Monitore as mensagens Syslog com o Kiwi Syslog Server NG

Uma mensagem Syslog tem um formato padronizado que utiliza o protocolo Syslog (protocolo de registro no sistema) empregado pelos dispositivos de rede para estabelecer comunicação. Dispositivos de rede – como roteadores, switches, firewalls e servidores – usam mensagens Syslog para enviar informações sobre o respectivo status ou sobre eventos significativos, de modo que elas são altamente importantes para a solução de problemas de rede.

A chave para aproveitar as mensagens Syslog para o monitoramento e a solução de problemas de rede é ter um bom servidor Syslog. Um servidor Syslog pode centralizar as mensagens Syslog dos dispositivos capacitados e permitir que você acesse, pesquise ou filtre as mensagens (e, geralmente, muito mais). Para isso, os dispositivos capacitados precisam ser configurados para enviar as mensagens Syslog para um servidor Syslog.

As mensagens Syslog são usadas principalmente pelos dispositivos de rede com os sistemas operacionais Linux e Unix. Por padrão, essas mensagens são enviadas por meio do UDP (protocolo de datagrama de usuário), que é um protocolo sem conexão. Logo, não há nenhuma garantia de que a mensagem chegará. No entanto, alguns dispositivos também podem usar um protocolo orientado a conexão, o TCP (protocolo de controle de transmissão), o que ajuda a assegurar que a mensagem será entregue.

Para que são usadas as mensagens Syslog?

Geralmente, as mensagens Syslog são usadas por administradores de rede e de sistemas para a detecção antecipada e a solução de um possível problema em um dispositivo de rede. As mensagens Syslog fornecem informações essenciais sobre o status dos dispositivos de rede e eventos importantes capazes de ter um impacto negativo na operação padrão de uma rede. Juntamente com as interceptações de SNMP, as mensagens Syslog são um meio básico de comunicação para dispositivos de rede, como roteadores, switches, firewalls e servidores. Em uma rede típica, milhares de mensagens Syslog e interceptações de SNMP são geradas a cada minuto, o que torna impossível o seu uso para monitoramento da rede sem uma solução centralizada. Os dois tipos de mensagens podem ser coletados por um servidor Syslog, que atua como um local central para todos os logs gerados pelos dispositivos de rede. Um servidor Syslog oferece um modo fácil de acessar, pesquisar e filtrar logs, sendo parte crucial do gerenciamento de logs.

As mensagens Syslog são compostas por três partes principais:

HEADER (informações de identificação) SD (dados estruturados) MSG (a mensagem propriamente dita)

Cabeçalho: o cabeçalho de uma mensagem Syslog inclui informações de identificação como versão, carimbo de data e hora, nome do host, endereço IP do dispositivo, identificação do processo e prioridade da mensagem (PRI). A prioridade da mensagem Syslog é um valor calculado que ajuda a classificar as mensagens Syslog, determinar a importância geral da mensagem e atribuir uma reação apropriada, se for necessário.

Dados estruturados: esta parte de uma mensagem Syslog serve para fornecer um formato de dados bem definido e facilmente analisável. Como a mensagem propriamente dita está em um formato de texto livre, pode ser difícil extrair informações relevantes dela. Os dados estruturados proporcionam uma maneira de fornecer outras informações úteis sobre uma mensagem Syslog (por exemplo, contadores de tráfego ou endereços IP) em um formato mais amigável para processamento adicional dos dados.

Mensagem: esta parte de uma mensagem Syslog inclui a mensagem propriamente dita em um formato de texto livre e fornece informações sobre o evento. Geralmente, um conjunto de caracteres UNICODE codificado com UTF-8 é usado nas mensagens Syslog.

PRI: a prioridade de uma mensagem Syslog é calculada como uma combinação de duas variáveis: procedência e gravidade.

O código de procedência especifica o tipo de sistema que gerou a mensagem. Ele pode ter um valor numérico entre 0 e 23 com base em 15 valores predefinidos e oito valores que podem ser definidos localmente:

Número - Descrição da procedência

0 - Mensagens de kernel

1 - Mensagens no nível do usuário

2 - Sistema de e-mail

3 - Daemons do sistema

4 - Mensagens de segurança/autorização

5 - Mensagens geradas pelo syslogd

6 - Subsistema Line Printer

7 - Subsistema Network News

8 - Subsistema UUCP

9 - Daemon do relógio

10 - Mensagens de segurança/autorização

11 - Daemon de FTP

12 - Subsistema NTP

13 - Auditoria de log

14 - Alerta de log

15 - Daemon do relógio

16 - 23 - Usado localmente

Gravidade: esta variável especifica a importância da mensagem propriamente dita e pode ter um valor numérico entre zero e sete (desde mensagens de emergência até mensagens no nível de depuração).

A prioridade de uma mensagem Syslog é calculada desta forma:

Prioridade = Procedência * 8 + Gravidade

Por exemplo, uma mensagem de kernel de emergência teria o valor de prioridade igual a 0. Quanto menor o valor de prioridade, maior a importância da mensagem.

Um bom servidor Syslog permite identificar as mensagens de alta prioridade e reagir à situação de maneira adequada, seja enviando uma notificação para um administrador de rede por e-mail ou executando um script externo.

Há oito níveis de gravidade usados para categorizar mensagens Syslog. Esta é a descrição de cada nível, de acordo com o protocolo Syslog RFC 5424:

Código numérico - Gravidade

0 - Emergência: o sistema está inutilizável

1 - Alerta: devem ser tomadas providências imediatas

2 - Crítico: condições críticas

3 - Erro: condições de erro

4 - Aviso: condições de aviso

5 - Notificação: condição normal, mas significativa

6 - Informativo: mensagens informativas

7 - Depuração: mensagens no nível de depuração

É improvável que você receba mensagens de emergência, pois elas geralmente significam que o sistema está inoperante e não consegue enviar mensagens. Por outro lado, as mensagens de depuração geralmente são usadas durante o desenvolvimento e não costumam impactar as operações da rede, de modo que convém ser notificado sobre elas.

Assim como acontece com o nível de prioridade, um bom servidor Syslog deve permitir a configuração de regras para reagir às mensagens Syslog de acordo com o nível de gravidade.

Você pode monitorar as mensagens Syslog com mais eficiência no Kiwi Syslog Server NG definindo regras e usando filtros. Esse monitor Syslog avançado oferece a capacidade de definir um número ilimitado de regras (consistindo em um número ilimitado de filtros e ações) para que você possa processar as mensagens Syslog e responder a elas segundo seus próprios critérios e necessidades. O Kiwi Syslog Server NG oferece atalhos do teclado para simplificar operações como excluir, inserir, copiar, colar, mover, renomear e nomear automaticamente regras, filtros, ações e agendas.

As regras informam ao Kiwi Syslog Server NG como processar mensagens Syslog de entrada, incluindo quais mensagens disparam quais ações. Se uma regra se aplicar a uma mensagem de log, o Kiwi Syslog Server NG comparará a mensagem a cada filtro da regra, começando pelo primeiro da lista. Se alguma condição de filtro for falsa, o Kiwi Syslog Server NG interromperá o processamento da regra e aplicará a regra seguinte à mensagem. Porém, se todas as condições de um filtro forem verdadeiras, o Kiwi Syslog Server NG repetirá o processo com o filtro seguinte. Se uma mensagem passar em todos os filtros de uma regra, o Kiwi Syslog Server NG começará a executar todas as ações em ordem. Uma vez concluídos todos os filtros e ações da primeira regra, o Kiwi Syslog Server NG passará para a regra seguinte, de modo que aplicar as regras em ordem é essencial.

É fácil adicionar regras para determinar quais ações devem ocorrer depois que uma mensagem é recebida. Para começar, selecione Setup no menu principal. Em seguida, clique em Rules e em Add Rule na caixa de diálogo do Kiwi Syslog Server NG para adicionar uma nova regra à árvore. Por fim, nomeie a regra, adicione filtros e ações e salve as alterações clicando em OK. Depois de criar uma regra, é fácil exportá-la e compartilhá-la com outro Kiwi Syslog Server NG.

Você pode definir filtros para controlar se uma mensagem acionará as ações de uma regra. O SolarWinds Kiwi Syslog Server NG possibilita a filtragem de mensagens com base em fatores como endereço IP, prioridade, horário, nome do host, fonte de entrada, expressões regulares e texto da mensagem. Depois que você criar seus filtros, o Kiwi Syslog Server NG os aplicará automaticamente na ordem em que estão listados. Mas, se você dispensar os filtros, todas as mensagens dispararão uma ação.

Você pode configurar o Kiwi Syslog Server NG para realizar uma ação específica quando uma mensagem passa por todos os filtros de uma regra. Exemplos de ações comuns:

• Executar um script ou um programa externo
• Enviar um e-mail
• Registrar mensagens de entrada em um arquivo, Papertrail™ ou Loggly^®
• Enviar uma mensagem Syslog ou uma interceptação de SNMP
• Pausar contadores e sinalizadores
• Exibir uma mensagem

É fácil configurar os dispositivos capacitados para o Syslog de modo que comecem a enviar mensagens para o Kiwi Syslog Server NG para fins de monitoramento do Syslog. Para começar, verifique se o recurso de log de mensagens está habilitado no dispositivo. Felizmente, na maioria dos dispositivos capazes de gerar mensagens Syslog, a função de log está habilitada automaticamente, mas não custa nada conferir. Em seguida, configure o dispositivo para enviar as mensagens Syslog para uma porta (geralmente a porta 514) no computador com o Kiwi Syslog Server NG.

A norma do RFC 5426 especificou a porta 514 como a porta padrão para as mensagens Syslog. O Kiwi Syslog Server NG escutará as mensagens do protocolo UDP na porta 514 por padrão. Porém, se isso não for adequado às suas necessidades, você pode facilmente definir as configurações do Kiwi Syslog Server para escutar mensagens do protocolo TCP, mensagens do protocolo TCP seguro e interceptações de SNMP em vez de mensagens UDP. Você pode configurar o Kiwi Syslog Server NG para escutar as mensagens UDP, TCP, TCP seguro ou de SNMP em uma porta diferente.

Para configurar as opções de entrada UDP, abra a seção Settings, em Setup, no menu principal do Kiwi Syslog Server NG. No item de menu Inputs, clique em UDP e especifique a porta em que você quer escutar as mensagens UDP. Qualquer valor de porta entre 1 e 65535 funcionará se o dispositivo que transmite a mensagem Syslog for compatível com o novo número de porta. Na maioria das vezes, é recomendável deixar o campo Bind to address em branco e permitir que o soquete UDP escute mensagens em todas as interfaces. Porém, se você determinar o endereço IP no campo Bind to address, poderá limitar a associação a uma interface específica. Você pode estabelecer qual método de decodificação será aplicado aos dados de entrada selecionando um formato de codificação no menu suspenso ou digitando o número da página do código na seção Data encoding. Depois de definir as configurações, salve as alterações clicando em Apply.

Configurar opções de entrada de TCP, TCP seguro e interceptação de SNMP é igualmente simples. Em vez de clicar em UDP em Inputs, selecione TCP ou SNMP. Em seguida, defina as configurações desejadas. Por exemplo, a porta padrão para mensagens Syslog TCP é 1468, mas você pode optar por outro número de porta. Como acontece com as mensagens UDP, você pode alterar o campo Bind to address e o formato de codificação dos dados. Depois, especifique os delimitadores da mensagem, também chamados de separadores – ou seja, qual caractere ou sequência de caracteres divide um fluxo TCP em mensagens Syslog separadas.

Se você é um engenheiro de rede ou de sistemas, convém usar uma ferramenta de gerenciamento do Syslog para coletar e monitorar as mensagens Syslog geradas por seus dispositivos de rede. O Kiwi Syslog Server NG pode coletar dados do Syslog provenientes de um número ilimitado de dispositivos, facilitando o monitoramento de todos os switches, firewalls e roteadores.

Além de monitorar as mensagens Syslog, o Kiwi Syslog Server NG pode coletar interceptações do protocolo SNMP originárias de sistemas Unix, Linux e Windows. Desse modo, você consegue visualizar informações essenciais de toda a sua infraestrutura de TI em um local centralizado.

Os dados podem ser exibidos em tempo real com o console baseado na web fácil de usar do Syslog em qualquer lugar do mundo que tenha acesso à web. O Kiwi Syslog Server NG apresenta 21 exibições personalizáveis e gráficos estatísticos do Syslog para você rapidamente compreender os problemas de desempenho da rede ou dos dispositivos e solucioná-los. Você pode filtrar as mensagens Syslog por endereço IP do host, prioridade, nome do host ou horário para localizar mensagens cruciais.

Mais do que apenas coletar e monitorar mensagens Syslog, interceptações de SNMP e logs de eventos do Windows, o Kiwi Syslog Server NG pode responder a essas mensagens graças às suas ações incorporadas.

Outras vantagens do Kiwi Syslog Server NG incluem a capacidade de:

• Arquivar mensagens Syslog em discos, arquivos ou bancos de dados compatíveis com ODBC
• Encaminhar mensagens para outras ferramentas de gerenciamento de TI da SolarWinds como Loggly, Papertrail, Security Event Manager (SEM) e Network Performance Monitor (NPM)
• Manter sua caixa de entrada limpa graças ao recurso de buffer de mensagens avançado do Kiwi Syslog Server
• Armazenar, arquivar e limpar logs para ajudar a demonstrar conformidade com SOX, PCI-DSS e HIPAA