Beschreibung: Dieser Knowledge Base Artikel beschreibt die Funktionen des Syslog-Servers in einem LANCOM Router oder Access Point.
Funktionen: Über den Syslog-Dienst können Status-Meldungen aus dem Netzwerk zentral gesammelt werden. Da Syslog-Meldungen im Klartext übertragen werden, ist Syslog deutlich flexibler als Lösungen, die über SNMP-Traps arbeiten, da SNMP zum Einen nur wenige standardisierte Traps bietet und zum Anderen immer eine MIB (Management Information Base) mitgeliefert werden muss, die erst die Übersetzung von gerätespezifischen Traps ermöglicht. Syslog bietet über die Klassifizierung einer Nachricht nach Priorität und Facility die Möglichkeit, gezielt spezielle Nachrichten zu versenden bzw. deren Versand zu unterdrücken. Die maximale Größe des Syslog-Puffers ist abhängig vom Arbeitspeicher (RAM) und von der Firmware-Version. - Mehr als ca. 85 MB freier RAM und mindestens Firmware 10.12 = maximal 23000 Syslog-Meldungen
- Beispiel: 1781VA mit 256 MB RAM
- Ab 32 MB vorhandener RAM = maximal 2048 Syslog-Meldungen
- Beispiel: 1721+ VPN mit 32 MB RAM
Klassifizierung von Syslog-Nachrichten: Syslog-Nachrichten werden in verschiedene Gruppen (Facilities) eingeteilt und innerhalb einer Gruppe nach ihrer Priorität sortiert. Der Syslog-Server (Empfänger von Syslog-Nachrichten) kann für jede Gruppe angewiesen werden, Nachrichten bis zu einer bestimmten Priorität anzuzeigen, d.h. es werden alle Nachrichten, die eine höhere oder die gleiche Priorität haben, angezeigt. Ein bekannter Syslog-Server ist z.B. der Kiwi Syslog-Server.
Prioritäten: Syslog definiert insgesamt acht Prioritäts-Stufen. In LANCOM Geräten werden einige Prioritäten zusammengefasst, sodass es dort fünf Prioritäts-Sufen gibt. Priorität in LANCOM Geräten | Beschreibung | Zuordnung zu Syslog-Severity |
---|
Alarm | Unter dieser Priorität werden alle Meldungen zusammengefasst, die der Aufmerksamkeit des Administrators bedürfen (z.B. ein fehlgeschlagener Login). | EMERGENCY, ALERT, CRITICAL | Fehler | Mit dieser Priorität werden alle Fehlermeldungen des Systems übermittelt (z.B. ein Verbindungs-Fehler) | ERROR | Warnung | Mit dieser Priorität werden Fehlermeldungen übermittelt, die den ordnungsgemäßen Betrieb des Geräts nicht beeinträchtigen (z.B. auf einer Verbindung wird keine Kompression verwendet, obwohl diese konfiguriert ist). | WARNING | Information | Mit dieser Priorität werden alle Nachrichten übermittelt, die rein informativen Charakter haben (z.B. Accounting-Informationen). | NOTICE, INFORM | Debug | Dies ist die niedrigste Priorität. Debug-Meldungen werden im Regelfall niemals übermittelt. | DEBUG |
Facilities: Syslog-Nachrichten werden in verschiedene Gruppen (Facilities) eingeteilt und geben im einfachsten Fall die Quelle einer Nachricht an. Auf LANCOM Geräten werden nicht alle Syslog-Quellen benötigt, sodass es dort insgesamt acht verschiedene Quellen gibt. Quelle in LANCOM Geräten | Beschreibung | Zuordnung zu Syslog-Facility |
---|
System | Systemmeldungen wie z.B. Bootvorgänge. | KERNEL | Logins | Meldungen über Login und Logout eines Benutzers während der PPP-Aushandlung sowie auftretende Fehler. | AUTH | Systemzeit | Meldungen zur Änderung der Systemzeit. | CRON | Konsolen-Logins | Meldungen über Konsolen-Logins (z.B. per Telnet oder SSH) sowie auftretende Fehler. | AUTHPRIV | Verbindungen | Meldungen über den Auf- und und Abbau von Verbindungen sowie dabei auftretende Fehler. Die Syslog-Meldungen entsprechen dem Display-Trace (enthält Ausgaben aus dem Error und Status Trace). | LOCAL 0 | Accounting | Meldungen über Accounting-Informationen, die nach dem Abbau einer Verbindung erstellt werden. Beinhaltet u.A. Informationen zum Benutzer, der Onlinezeit und dem übertragenen Transfervolumen. | LOCAL 1 | Verwaltung | Meldungen über Konfigurationsänderungen. | LOCAL 2 | Router | Regelmäßige Statistiken über die meistverwendeten Dienste (aufgeschlüsselt nach Portnummern) sowie Meldungen über gefilterte Pakete und Routing-Fehler. | LOCAL 3 |
Aufbau einer Syslog-Meldung: Syslog-Meldungen werden im Klartext (ASCII) übertragen. Die Klassifizierung nach Priorität und Facility wird dabei der eigentlichen Meldung als Dezimalzahl in spitzen Klammern vorangestellt. Der Syslog-Server erkennt anhand dieser Zahl, wie er mit der jeweiligen Meldung verfahren soll. Wenn die Meldung gespeichert wird, wird die Kennung entfernt und die Meldung ohne diese gespeichert. Damit im Syslog weiterhin ersichtlich ist, woher die Meldung kam, schreibt ein LANCOM Gerät die Quelle und das Alarm-Level zusätzlich nochmal im Klartext in die Meldung. Damit sieht eine Syslog-Meldung wie folgt aus (Achtung: im PF-Feld wird keine Reduktion von Quelle und Level vorgenommen): <PF>QUELLE_LEVEL: message Beispiel:
<81>ADMIN_ALERT: Login from outband failed <149>ADMIN_INFO: Firmware upload started from 10.0.0.170 {ntserver} via TFTP |