27 de febrero de 2013

Introducción a la implementación de Syslog en IOS

Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificación a través de una red IP para que sean almacenados en otro dispositivo o servidor colector.
Por defecto, los dispositivos IOS envían los mensajes del sistema y los que resultan de la ejecución de comandos debug al proceso de logging. Este proceso controla la distribución de mensajes a varios destinos: un buffer de memoria, dispositivos terminales, consola de CLI o un servidor.
Inicialmente, por defecto los mensajes se envían solamente a la consola después de que el proceso que da origen a cada mensaje concluye.
Es posible configurar el destino de los mensajes y filtrarlos de acuerdo al nivel de severidad. La inclusión de fecha y hora es opcional y debe ser incluida explícitamente si se desea contar con esa referencia. 

El nivel de severidad de la notificación utiliza una escala de 0 a 7, donde 0 corresponde a los eventos de mayor criticidad, y 7 a los menos críticos:
0 - Emergencia. Indica que el sistema está inutilizable.
1 - Alerta. Requiere atención inmediata.
2 - Crítico.
3 - Error.
4 - Warning.
5 - Notificación.
6 - Informacional.
7 - Debugging.
Los niveles 4 a 0 denotan situaciones que afectan la operación del dispositivo.

Configuracion de Syslog
La configuración básica del servicio de syslog es semejante en dispositivos Cisco IOS y IOS XR.
Router#configure terminal
Router(config)#service timestamp log
Incluye en el mensaje la fecha y hora en la que se ha generado el mensaje
Router(config)#logging console disable
Desactiva el servicio en la consola.
Router(config)#logging console
Activa el servicio de syslog en la consola, cuando ha sido desactivado manualmente.
Router(config)#logging console debugging
Especifica el nivel de severidad de los mensajes que han de enviarse a la consola.
Router(config)#logging buffered informational
Habilita el almacenamiento de mensajes (hasta nivel 6) en un buffer de memoria.
Router(config)#no logging buffered
Elimina el buffer de memoria para almacenar mensajes de syslog.
Router(config)#logging monitor debugging
Especifica el nivel de severidad de los mensajes de syslog que se han de enviar a las terminales virtuales.
Router(config)#logging 172.16.1.3
Define la dirección IP de un servidor de syslog para almacenar mensajes de Syslog.
Router(config)#logging trap alerts
Define el nivel de severidad de los mensajes que se enviarán a los servidores de syslog a los de nivel 0 a 1

Para monitorear el servicio de syslog:
Router#show logging
Router#clear logging


9 comentarios:

  1. También es bueno comentar que hay herramientas de software libre que funcionan de manera muy sencilla en el pc y que pueden servir para recibir, guardar y verificar los logs enviados por syslog.

    Yo personalmente uso una llamada tftpd32.

    ResponderBorrar
    Respuestas
    1. Respecto de software freeware para syslog y otros servicios, hay un post dedicado: http://librosnetworking.blogspot.com.ar/2006/05/recursos-freeware-para-la-tarea-de.html

      Borrar
  2. Oscar buen dia, como puedo exportar por ejemplo, si alguien entro por medio de telnet o ssh a un dispositivo y que automaticamente lo envie a un repositorio, para analizar cual fue la IP que ingreso al switch.

    ResponderBorrar
    Respuestas
    1. Andrés.
      La manera correcta de hacer lo que deseás es implementar AAA con autenticación (p.e. con RADIUS) y el correspondiente registo.
      Puedes guardar en el Syslog el registro de los eventos de conexiones Telnet o SSH, pero realmente no tengo presente en este momento si la notificación incluya la dirección IP desde la que se ingresa.

      Borrar
  3. Gracias por la informacion. Y sabes cual es el comando en Cisco para guardar los registros de Syslog de las conexiones ssh o telnet ?

    ResponderBorrar
    Respuestas
    1. No hay un comando específico para las conexiones SSH o Telnet. Son mensajes informacionales y en función de eso configuras tu registro.

      Borrar
    2. No hay comando para eso, lo correcto es usar aaa si quieres llegar a esos niveles.

      Borrar
    3. Es como dicen, debes tener un radius para registrar y guardar los eventos de acceso a los dispositivos de tu red.

      Borrar
    4. Cuidado.
      Hay 2 tipos de mensajes diferentes.
      Los mensajes de eventos son generados directamente por el sistema operativo, están siempre presentes, y registran diferentes tipo de eventos con diferente grado de severidad respecto del funcionamiento del dispositivo.
      Ejemplo: una interfaz cambia de estado o se concluye exitosamente la negociación de un vecino de enrutamiento.
      Los mensajes de RADIUS son los que están vinculados al establecimiento y cierre de sesiones autenticadas utilizando el esquema AAA.
      AAA no siempre es utilizado, solamente se utiliza para autenticar, autorizar y registrar esos eventos específicos.
      Ejemplo: El usuario admin se autenticó exitosamente y cerró correctamente su sesión en determinadas fechas y horarios.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.