Syslog

Syslog é um protocolo padrão IETF RFC 5424 para registro e coleta de computadores que é popular em sistemas do tipo Unix, incluindo servidores, equipamentos de rede e dispositivos IoT. As mensagens de registro geradas por um dispositivo criam um registro dos eventos que ocorrem no sistema operacional ou aplicação. O propósito da mensagem é fornecer aos administradores informações sobre eventos importantes, informações de saúde e outros acontecimentos normais ou anormais que possam ser úteis na resolução de problemas ou em um problema relacionado à segurança.

Como o syslog funciona?

Quando um dispositivo de origem está rodando o daemon do syslog, as mensagens do dispositivo são geradas durante a operação normal e anormal com base no que os desenvolvedores da aplicação consideram como potencialmente útil. Estas mensagens podem então ser visualizadas de várias formas. A primeira é para monitorar as mensagens em tempo real no próprio console do dispositivo de origem. Outro método é visualizar os arquivos de log local que contêm informações de log histórico.

Embora o arquivo de log local seja uma maneira rápida de visualizar eventos históricos de mensagens, note que em muitos sistemas, o arquivo local tem uma limitação máxima no número de mensagens de log armazenadas. Uma vez que esse limite é atingido, as mensagens mais antigas são sobrescritas com as mais recentes. Isso significa que o ficheiro local contém apenas os logs mais recentes.

No entanto, é frequente os administradores necessitarem de ver os logs muito mais atrás no tempo. Assim, é rotina usar o terceiro método de visualização de logs que é retransmitir todos os logs através de uma rede para um servidor de coleta de logs centralizado.

O retransmitir as mensagens do syslog é normalmente enviado pela porta UDP 514 ou TCP 6514. O método TCP também oferece o benefício do protocolo Transport Layer Security (TLS) para manter as mensagens privadas. Uma vez coletado, um administrador pode usar um visualizador syslog para visualizar, ordenar e até mesmo alertar sobre as várias mensagens de log que chegam em.

Componentes da mensagem syslog

Syslog facility codes Uma lista dos códigos de instalações syslog e nomes de descrição.

Cada evento de log contém um carimbo de data/hora juntamente com a própria mensagem de evento e o nome de IP/domínio de origem para fins de identificação. O evento é então categorizado em um dos oito níveis de severidade. Estes níveis são baseados na criticalidade do evento de acordo com o desenvolvedor do sistema operacional ou aplicação em uso. Cada categoria é definida com um valor numérico e um nome de gravidade. Quanto menor o valor, mais severo é o evento. A escala vai de 0-7, começando com a emergência e terminando com a depuração. Os diferentes nomes de gravidade, em ordem, são emergência, alerta, crítico, erro, aviso, aviso, informativo e debug.

Ao criar o evento de log, o dispositivo de origem segmenta ainda mais a mensagem em um código de facilidade de log. Este código categoriza as mensagens com base em qual processo dentro da aplicação geral a mensagem foi gerada. Assim como as categorias de gravidade, as facilidades são definidas usando um valor numérico e um nome. As instalações podem ser categorizadas em um dos 24 códigos de instalações diferentes.