syslog

Tutorial Syslog

Tutorial Syslog

Il motivo principale per il networking è la comunicazione. Durante il networking, i messaggi cruciali devono essere passati tra i dispositivi di rete in modo da tenere traccia degli eventi man mano che si verificano. In qualità di amministratore di sistema o di personale addetto alle operazioni di sviluppo (DevOps), tenere traccia delle attività in corso su una rete è molto vitale ed è molto utile per risolvere i problemi quando si presentano.

Il metodo di registrazione più volte è considerato dispendioso in termini di tempo o stressante. Alla fine, lo sforzo di solito ne vale la pena. Tuttavia, con syslog, tutto questo stress è ridotto, poiché potresti automatizzare il processo di registrazione.Tutto quello che devi fare è esaminare i registri ogni volta che si verifica un problema e affrontarli come indicano i registri log.

Syslog è uno standard noto per la registrazione dei messaggi. La maggior parte delle volte, il sistema che esegue la registrazione e il software che le genera tendono a interferire durante i processi. Ma syslog aiuta a separare il software che genera i registri dal sistema che memorizza i registri, rendendo così il processo di registrazione meno complicato e stressante.

In altre parole, syslog è un sistema aperto, progettato per aiutare a monitorare dispositivi o sistemi di rete e inviare eventi a un server di registrazione. Assicura che i messaggi siano distinti in base alla priorità dei messaggi e al tipo di dispositivo di rete che sta inviando il messaggio.

Oltre ad aiutare con la generazione e l'archiviazione dei registri, può essere utilizzato anche per il controllo della sicurezza, nonché per l'analisi generale e il debug dei messaggi di sistema.

Lo standard syslog è disponibile per l'uso su diversi dispositivi di rete come router, switch, bilanciatori di carico, sistemi di protezione dalle intrusioni, ecc. utilizzando il protocollo User Datagram della porta 514 per comunicare messaggi ai server di registrazione.

Un messaggio syslog segue il protocollo legacy-syslog o BSD-syslog e assume il seguente formato:

Un messaggio syslog non può mai superare i 1024 byte.

Sezione messaggi PRI

PRI è anche noto come la parte del valore di priorità del messaggio syslog e ricorda che prima ho parlato di syslog che invia messaggi di registro in base al livello di priorità e anche al tipo di dispositivo di rete o struttura, qui è dove vengono visualizzate tutte le informazioni. Questa parte rappresenta la sezione relativa alla struttura e alla gravità del messaggio syslog.

Il valore di priorità si ottiene calcolando per 8 il prodotto del numero impianto (la parte del sistema che invia il messaggio) e quindi sommando il valore numerico della gravità (questo è il livello di importanza del messaggio secondo il sistema.

Valore priorità = (Numero struttura * 8) + Gravità

Sezione messaggi HEADER

Mentre la parte PRI riguardava più il sistema, la parte dell'intestazione riguardava più le informazioni fornite con l'evento syslog.

Contiene il timestamp del messaggio, il nome host o l'indirizzo IP del sistema. Il formato del campo timestamp è:

MM gg hh:mm:ss

Dove:

mm è il mese in cui il syslog è stato inviato come abbreviazione. Ciò significa che il mese si presenta sotto forma di gennaio, febbraio, marzo, aprile ecc.

dd è il giorno del mese in cui è stato inviato il messaggio. Quando il giorno non è a doppia cifra, il valore è rappresentato da uno spazio e il numero anziché uno 0 e il numero. Ciò significa che "7" è usato per rappresentare 7 invece di "07".

hh è l'ora del giorno in cui è stato inviato il messaggio, utilizzando il formato 24 ore. Con valori compresi tra 00 e 23, con 00 e 23 inclusi.

mm è il minuto dell'ora in cui è stato inviato il messaggio. Con valori compresi tra 00 e 59, con 59 compreso.

ss è il secondo del minuto in cui è stato inviato il messaggio. Con valori compresi tra 00 e 59, con 59 compreso.

Un esempio di quanto sopra è:

8 marzo 22:30:15

sezione MESSAGGI

Questo il più delle volte è dove si trovano tutte le informazioni necessarie. Contiene il nome del programma, il processo che ha portato alla generazione del messaggio e il testo del messaggio stesso.

La parte del messaggio è solitamente nel formato: programma[pid]: message_text.

Esempio:

Quello che segue è un messaggio di syslog di esempio: <133>25 febbraio 14:09:07 webserver syslogd: riavviare. Il messaggio corrisponde al seguente formato: timestamp nome host applicazione: messaggio.

Alla fine, dopo aver generato il messaggio, analizzarlo è un altro gioco con la palla. Puoi analizzare il syslog usando un linguaggio di programmazione come python, usando le espressioni regolari, usando il parser xml e puoi anche analizzare usando json. Un parser di log come syslog-ng funziona perfettamente con Python. Ti consente di scrivere il tuo parser in Python, consentendo un controllo molto maggiore sui potenziali di analisi.

Python è molto popolare per lo scraping dei dati, quindi puoi trovare facilmente moduli per lo scraping dei dati necessari dal syslog che semplifica l'elaborazione di messaggi, query di database, ecc. Se intendi utilizzare syslog-ng, puoi ottenere il file di configurazione OSE e includerlo nel file.

Tuttavia, dovresti assicurarti che la variabile di ambiente PYTHON_PATH includa il percorso del file Python e quindi esporti la variabile di ambiente PYTHON_PATH.

Per esempio:

export PYTHONPATH=/opt/syslog-ng/etc

L'oggetto Python viene avviato solo una volta, quando syslog-ng OSE viene avviato o ricaricato. Ciò significa che mantiene lo stato delle variabili interne mentre syslog-ng OSE è in esecuzione. I parser Python sono composti da due parti. Il primo è un oggetto parser OSE syslog-ng che utilizzi nella configurazione OSE syslog-ng, ad esempio, nel percorso del registro.

Questo parser fa riferimento a una classe Python, che è la seconda parte dei parser Python. La classe Python elabora i messaggi di registro che riceve e può fare praticamente tutto ciò che è possibile codificare in Python.

analizzatore  pitone( classe("") ); ; python  import re class MyParser(oggetto): def init(self, options):"Facoltativo. Questo metodo viene eseguito quando syslog-ng viene avviato o ricaricato."return True def deinit(self):"Opzionale. Questo metodo viene eseguito quando syslog-ng viene arrestato o ricaricato."return True def parse(self, msg):"Obbligatorio. Questo metodo riceve ed elabora il messaggio di registro."restituisce True ;

Quando finalmente riesci ad analizzare il tuo file syslog, puoi agire su quei problemi che hanno causato problemi.

La maggior parte delle volte, troverai i percorsi delle directory in cui si trova il problema, in modo da poter navigare facilmente nelle directory utilizzando il comando "cd".

Con syslog, puoi risparmiare più tempo e migliorare l'efficienza.

Topo Rimappa i pulsanti del mouse in modo diverso per software diversi con X-Mouse Button Control
Rimappa i pulsanti del mouse in modo diverso per software diversi con X-Mouse Button Control
Forse hai bisogno di uno strumento che possa cambiare il controllo del tuo mouse con ogni applicazione che utilizzi. In questo caso, puoi provare un'a...
Topo Recensione del mouse wireless Microsoft Sculpt Touch
Recensione del mouse wireless Microsoft Sculpt Touch
Ho letto di recente del Microsoft Scolpisci il tocco mouse wireless e ho deciso di acquistarlo. Dopo averlo usato per un po', ho deciso di condividere...
Topo Trackpad e puntatore del mouse su schermo AppyMouse per tablet Windows
Trackpad e puntatore del mouse su schermo AppyMouse per tablet Windows
Gli utenti di tablet spesso mancano il puntatore del mouse, soprattutto quando sono abituati a usare i laptop laptop. Gli smartphone e i tablet touchs...