Syslog-Meldungen mit Kiwi Syslog Server NG überwachen

Eine Syslog-Meldung ist eine Meldung in einem standardisierten Format, das das System Logging Protocol (syslog) verwendet, über das Netzwerkgeräte kommunizieren. Netzwerkgeräte wie Router, Switches, Firewalls und Server nutzen Syslog-Meldungen, um Informationen über ihren Status oder wichtige Ereignisse zu senden, daher sind sie äußerst wichtig für die Fehlerbehebung im Netzwerk.

Um die Vorteile von Syslog-Meldungen für Netzwerküberwachung und Fehlerbehebung nutzen zu können, ist ein guter Syslog-Server wichtig. Ein Syslog-Server kann Syslog-Meldungen von Syslog-fähigen Geräten zentralisieren und es Ihnen ermöglichen, auf die Meldungen zuzugreifen und sie zu durchsuchen oder zu filtern (und in der Regel noch vieles mehr). Hierzu müssen die Syslog-fähigen Geräte so konfiguriert werden, dass sie die Syslog-Meldungen an einen Syslog-Server senden.

Syslog-Meldungen werden vor allem von Netzwerkgeräten mit Linux- und Unix-Betriebssystemen verwendet. Standardmäßig werden Syslog-Meldungen über UDP (User Datagram Protocol) gesendet. Dies ist ein verbindungsloses Protokoll, sodass nicht garantiert werden kann, dass die Meldung tatsächlich ankommt. Einige Geräte können jedoch auch ein verbindungsbasiertes Protokoll – TCP (Transmission Control Protocol) – verwenden, das die erfolgreiche Meldungszustellung sicherstellt.

Wofür werden Syslog-Meldungen eingesetzt?

Syslog-Meldungen werden normalerweise von Netzwerk- und Systemadministratoren herangezogen, um mögliche Probleme mit einem Netzwerkgerät frühzeitig erkennen und beheben zu können. Syslog-Meldungen liefern wichtige Informationen zum Status von Netzwerkgeräten und zu wichtigen Ereignissen, die sich negativ auf den Standardbetriebs eines Netzwerks auswirken können. Zusammen mit SNMP-Traps sind Syslog-Meldungen ein grundlegendes Kommunikationsmittel für Netzwerkgeräte wie Router, Switches, Firewalls und Server. In einem typischen Netzwerk werden jede Minute Tausende von Syslog-Meldungen und SNMP-Traps generiert. Ohne eine zentralisierte Lösung sind sie für die Netzwerküberwachung ungeeignet. Beide Meldungstypen können von einem Syslog-Server erfasst werden, der als Zentrale für alle von Netzwerkgeräten generierten Protokolle dient. Ein Syslog-Server ist ein einfaches Mittel, um auf Protokolle zuzugreifen, sie zu durchsuchen und zu filtern, und ein wesentlicher Bestandteil der Protokollverwaltung.

Syslog-Meldungen weisen drei Hauptbestandteile auf:

HEADER (Identifikationsinformationen) SD (strukturierte Daten) MSG (eigentliche Meldung)

Header: Der Header einer Syslog-Meldung enthält Identifikationsinformationen wie Version, Zeitstempel, Hostname, IP-Adresse des Geräts, Prozess-ID und Meldungspriorität (PRI). Bei der Priorität einer Syslog-Meldung handelt es sich um einen berechneten Wert, anhand dessen Syslog-Meldungen klassifiziert, die Wichtigkeit der Meldung bestimmt und bei Bedarf geeignete Maßnahmen zugewiesen werden können.

Strukturierte Daten: Dieser Bestandteil einer Syslog-Meldung stellt ein wohldefiniertes und leicht zu analysierendes Datenformat bereit. Da die eigentliche Meldung ein Freitextformat aufweist, kann es schwierig sein, ihr die relevanten Informationen zu entnehmen. Strukturierte Daten bieten eine Möglichkeit, zusätzliche nützliche Informationen über eine Syslog-Meldung (z. B. Leistungsindikatoren für Datenverkehr oder IP-Adressen) in einem Format bereitzustellen, das sich besser für die weitere Datenverarbeitung eignet.

Meldung: Dieser Bestandteil einer Syslog-Meldung enthält die eigentliche Meldung in einem Freitextformat und stellt Informationen zum Ereignis bereit. Normalerweise wird für Syslog-Meldungen ein UNICODE-Zeichensatz mit UTF-8-Codierung verwendet.

PRI: Die Priorität einer Syslog-Meldung wird als Kombination von zwei Variablen berechnet: Einrichtung und Schweregrad.

Der Einrichtungscode gibt den Typ des Systems an, das die Meldung generiert hat. Möglich sind numerische Werte zwischen 0 und 23 basierend auf 15 vordefinierten Werten und 8 Werten, die lokal definiert werden können.

Nummer - Einrichtungsbeschreibung

0 - Kernel-Meldungen

1 - Meldungen auf Benutzerebene

2 - Mailsystem

3 - System-Daemons

4 - Sicherheits-/Autorisierungsmeldungen

5 - Von syslogd generierte Meldungen

6 - Zeilendrucker-Untersystem

7 - Network News-Untersystem

8 - UUCP-Untersystem

9 - Takt-Daemon

10 - Sicherheits-/Autorisierungsmeldungen

11 - FTP-Daemon

12 - NTP-Untersystem

13 - Protokollaudit

14 - Protokollwarnung

15 - Takt-Daemon

16 - 23 - Lokal verwendet

Schweregrad: Diese Variable gibt die Wichtigkeit der eigentlichen Meldung an und kann einen numerischen Wert zwischen 0 und 7 haben (Meldungsstufen „Notfall“ bis „Debugging“).

Die Priorität einer Syslog-Meldung wird wie folgt berechnet:

Priorität = Einrichtung * 8 + Schweregrad

Eine Notfall-Kernel-Meldung hat beispielsweise den Prioritätswert 0. Je niedriger der Prioritätswert, desto größer die Wichtigkeit einer Meldung.

Ein guter Syslog-Server ermöglicht es Ihnen, Meldungen mit hoher Priorität zu identifizieren und angemessen auf die Situation zu reagieren, sei es durch Senden einer E-Mail-Benachrichtigung an einen Netzwerkadministrator oder durch Ausführen eines externen Skripts.

Es gibt acht Schweregrade zur Kategorisierung von Syslog-Meldungen. Im Folgenden finden Sie die Beschreibung der einzelnen Schweregrade gemäß RFC 5424, „The Syslog Protocol“:

Numerischer Code - Schweregrad

0 - Notfall: System kann nicht verwendet werden

1 - Alarm: sofortiger Handlungsbedarf

2 - Kritisch: kritische Bedingungen

3 - Fehler: Fehlerbedingungen

4 - Warnung: Warnungsbedingungen

5 - Hinweis: normale, aber bedeutsame Bedingung

6 - Information: Informationsmeldungen

7 - Debugging: Debug-Meldungen

Es ist unwahrscheinlich, dass Sie Notfallmeldungen erhalten, da diese normalerweise bedeuten, dass das System ausgefallen ist und keine Meldungen gesendet werden können. Debug-Meldungen werden hingegen in der Regel während der Entwicklung verwendet und haben normalerweise keinen Einfluss auf den Netzwerkbetrieb, daher erhalten Sie hierüber vermutlich auch keine Benachrichtigungen.

Wie bei der Priorität sollte es auch bei einem guten Syslog-Server möglich sein, Regeln einzurichten, um entsprechend dem Schweregrad auf Syslog-Meldungen zu reagieren.

Sie können Syslog-Meldungen in Kiwi Syslog Server NG durch das Definieren von Regeln und Verwenden von Filtern effizienter überwachen. In diesem leistungsfähigen Syslog-Monitor können Sie unbegrenzt viele Regeln (sowie unbegrenzt viele Filter und Aktionen für diese Regeln) definieren und haben so die Möglichkeit, Syslog-Meldungen nach Ihren individuellen Kriterien und Anforderungen zu verarbeiten und darauf zu reagieren. In Kiwi Syslog Server NG stehen Tastenkombinationen für zahlreiche Aktionen zur Verfügung, um das Löschen, Hinzufügen, Kopieren, Einfügen, Verschieben, Umbenennen und automatische Benennen von Regeln, Filtern, Aktionen und Zeitplänen zu vereinfachen.

Regeln weisen Kiwi Syslog Server NG an, wie eingehende Syslog-Meldungen verarbeitet werden sollen. Dazu gehört auch die Angabe, welche Meldungen welche Aktionen auslösen. Wenn eine Regel auf eine Protokollmeldung angewendet wird, vergleicht Kiwi Syslog Server NG die Meldung mit jedem Filter in der Regel, angefangen mit dem ersten Filter in der Liste. Wenn eine der Filterbedingungen nicht erfüllt wird (d. h. falsch ist), beendet Kiwi Syslog Server NG die Verarbeitung dieser Regel und wendet die nächste Regel auf die Meldung an. Wenn dagegen alle Filterbedingungen erfüllt werden (d. h. wahr sind), wiederholt Kiwi Syslog Server NG den Vorgang mit dem nächsten Filter. Wenn eine Meldung alle Filter in einer Regel erfüllt, beginnt Kiwi Syslog Server NG mit der Durchführung aller Aktionen in der angegebenen Reihenfolge. Wenn alle Filter und Aktionen in der ersten Regel abgearbeitet sind, fährt Kiwi Syslog Server NG mit der nächsten Regel fort – daher ist es wichtig, Regeln der Reihe nach anzuwenden.

Das Hinzufügen von Regeln, die festlegen, welche Aktionen nach Eingang einer Meldung ausgeführt werden sollen, ist ganz einfach. Zunächst wählen Sie im Hauptmenü die Option „Setup“ (Einrichtung) aus. Klicken Sie anschließend im Kiwi Syslog Server NG-Dialogfeld auf „Rules“ (Regeln) und „Add Rule“ (Regel hinzufügen), um der Baumstruktur eine neue Regel hinzuzufügen. Benennen Sie zum Schluss die Regel, fügen Sie der Regel Filter und Aktionen hinzu und speichern Sie die Änderungen, indem Sie auf „OK“ klicken. Nachdem Sie eine Regel erstellt haben, können Sie sie unkompliziert exportieren und mit einem anderen Kiwi Syslog Server NG teilen.

Mithilfe von Filtern können Sie steuern, ob eine Meldung die Aktionen einer Regel auslöst. In SolarWinds Kiwi Syslog Server NG können Sie Meldungen nach IP-Adresse, Priorität, Tageszeit, Hostname, Eingabequelle, regulären Ausdrücken und Meldungstext filtern. Nachdem Sie die gewünschten Filter erstellt haben, wendet Kiwi Syslog Server NG sie automatisch in der aufgeführten Reihenfolge an. Wenn Sie jedoch keine Filter festlegen, löst jede Meldung eine Aktion aus.

Sie können Kiwi Syslog Server NG so konfigurieren, dass eine bestimmte Aktion ausgeführt wird, wenn eine Meldung alle Filter einer Regel erfüllt. Hier einige gängige Aktionen:

• Ausführen eines Skripts oder externen Programms
• Senden einer E-Mail
• Protokollieren eingehender Meldungen in einer Datei, in Papertrail™ oder Loggly^®
• Senden einer Syslog-Meldung oder eines SNMP-Traps
• Zurücksetzen von Leistungsindikatoren und Flags
• Anzeigen einer Meldung

Es ist ganz einfach, Syslog-fähige Geräte so zu konfigurieren, dass sie Meldungen zur Syslog-Überwachung an Kiwi Syslog Server NG senden. Vergewissern Sie sich zunächst, dass auf dem Gerät die Meldungsprotokollierung aktiviert ist. Auf den meisten Geräten, die Syslog-Meldungen generieren können, ist die Protokollierung automatisch aktiviert, es schadet aber nichts, dies noch einmal zu überprüfen. Richten Sie anschließend das Gerät so ein, dass es Syslog-Meldungen an einen Port (normalerweise Port 514) auf dem Computer sendet, auf dem Kiwi Syslog Server NG installiert ist.

Im RFC-Standard 5426 ist Port 514 als Standardport für Syslog-Meldungen angegeben. Kiwi Syslog Server NG lauscht standardmäßig an Port 514 auf UDP-Meldungen (User Datagram Protocol). Wenn dies jedoch nicht Ihren Bedürfnissen entspricht, können Sie die Einstellungen von Kiwi Syslog Server NG problemlos so konfigurieren, dass auf TCP-Meldungen (Transmission Control Protocol), sichere TCP-Meldungen und SNMP-Traps (Simple Network Management Protocol) anstelle von UDP-Meldungen gelauscht wird. Sie können Kiwi Syslog Server NG auch so konfigurieren, dass an einem anderen Port auf UDP-, TCP-, sichere TCP- oder SNMP-Meldungen gelauscht wird.

Um die UDP-Eingabeoptionen zu konfigurieren, öffnen Sie den Einstellungsbereich von Kiwi Syslog Server NG im Hauptmenü unter „Setup“ (Einrichtung). Klicken Sie im Menü „Inputs“ (Eingaben) auf „UDP“ und geben Sie den Port an, an dem auf UDP-Meldungen gelauscht werden soll. Alle Werte zwischen 1 und 65535 funktionieren, sofern das Gerät, das die Syslog-Meldung überträgt, die neue Portnummer unterstützt. Die meisten Benutzer sollten das Feld „Bind to address“ (An Adresse binden) leer lassen, damit der UDP-Socket an allen Schnittstellen auf Meldungen lauschen kann. Durch Angabe der IP-Adresse im Feld „Bind to address“ (An Adresse binden) können Sie jedoch die Bindung auf eine bestimmte Schnittstelle begrenzen. Sie können festlegen, welche Decodiermethode auf eingehende Daten angewendet werden soll, indem Sie ein Codierformat im Dropdown-Menü auswählen oder die Seitenzahl des Codes im Abschnitt „Data encoding“ (Datencodierung) eingeben. Klicken Sie nach dem Konfigurieren der Einstellungen auf „Apply“ (Anwenden), um die Änderungen zu speichern.

Das Konfigurieren von Eingabeoptionen für TCP, sicheres TCP und SNMP-Traps ist genauso einfach. Anstatt unter „Inputs“ (Eingaben) auf „UDP“ zu klicken, wählen Sie „TCP“ oder „SNMP“ aus. Anschließend können Sie die gewünschten Einstellungen konfigurieren. Ein Beispiel: Der Standardport für TCP-Syslog-Meldungen ist 1468, Sie können jedoch eine andere Portnummer wählen. Wie bei UDP-Meldungen können Sie auch hier die Eingabe im Feld „Bind to address“ (An Adresse binden) und das Datencodierformat ändern. Geben Sie dann die gewünschten Meldungstrennzeichen an, die festlegen, welches Zeichen bzw. welche Zeichenfolge einen TCP-Datenstrom in separate Syslog-Meldungen unterteilt.

Als Netzwerk- oder Systemtechniker nutzen Sie am besten ein Syslog-Verwaltungstool, um Syslog-Meldungen von den Geräten im Netzwerk zu erfassen und zu überwachen. Kiwi Syslog Server NG kann Syslog-Daten von einer unbegrenzten Anzahl von Geräten erfassen, sodass Sie problemlos alle Switches, Firewalls und Router überwachen können.

Neben der Überwachung von Syslog-Meldungen bietet Kiwi Syslog Server NG auch die Möglichkeit, SNMP-Traps (Simple Network Management Protocol) von Unix-, Linux- und Windows-Systemen zu erfassen, sodass Sie wichtige Informationen aus der gesamten IT-Infrastruktur an einem zentralen Ort einsehen können.

Über die benutzerfreundliche webgestützte Syslog-Konsole können Sie die Daten per Webzugriff in Echtzeit anzeigen, egal wo auf der Welt Sie sich befinden. Kiwi Syslog Server NG verfügt über 21 anpassbare Ansichten und Diagramme zur Darstellung von Syslog-Statistiken, sodass Sie Probleme mit der Netzwerk- oder Geräteleistung schnell analysieren und beheben können. Sie können Syslog-Meldungen nach IP-Adresse, Priorität, Hostname oder Tageszeit filtern, um nach wichtigen Meldungen zu suchen.

Kiwi Syslog Server NG kann nicht nur Syslog-Meldungen, SNMP-Traps und Windows-Ereignisprotokolle erfassen und überwachen, sondern dank integrierter Aktionen auch auf Syslog-Meldungen reagieren.

Kiwi Syslog Server NG bietet außerdem folgende weitere Vorteile:

• Archivieren von Syslog-Meldungen auf Datenträgern, in Dateien oder ODBC-konformen Datenbanken
• Weiterleiten von Meldungen an andere IT-Verwaltungstools von SolarWinds wie Loggly, Papertrail, Security Event Manager (SEM) und Network Performance Monitor (NPM)
• Ordnung im Posteingang dank der erweiterten Meldungspufferfunktionen von Kiwi Syslog Server
• Speichern, Archivieren und Bereinigen von Protokollen zum Nachweisen von Compliance mit SOX, PCI-DSS und HIPAA