syslog: Qué es y cómo ver los mensajes en CISCO Y Huawei

syslog: Qué es y cómo ver los mensajes en CISCO Y Huawei

syslog es una norma aceptada y apliamente utilizada que no pertenece a un organizmo de estandarización.

Se utiliza para el envio de registros, por syslog se conoce al protocolo de red y la aplicación.

Usos de syslog: recolecta, registra y analiza

  • Intento de acceso con contraseña equivocada.
  • Acceso correcto al sistema.
  • Anomalías: variaciones en el funcionamiento normal del sistema.
  • Alertas cuando ocurre alguna condición especial.
  • Información sobre las actividades del sistema operativo.
  • Errores del hardware o el software.

Syslog utiliza UDP por el puerto 514 en texto plano. Pero también puede extenderse como syslog-ng que permite utilizat TCP y datos cifrados.

Estructura del mensaje de syslog

  • Prioridad
  • Cabecera
  • Texto

El tamaño máximo del mensaje es de 1024bytes, la longitud minima puede ser de cualquier valor.

Prioridad

La prioridad es un número de 8 bits que indica el recurso (quien genera el mensaje) y la severidad (importancia del mensaje). Los códigos se pueden elegir, pero suele haber una convención.

Códigos de recurso

Éstos son los códigos observados en varios sistemas. Fuente: RFC 3164.

0Mensajes del kernel
1Mensajes del nivel de usuario
2Sistema de correo
3Demonios de sistema
4Seguridad/Autorización
5Mensajes generados internamente por syslogd
6Subsistema de impresión
7Subsistema de noticias sobre la red
8Subsistema UUCP
9Demonio de reloj
10Seguridad/Autorización
11Demonio de FTP
12Subsistema de NTP
13Inspección del registro
14Alerta sobre el registro
15Demonio de reloj
16Uso local 0
17Uso local 1
18Uso local 2
19Uso local 3
20Uso local 4
21Uso local 5
22Uso local 6
23Uso local 7

Códigos de severidad

0Emergencia: el sistema está inutilizable
1Alerta: se debe actuar inmediatamente
2Crítico: condiciones críticas
3Error: condiciones de error
4Peligro: condiciones de peligro
5Aviso: normal, pero condiciones notables
6Información: mensajes informativos
7Depuración: mensajes de bajo nivel

Cálculo de prioridad

Prioridad = Recurso * 8 + Severidad

Ejemplo:

Mensaje de Kernel (0) * 8 + Severidad (0 – Emergencia) = 0
Mensaje de FTP (11) * 8 + Severidad (6 – Información) = 94

A valor más bajo, mayor prioridad.

Cabecera

Contiene los campos tiempo y nombre.

tiempo (Mmm dd hh:mm:ss), donde Mmm es el mes, dd es el día del mes, y hh:mm:ss es la hora completa.

nombre (hostname ó IP), si el equipo no tiene nombre entonces se utiliza la IP.

Texto

Incluye información sobre el aviso.

Cómo ver mensajes de syslog en CISCO

Para ver mensajes de log en un router CISCO puedes utilizar el comando show logging.

Un ejemplo de salida de del comando seria el siguiente:

ROUTER#show logging
Wed Oct 24 15:16:00.979 Uruguay
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 454072 messages logged
Monitor logging: level debugging, 676 messages logged
Trap logging: level informational, 453789 messages logged
Logging to 172.24.3.30, 453789 message lines logged
Buffer logging: level debugging, 454270 messages logged

Log Buffer (2097152 bytes):

RP/0/RSP0/CPU0:Oct 24 07:38:31.757 : SSHD_[65815]: %SECURITY-SSHD-6-INFO_SUCCESS : Successfully authenticated user 'marcelo' from '172.0.0.1' on 'vty0'(cipher 'aes128-ctr', mac 'hmac-sha2-256')
RP/0/RSP0/CPU0:Oct 24 07:38:32.287 : SSHD_[65815]: %SECURITY-SSHD-6-INFO_USER_LOGOUT : User 'marcelo' from '172.0.0.1' logged out on 'vty0'
RP/0/RSP0/CPU0:Oct 24 07:40:33.601 : exec[65927]: %SECURITY-LOGIN-6-AUTHEN_SUCCESS : Successfully authenticated user 'marcelo' from '172.0.0.1' on 'vty0'
RP/0/RSP0/CPU0:Oct 24 07:53:47.904 : ipv6_ma[306]: %IP-IPV6_MA-4-INVALID_MTU : 'The link MTU is below the minimum IPv6 link MTU (1280). IPv6 may not work correctly on this interface. 576: Bundle-Ether1000.0.pppoe1234'

Es muy interesante ver por ejmplo el Warning de MTU invalida para IPv6, con seguridad este caso se da para un equipo de cliente personal que no esta respetando el tamaño de MTU y esta configurado muy bajo.

Los otros mensajes son más convencionales, de autentificación, acceso y salida de ususarios en la gestion por ssh.

Cómo ver mensajes de syslog en Huawei

Para ver mensajes de log en un router Huawei puedes utilizar el comando display logbuffer.

Un ejemplo de salida de del comando seria el siguiente:

<ROUTER> display logbuffer
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 167801
Current messages : 512

Oct 24 2018 16:16:21-03:00 ROUTER %%01SNMP/4/SNMP_FAIL(s)[0]:Failed to login through SNMP. (Ip=196.0.0.1, Times=1, Reason=the ACL filter function, VPN= )
Oct 24 2018 16:16:21-03:00 ROUTER %%01INFO/4/SUPPRESS_LOG(l)[1]:Last message repeated 8 times.(InfoID=1082212355, ModuleName=SNMP, InfoAlias=SNMP_FAIL)
Oct 24 2018 15:58:04-03:00 ROUTER %%01DEFEND/0/HTTPHOSTCARDROPLOG(l)[7]:Slot=8,Vcpu=0;Packets were dropped in HTTP-HOST-CAR. (SlotId=8, CardId=0, PortId=2, Http-Host-CarID=1882, UserVlan=300, UserQinQ=1000, UserMac=44-ff-ba-00-00-00 )
Oct 24 2018 15:55:06-03:00 ROUTER %%01SSH/4/SSH_FAIL(s)[9]:Failed to login through SSH. (IP=172.0.0.1, VpnInstanceName=gestion, UserName=marcelo, Times=1, FailedReason=User public key authentication failed)

La salida del log de Huawei es a mi entender menos descriptiva que la de CISCO.

Para esta salida lo que podria ser interesante de ver es el mensaje DEFEND/0/HTTPHOSTCARDROPLOG, que segun la documentación oficial nos indica que la CPU esta dropeando paquetes por seguridad.

Los otros mensajes, al igual que la salidad del log de CISCO, son más convencionales, de autentificación, acceso y salida de ususarios en la gestion por ssh.

Formato del mensaje syslog de huawei

<Int_16>TIMESTAMP HOSTNAME %%ddAAA/B/CCC(l):VS=X-CID=ZZZ; YYYY

<Int_16>Información que se envia al servidor syslog, pero no se guarda localmente.
TIMESTAMPFecha y hora, el formato puede ser configurado, por defecto: yyyy-mm-dd hh:mm:ss
HOSTNAMEEl hostname configurado en el equipo, por defecto es HUAWEI.
%%Identificador propio de huawei.
ddNúmero de información de la version del formato.
AAANombre del módulo que generó el formato.
BCódigo o nivel de severidad.
CCCInformación descriptiva.
(l)Tipo de información
VS=X-CID=ZZZNumero de virtual system (VS) y numero de un componento dentor de un dispositivo
YYYYInformación detallada

Un ejemplo práctico del formato del mensaje syslog de huawei que ya vimos antes podria ser el siguiente:

Oct 24 2018 16:16:21-03:00 ROUTER %%01SNMP/4/SNMP_FAIL(s)[0]:Failed to login through SNMP. (Ip=196.0.0.1, Times=1, Reason=the ACL filter function, VPN= )

Y una tabla comparativa del formato con este ejemplo lo podemos ver a continuación:

<Int_16>TIMESTAMPHOSTNAMEddAAABCCC(l)VS=X-CID=ZZZYYYY
Oct 24 2018 16:16:21-03:00ROUTER%%01SNMP4SNMP_FAIL(s)[0]Failed to login through SNMP.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.