Phenquestions
Hovedårsaken til nettverk er kommunikasjon. Mens du kobler til nettverk, må viktige meldinger sendes mellom nettverksenheter for å holde oversikt over hendelser mens de skjer. Som systemadministrator eller DevOps-personell er det veldig viktig å holde oversikt over aktiviteter som pågår over et nettverk, og det er veldig nyttig for å løse problemer når de kommer opp.
Metoden for å logge de fleste ganger betraktes som tidkrevende eller stressende. Til slutt er innsatsen vanligvis verdt det. Imidlertid, med syslog, reduseres alt dette stresset, ettersom du kan få til å automatisere loggprosessen.Alt du bare trenger å gjøre er å gå gjennom loggene når et problem dukker opp og takle problemene slik loggene indikerer.
Syslog er en kjent standard for meldingslogging. De fleste ganger har systemet som logger og programvaren som genererer dem en tendens til å forstyrre prosesser. Men syslog hjelper til med å skille programvaren som genererer loggene fra systemet som lagrer loggene, og gjør dermed loggprosessen mindre komplisert og stressende.
Med andre ord, syslog er et åpent system, designet for å hjelpe med å overvåke nettverksenheter eller -systemer og sende hendelser til en loggserver. Det sikrer at meldinger skiller seg ut fra prioriteten til meldingene og typen nettverksenhet som sender meldingen.
Bortsett fra å hjelpe med generering og lagring av logger, kan den også brukes til sikkerhetsrevisjon samt generell analyse og feilsøking av systemmeldinger.
Syslog-standarden er tilgjengelig for bruk på tvers av forskjellige nettverksenheter som rutere, brytere, lastbalansere, innbruddsbeskyttelsessystemer osv. ved å bruke User Datagram Protocol av port 514 for å kommunisere meldinger til loggeserverne.
En syslog-melding følger enten legacy-syslog- eller BSD-syslog-protokollen og har følgende format:
- PRI-meldingsseksjon
- HEADER meldingsdel
- MELDING seksjon
En syslog-melding kan aldri gå forbi 1024 byte.
PRI-meldingsseksjon
PRI er også kjent som Priority Value-delen av syslog-meldingen, og husk tidligere at jeg snakket om syslog som sendte loggmeldinger i henhold til prioritetsnivået og også typen nettverksenhet eller anlegg, her vises all informasjonen. Denne delen representerer delen og alvorlighetsgraden av syslog-meldingen.
Prioritetsverdien oppnås ved å beregne produktet av anleggsnummeret (den delen av systemet som sender meldingen) med 8 og deretter legge til den numeriske verdien av alvorlighetsgraden (dette er viktighetsnivået til meldingen i henhold til systemet.
Prioritetsverdi = (Anleggsnummer * 8) + Alvorlighetsgrad
HEADER meldingsdel
Mens PRI-delen handlet mer om systemet, handler header-delen mer om informasjonen som følger med syslog-hendelsen.
Den inneholder tidsstemplet for meldingen, vertsnavnet eller IP-adressen til systemet. Formatet for tidsstempelfeltet er:
MM dd tt: mm: ss
Hvor:
MM er måneden sysloggen ble sendt som en forkortelse. Dette betyr at måneden kommer i form av Jan, Feb, Mar, Apr osv.
dd er dagen i måneden meldingen ble sendt. Når dagen ikke er tosifret, representeres verdien av et mellomrom og tallet i stedet for et 0 og tallet. Dette betyr at "7" brukes til å skildre 7 i stedet for "07".
hh er timen på dagen da meldingen ble sendt, ved hjelp av tidsformatet 24 timer. Med verdier mellom 00 og 23, med 00 og 23 inkludert.
mm er minutt av timen da meldingen ble sendt. Med verdier mellom 00 og 59, med 59 inkludert.
ss er det sekund i minuttet da meldingen ble sendt. Med verdier mellom 00 og 59, med 59 inkludert.
Et eksempel på ovenstående er:
8. mars 22:30:15
MELDING seksjon
Dette er ofte der all nødvendig informasjon ligger. Den inneholder navnet på programmet, prosessen som førte til genereringen av meldingen og selve meldingen.
Meldingsdelen er vanligvis i formatet: program [pid]: melding_tekst.
Eksempel:
Følgende er en eksempel syslog-melding: <133>25 feb 14:09:07 webserver syslogd: start på nytt. Meldingen tilsvarer følgende format:
Til slutt, etter å ha generert meldingen, er det å analysere den et annet ballspill. Du kan analysere syslog ved hjelp av et programmeringsspråk som python, ved å bruke vanlige uttrykk, bruke xml-parser, og du kan også analysere ved hjelp av json. En loggparser som syslog-ng fungerer perfekt med Python. Det lar deg skrive din egen parser i python, noe som gir mye mer kontroll over parseringspotensialene.
Python er veldig populært for skraping av data, slik at du enkelt kan finne moduler for å skrote de nødvendige dataene fra syslog, noe som gjør det lettere å behandle meldinger, spørringsdatabaser osv. Hvis du har tenkt å bruke syslog-ng, kan du hente OSE-konfigurasjonsfilen og inkludere den i filen.
Du bør imidlertid sørge for at miljøvariabelen PYTHON_PATH inkluderer banen til Python-filen, og deretter eksporterer du variabelen PYTHON_PATH.
For eksempel:
eksporter PYTHONPATH = / opt / syslog-ng / etc
Python-objektet initieres bare en gang når syslog-ng OSE startes eller lastes inn på nytt. Det betyr at det holder tilstanden til interne variabler mens syslog-ng OSE kjører. Python-parsere består av to deler. Den første er et syslog-ng OSE-parserobjekt som du bruker i din syslog-ng OSE-konfigurasjon, for eksempel i loggbanen.
Denne parseren refererer til en Python-klasse, som er den andre delen av Python-parsers. Python-klassen behandler loggmeldingene den mottar, og kan gjøre praktisk talt alt du kan kode i Python.
parserpython (klasse (" "));; python import re class MyParser (object): def init (self, options):" Valgfritt. Denne metoden utføres når syslog-ng startes eller lastes inn på nytt."returner True def deinit (selv):" Valgfritt. Denne metoden utføres når syslog-ng stoppes eller lastes inn på nytt."returner True def parse (self, msg):" Påkrevd. Denne metoden mottar og behandler loggmeldingen."returner True;
Når du endelig skal analysere syslog-filen din, kan du deretter handle på de problemene som har forårsaket problemer.
De fleste ganger vil du finne stiene til katalogene der problemet ligger, slik at du enkelt kan navigere i kataloger ved hjelp av "cd" -kommandoen.
Med syslog er du i stand til å spare mer tid og forbedre effektiviteten.
