách sử dụng giao thức nhật ký hệ thống như đã thảo luận ở trên.

Giao thức nhật ký hệ thống là phương thức được sử dụng để xử lý, đóng gói và vận chuyển nhật ký sự kiện đến máy chủ nhật ký hệ thống trung tâm.

Trên máy chủ Syslog, Quản trị viên có thể xem tất cả các nhật ký được đối chiếu từ mọi thiết bị trên mạng của họ ở một nơi và một cách có tổ chức.

Tùy thuộc vào các tính năng của chương trình nhật ký hệ thống đã cài đặt, họ có thể thao tác thông tin này để dễ hiểu hơn bằng cách lọc thông tin theo ngày, theo loại thiết bị hoặc bằng cách tìm kiếm các từ khóa nhất định. Nhật ký cũng có thể được mã hóa màu theo mức độ nghiêm trọng hoặc loại thiết bị.

Syslog là giao thức TCP hay UDP?

Giao thức nhật ký hệ thống được định nghĩa trong RFC 5424 và được sử dụng để truyền thông báo từ các thiết bị đến bộ thu thập nhật ký hệ thống qua mạng IP.

Giao thức sử dụng giao thức truyền tải không kết nối UDP theo mặc định qua cổng 514. Số cổng thay thế và TLS có thể được sử dụng thay thế cho UDP, tuy nhiên, chúng tôi khuyên bạn nên sử dụng cổng mặc định qua UDP vì giao thức này ít tiêu tốn tài nguyên mạng hơn.

Nếu vấn đề bảo mật là mối quan tâm, thì nhật ký hệ thống an toàn có thể được thực hiện. Nhật ký hệ thống bảo mật sử dụng SSL / TLS để mã hóa các gói IP bằng chứng chỉ trước khi chúng được gửi qua mạng IP tới bộ thu thập nhật ký hệ thống. Nhật ký hệ thống bảo mật sử dụng TCP qua cổng 6514.

Định dạng thông báo nhật ký

Một thông báo nhật ký hệ thống bao gồm ba phần. Phần đầu tiên là HEADER, phần thứ hai được gọi là Dữ liệu có cấu trúc (SD), và phần thứ ba là thông điệp (MSG).

Bên trong Header, chúng ta có trường PRI chứa một mã số cho biết mức độ nghiêm trọng của thông báo. Có 8 mức độ nghiêm trọng từ 0 đến 7.

• 0 – Emergency: system is unusable
• 1 – Alert: action must be taken immediately
• 2 – Critical: critical conditions
• 3 – Error: error conditions
• 4 – Warning: warning conditions
• 5 – Notice: normal but significant condition
• 6 – Informational: informational messages
• 7 – Debug: debug-level messages

HEADER được tạo thành từ các trường sau:

• PRI – Priority value (severity)
• Version – The version of syslog protocol
• Timestamp – The time the event was recorded
• Hostname – The Hostname, Ip Address, FQDN of the device which is sending the log
• Application – Identifies the device or Application where the message originated
• Process id – Used by some log collectors to identify anomalies
• Message id – Identifies the type of message.

Trường MESSAGE chứa đầu ra văn bản Unicode tiêu chuẩn nêu chi tiết sự kiện đã diễn ra.

Có một số máy chủ nhật ký hệ thống được cung cấp miễn phí như máy chủ nhật ký hệ thống Kiwi, PRTG hoặc chương trình TFTPD32 cũng chứa một máy chủ nhật ký hệ thống cơ bản.

Các máy chủ Syslog nâng cao hơn thường được tìm thấy đi kèm với các Ứng dụng Quản lý Mạng như Cisco Prime Infrastructure hoặc SolarWinds.

Cách cấu hình nhật ký hệ thống(configure syslog) trên thiết bị Cisco

Để cho phép bộ chuyển mạch hoặc bộ định tuyến của Cisco gửi nhật ký của nó đến máy chủ nhật ký hệ thống trung tâm, cần hoàn thành cấu hình sau trên bộ chuyển mạch:

#enable
#configure terminal
#logging buffered 8192
#logging host <IP Address of syslog server>

Lưu ý: Số 8192 cho biết có bao nhiêu byte để dự trữ trong bộ nhớ cho các thông báo nhật ký.

Để giới hạn mức độ ghi nhật ký được gửi, mức độ nghiêm trọng của thông báo nhật ký cần được định cấu hình.

#logging traps 5
#end

Nhật ký hệ thống cấp 7 là gì?

Mức độ nghiêm trọng 7 sẽ khiến bộ chuyển mạch gửi các thông báo gỡ lỗi và thông báo từ tất cả các cấp trước đó 0 - 6.

Bạn chỉ nên sử dụng cấp độ ghi nhật ký là 7 khi khắc phục sự cố cụ thể và không để nó chạy mọi lúc vì cấp độ ghi nhật ký này sẽ làm tăng mức sử dụng CPU và có thể khiến bộ chuyển mạch hoặc bộ định tuyến làm chậm thông lượng lưu lượng của nó.

Mức độ ghi nhật ký tiêu chuẩn được sử dụng trong hầu hết các tình huống sẽ là cấp độ ghi nhật ký là 4. Điều này sẽ khiến tất cả các thông báo Cảnh báo, Lỗi, Nghiêm trọng, Cảnh báo và Khẩn cấp được ghi lại và gửi đến máy chủ nhật ký hệ thống.

 

Up...