Administración de Syslog

Como administrador, analista de sistemas, o miembro del equipo de DevOps, capturar datos de registro debe ser una de sus prioridades. La información que contienen los datos de registro puede ayudarlo a garantizar que sus sistemas funcionen correctamente y, además, permitirle servir a sus usuarios y detectar y solucionar problemas con mayor eficacia.

El estándar para intercambiar información de registro, syslog, simplifica el proceso de transportar y recopilar datos de registro en una ubicación centralizada, lo que le permite analizar y comprender mejor sus datos. El protocolo syslog, que usan computadoras, otros dispositivos de red y aplicaciones para transportar mensajes y registros a una ubicación central a fin de registrarlos y almacenarlos, ha sido un método de generación de registros popular y directo desde que se introdujo en la década de 1980.

Syslog consta de tres capas, cada una de ellas con una función diferente. La capa de transporte se ocupa de enviar el mensaje a través de la red, mientras que la capa de aplicación lo crea, enruta, interpreta y almacena. Como implica el nombre, la capa de contenido consta de contenido (o datos) del mensaje, incluida información estándar, como los niveles de gravedad o los códigos de instalación.

Los servidores de registro usan oyentes para recopilar datos de syslog a través de un puerto UDP y, luego, almacenan los datos en una base de datos para futura referencia.

Mientras que los mensajes de Syslog no se estandarizaron durante décadas, el Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force [IET]) estandarizó syslog en 2009. En la actualidad, los mensajes de Syslog respetan el formato estándar, que incluye lo siguiente:

• Un encabezado: El encabezado contiene marca de hora, ID de proceso, ID de mensaje, nombre del host, aplicación, prioridad y versión.
• Datos estructurados: Los bloques de datos se pueden encontrar en los pares leyenda-valor, lo que permite analizar e interpretar rápidamente.
• Un mensaje: Los mensajes de registro deben estar codificados como UTF-8, pero el contenido del mensaje es flexible.
  

Ejecutar comandos automáticamente con cadenas puede simplificar la administración de Syslog y ahorrarle tiempo valioso. Con las capacidades de creación de cadenas de Kiwi Syslog Server, puede administrar diccionarios y archivos, operar con variables personalizadas, reenviar mensajes de Syslog a otros hosts, etc. Puede configurar Kiwi Syslog Server NG para que ejecute sus cadenas en intervalos regulares si crea una tarea programada.

Los elementos (o datos) se almacenan en un arreglo en diccionarios, y los elementos y leyendas únicas se emparejan. Escribir cadenas le permite crear, ver, emitir alertas y eliminar diccionarios y sus pares de leyendas y elementos. La funcionalidad de creación de cadenas de Kiwi Syslog Server simplifica el proceso de:

• Almacenar un par de leyenda y elemento en un diccionario
• Eliminar un par de clave y elemento de un diccionario con nombre
• Eliminar un par de clave y elemento de un diccionario
• Borrar diccionarios específicos o sus diccionarios
• Ver el número de elementos o un elemento para una leyenda específica en un diccionario
• Determinar si existe una leyenda específica en un diccionario
• Ver un arreglo que contenga las leyendas o los elementos de un diccionario específico

Además de administrar diccionarios, puede usar la creación de cadenas para lo siguiente:

• Verificar si las cadenas tienen un formato de dirección IP válido
• Convertir las direcciones IP a valores hexadecimales de 8 bytes
• Ver la página de estadísticas diarias como una cadena CRLF delimitada que se puede enviar por correo electrónico o escribir en un archivo
• Convertir los valores de prioridad de mensajes a representaciones de texto de niveles de capacidad
• Enviar correos electrónicos
• Enviar mensajes de Syslog a otros hosts de syslog mediante el protocolo UDP o TCP
• Eliminar archivos

A pesar de que otros campos de cadenas se conocen por borrar los valores estáticos con cada nuevo mensaje, el sistema de Kiwi Syslog Server no lo hace. También tiene una cantidad ilimitada de variables personalizadas/globales que pueden utilizarse. Para usar el script, abra el cuadro de diálogo de Kiwi Syslog Server NG Setup y, luego, haga clic en Cadenas.

Cuando se trata de la administración de syslog, SolarWinds Kiwi Syslog Server NG puede recopilar datos de syslog de una cantidad ilimitada de dispositivos, incluidos los dispositivos IPv4 e IPv6, y administrar hasta dos millones de mensajes por hora. Kiwi Syslog Server NG es una solución centralizada de administración de mensajes de registro con respuestas integradas, vistas intuitivas y capacidades avanzadas de alertas y filtrado, además de ser fácil de usar.

Con Kiwi Syslog Server NG, puede monitorear y administrar sus datos de syslog en tiempo real sin importar dónde esté con una aplicación basada en web nativa. La consola web ofrece 21 vistas personalizables, lo que le permite ver los datos críticos para el negocio y actuar rápidamente. Kiwi Syslog Server NG incluso cuenta con gráficos específicos del rango de hora de estadísticas syslog, para que pueda comprender mejor el desempeño de sus dispositivos y de su red durante un período determinado.

Kiwi Syslog Server NG cuenta con varias acciones integradas. A modo de respuesta a los mensajes de Syslog, esta herramienta de administración de Syslog puede ejecutar cadenas o programas externos, o registrar mensajes en archivos, registro de eventos de Windows o bases de datos. Además, puede usarla para enviar una notificación por correo electrónico o reenviar los mensajes de Syslog a otros hosts. La herramienta también puede separar registros escritos de acuerdo con la dirección IP, el nombre del host, el dispositivo, la fecha y otras variables, a fin de ahorrarle el trabajo de tener que realizar estas acciones de manera manual. Kiwi Syslog Server NG puede alertarlo automáticamente por correo electrónico, mensaje de texto o bíper, o mensaje instantáneo cuando se cumplen los criterios syslog previamente definidos.

Además de ofrecer la funcionalidad de alertas avanzadas syslog y búfers de mensajes, este administrador syslog proporciona capacidades de filtrado de mensajes. Puede filtrar mensajes de acuerdo a la prioridad, la dirección IP del host, la hora del día o el nombre del host, a fin de encontrar el mensaje que necesita. Además, puede retener y archivar los mensajes de Syslog en archivos, discos y bases de datos que cumplen con ODBC, lo que le permitirá demostrar el cumplimiento con las regulaciones como FISMA, PCI-DSS y SOX.

Kiwi Syslog Server NG es compatible con otras herramientas de administración de TI de SolarWinds, por lo que puede filtrar los mensajes de Syslog no deseado antes de que se envíen a SolarWinds Network Performance Monitor y reenviar los mensajes de registro a SolarWinds Loggly^® y Security Event Manager para contar con almacenamiento de registros de alta calidad, monitoreo y análisis, así como correlación de eventos y detección de amenazas en tiempo real.