Phenquestions
Hlavním důvodem pro vytváření sítí je komunikace. Při práci v síti musí být mezi síťovými zařízeními předávány zásadní zprávy, aby bylo možné sledovat aktuální události. Jako správce systému nebo personál vývojových operací (DevOps) je sledování aktivit probíhajících po síti velmi důležité a je velmi užitečné pro řešení problémů, kdykoli se objeví.
Metoda protokolování je mnohokrát považována za časově náročnou nebo stresující. Nakonec to úsilí obvykle stojí za to. S programem syslog se však veškerý tento stres sníží, protože byste mohli automatizovat proces protokolování.Jediné, co musíte udělat, je projít protokoly, kdykoli se objeví problém, a řešit problémy, jak protokoly naznačují.
Syslog je známý standard pro protokolování zpráv. Systém, který provádí protokolování, a software, který je generuje, mají většinou tendenci zasahovat během procesů. Ale syslog pomáhá oddělit software generující protokoly od systému, který ukládá protokoly, čímž je proces protokolování méně komplikovaný a stresující.
Jinými slovy, syslog je otevřený systém, který pomáhá monitorovat síťová zařízení nebo systémy a odesílat události na protokolovací server. Zajišťuje, aby byly zprávy rozlišeny na základě priority zpráv a druhu síťového zařízení, které zprávu odesílá.
Kromě pomoci s generováním a ukládáním protokolů jej lze také použít pro bezpečnostní audit a obecnou analýzu a ladění systémových zpráv.
Standard syslog je k dispozici pro použití v různých síťových zařízeních, jako jsou směrovače, přepínače, nástroje pro vyrovnávání zatížení, systémy ochrany proti vniknutí atd. pomocí protokolu User Datagram portu 514 ke komunikaci zpráv na protokolovací servery.
Zpráva syslog následuje po protokolu legacy-syslog nebo BSD-syslog a má následující formát:
- Sekce zpráv PRI
- Sekce zprávy HEADER
- Sekce ZPRÁVY
Zpráva syslog nemůže nikdy překročit 1024 bajtů.
Sekce zpráv PRI
PRI je také známá jako část hodnoty priority zprávy syslog a dříve si vzpomínám, že jsem mluvil o tom, že syslog odesílá zprávy protokolů podle úrovně priority a také typu síťového zařízení nebo zařízení, zde se zobrazují všechny tyto informace. Tato část představuje část zařízení a závažnost zprávy syslog.
Hodnota priority se získá výpočtem součinu čísla zařízení (část systému odesílajícího zprávu) o 8 a následného přidání číselné hodnoty závažnosti (jedná se o úroveň důležitosti zprávy podle systému.
Hodnota priority = (číslo zařízení * 8) + závažnost
Sekce zprávy HEADER
Zatímco část PRI byla více o systému, část záhlaví je více o informacích, které přicházejí s událostí syslog.
Obsahuje časové razítko zprávy, název hostitele nebo IP adresu systému. Formát pole časové značky je:
MM dd hh: mm: ss
Kde:
MM je měsíc, ve kterém byl syslog odeslán jako zkratka. To znamená, že přijde měsíc v podobě ledna, února, března, dubna atd.
dd je den měsíce, ve kterém byla zpráva odeslána. Pokud den není dvojčíslí, je hodnota představována mezerou a číslem namísto 0 a čísla. To znamená, že „7“ se používá k zobrazení 7 namísto „07“.
hh je hodina dne, kdy byla zpráva odeslána, ve 24hodinovém formátu času. S hodnotami mezi 00 a 23, s 00 a 23 včetně.
mm je minuta v hodině, kdy byla zpráva odeslána. S hodnotami mezi 00 a 59, s 59 včetně.
ss je sekunda minuty, kdy byla zpráva odeslána. S hodnotami mezi 00 a 59, s 59 včetně.
Příkladem výše uvedeného je:
8. března 22:30:15
Sekce ZPRÁVY
Většinou zde leží všechny potřebné informace. Obsahuje název programu, proces, který vedl k vygenerování zprávy, a text samotné zprávy.
Část zprávy je obvykle ve formátu: program [pid]: text zprávy.
Příklad:
Následuje ukázka zprávy syslog: <133>25. února 14:09:07 webový server syslogd: restart. Zpráva odpovídá tomuto formátu:
Nakonec, po vygenerování zprávy, její analýze jde o jinou míčovou hru. Syslog můžete analyzovat pomocí programovacího jazyka, jako je python, pomocí regulárních výrazů, pomocí analyzátoru xml a můžete také analyzovat pomocí json. Analyzátor protokolů jako syslog-ng funguje s Pythonem perfektně. Umožňuje vám napsat vlastní analyzátor v pythonu, což umožňuje mnohem větší kontrolu nad potenciály analýzy.
Python je velmi populární pro škrábání dat, takže můžete snadno najít moduly pro škrábání potřebných dat ze syslogu, což usnadňuje zpracování zpráv, dotazování databází atd. Pokud máte v úmyslu použít syslog-ng, můžete získat konfigurační soubor OSE a zahrnout ho do souboru.
Měli byste se však ujistit, že proměnná prostředí PYTHON_PATH zahrnuje cestu k souboru Pythonu a poté exportovat proměnnou prostředí PYTHON_PATH.
Například:
exportovat PYTHONPATH = / opt / syslog-ng / atd
Objekt Python se inicializuje pouze jednou, když je spuštěno nebo znovu načteno syslog-ng OSE. To znamená, že udržuje stav interních proměnných, zatímco je spuštěn systémový protokol OSE. Analyzátory Pythonu se skládají ze dvou částí. První je objekt analyzátoru OSE syslog ng, který používáte v konfiguraci syslog ng OSE, například v cestě protokolu.
Tento analyzátor odkazuje na třídu Python, což je druhá část analyzátorů Pythonu. Třída Python zpracovává zprávy protokolu, které přijímá, a může dělat prakticky cokoli, co můžete v Pythonu kódovat.
analyzátorpython (třída (" "));; python import re class MyParser (objekt): def init (self, options):" Volitelné. Tato metoda se provede při spuštění nebo opětovném načtení syslog-ng."return True def deinit (self):" Volitelné. Tato metoda se provede, když je syslog-ng zastaven nebo znovu načten."return True def parse (self, msg):" Povinné. Tato metoda přijímá a zpracovává zprávu protokolu."return True;
Když konečně analyzujete svůj soubor syslog, můžete se pustit do řešení problémů, které způsobují problémy.
Nejčastěji byste našli cesty k adresářům, kde je problém, takže v adresářích můžete snadno procházet pomocí příkazu „cd“.
Se syslogem můžete ušetřit více času a zlepšit efektivitu.
