CCNAX – EXAME 200-120 – SYSLOG – TEORIA

Pessoal, enquanto estou a criar as topologias e os exercícios baseados no meu estudo sobre as últimas provas (Exam 200-120) da certificação Cisco CCNAX (Routing and Switching, eu irei colocar algum conteúdo técnico e teórico que tenho certeza que será pauta do seus exame.
Novamente, eu não tenho a intensão de criar aqui um “DUMP” da prova, até porque sou totalmente contra os “Dumpers”. Minha intensão aqui é colocar exercícios que se baseiam em pesquisas, conversas e experiência pessoal sobre os assuntos mais abordados nos exames Cisco e seus repespectivos grau de dificuldade e hieraquia dentro da pirâmide de certificações Cisco. Sempre estarei focando no conceito teórico e posteriormente prático de cada tecnologia.
O tema de hoje é SYSLOG. Para os futuros certificados e actuais ou futuros administradores de redes Cisco, eu tenho que compartilhar com vocês que a anos tenho trabalhado com telecomunicações e principalmente equipamentos Cisco e foram poucas as vezes que eu entrei num ambiente de rede para realizar um projeto e me deparei com uma estrutura bem montada de SYSLOG.

A ferramenta SYSLOG é muito útil e faz parte inclusive de melhores práticas de gestão da segurança de informação (Ver ISO 27001).

 

SYSLOG – HISTÓRIA E CONCEITO

O protocolo Syslog, definido na RFC 3164, foi originalmente escrito por Eric Allman. Este protocolo permite que um dispositivo envie mensagens de notificação de eventos através de redes IP para colectores de mensagens de eventos, também conhecidos como servidores de syslog, ou Syslog Server. O protocolo foi projetado para transportar estas mensagens de eventos do dispositivo gerador para o coletor. O coletor não envia de volta uma confirmação do recebimento das mensagens; simplesmente as armazena ou as apresenta e as descarta.

Em um sistema operacional UNIX, o kernel e outros componentes internos geram mensagens e alertas. Estas mensagens são normalmente armazenadas num sistema de ficheiros ou retransmitida para um outro dispositivo sob a forma de mensagens de syslog. O daemon interno, chamado Syslogd, lida com o processo syslog. Este daemon é uma parte integrante da maioria das distribuições UNIX / Linux e não precisa ser baixado ou instalado.

O Syslog fornece um ponto central de recolha e tratamento logs do sistema. Esses logs de sistema são úteis para solução de problemas e auditoria. Por exemplo, quando um hacker invade um sistema, o rastro deixado para trás pela atividade do hacker é registrado nas mensagens de syslog. Estas mensagens podem então serem utilizadas para compreender o ataque, avaliar os danos, e corrigir o sistema.

Vários dispositivos Cisco, incluindo roteadores, switches, firewalls ASA, e outros, geraram mensagens syslog para informações do sistema e alertas. Por exemplo, um roteador Cisco pode gerar uma mensagem de syslog quando uma interface entra em estado DOWN ou a configuração da mesma é alterada. Da mesma forma, a Cisco ASA Firewall pode gerar uma mensagem de syslog quando ele bloqueia uma conexão TCP.

Dispositivos da Cisco pode ser configurados para enviar as mensagens syslog para uma máquina externa que atua como um servidor de logs central. No entanto, se a ligação entre o dispositivo e o servidor syslog estiver em baixo, nada será gravado Servidor Syslog. Nesses casos, as mensagens syslog podem ser armazenadas localmente pelos dispositivos da Cisco, pois seriam a única fonte de informações para determinar a causa raiz de um problema.

Syslog usa o User Datagram Protocol (UDP), porta 514, para comunicação. Sendo um protocolo sem conexão, já que UDP não fornece confirmações de conexão. Além disso, na camada de aplicação, servidores syslog não enviar confirmações de volta ao remetente para a recepção de mensagens syslog. Por conseguinte, o dispositivo de envio gera mensagens syslog sem saber se o servidor syslog recebeu as mensagens. De facto, os dispositivos de envio envia mensagens mesmo que o servidor syslog não existas ou não esteja no ar.

O tamanho do pacote syslog é limitado a 1024 bytes e carrega as seguintes informações

• Facility
• Severity
• Hostname
• Timestamp
• Message

Obs. Não irei traduzir termos técnicos por fazerem parte de sintaxe de comandos.
Uma compreensão clara de cada um dos parâmetros do pacote syslog pode ajudá-lo facilmente implantar sistemas de syslog em toda a sua rede. Nota-se que os dois primeiros parâmetros, Facility e Severity, são muitas vezes incompreendido.

Facility

Mensagens de syslog são amplamente categorizados com base nas fontes que as geraram. Estas fontes podem ser o sistema operativo, o processo, ou uma aplicação. Estas categorias, chamamos Facilities, são representadas por números inteiros, como se mostra na Tabela 1.

Tabela 1 – Categorias – Facility

 

Por padrão, os dispositivos Cisco IOS e os antigos CatOS switches usar a Facility local7 enquanto a Cisco ASA Firewalls usar Facility local4 para enviar mensagens syslog. Além disso, a maioria dos dispositivos da Cisco fornecem opções para mudar o nível de Facility de seu valor padrão.

 

Severity

A fonte ou mecanismo que gera a mensagem de syslog também especifica a gravidade da mensagem utilizando um número inteiro de um dígito, como mostrado na Tabela 2.

Tabela 2 – Categorias – Severity

 

Dispositivos Cisco usam níveis de Severity  de Emergency à Warning para denunciar problemas de software ou de hardware. A reinicialização do sistema ou interface para UP /DOWN por exemplo faz com que as mensagens sejam enviadas sob o nível Notice Level. A recarga do sistema é relatada através do nível Informal Level. A saída de comandos de depuração é expressa através do nível Debug Level.

O nível mais alto é o nível Emergency Level (0). O nível mais baixo é o nível Debug Level (7). Para alterar o nível mínimo de Severity que é enviado para o syslog, use o comando de configuração de nível de registo trap level>. Se você especificar um nível, esse nível e todos os níveis mais elevados serão exibidos.

Por exemplo, usando o comando: <logging console warnings>, todo o registro de situações de níveis: 0,1,2,3 e 4 (Emergency, Alert, Critical, Error e Warninng) serão exibidos e/ou enviados ao Syslog Server.

Níveis de 0 a 4 são para eventos que podem impactar seriamente o dispositivo, ao passo que os níveis de 5 a 7 são para eventos menos importantes. Por padrão, os servidores syslog receber mensagens Informal Level (nível 6).

---

 

ATENÇÃO: MUITO CUIDADO AO ATIVAR O ENVIO DE MENSAGENS SYSLOG DE SEVERIDADE TIPO 7 (DEBUG LEVEL) , POIS ESTAS SENDO ENVIADAS A UM SYSLOG SERVER, OU MESMO ARMAZENADAS LOCALMENTE NO DISPOSITIVO, PODEM GERAR ALTO CONSUMO DE CPU E CONSEQUENTE “CRASH” DO EQUIPAMENTO.

---