Phenquestions
Glavni razlog umrežavanja je komunikacija. Tijekom umrežavanja, ključne poruke moraju se prenositi između mrežnih uređaja kako bi se pratili događaji kad se dogode. Kao osoblje administratora sustava ili Developer Operations (DevOps), praćenje aktivnosti koje se odvijaju preko mreže vrlo je važno i vrlo je korisno za rješavanje problema kad god isplivaju.
Način bilježenja većinu puta smatra se dugotrajnim ili stresnim. Na kraju se trud obično isplati. Međutim, syslogom se sav taj stres smanjuje jer biste mogli automatizirati postupak bilježenja.Sve što trebate učiniti je pregledati zapisnike kad god se pojavi problem i riješiti probleme kako to zapisnici pokazuju.
Syslog je poznati standard za bilježenje poruka. Najčešće se sustav koji vrši evidentiranje i softver koji ih generira obično ometaju tijekom procesa. Ali syslog pomaže odvojiti softver koji generira zapisnike od sustava koji pohranjuje zapisnike, čineći tako postupak prijave manje kompliciranim i stresnim.
Drugim riječima, syslog je otvoreni sustav, osmišljen kako bi pomogao nadzirati mrežne uređaje ili sustave i slati događaje na poslužitelj za prijavu. Osigurava da se poruke razlikuju na temelju prioriteta poruka i vrste mrežnog uređaja koji šalje poruku.
Osim što pomaže u generiranju i pohrani dnevnika, može se koristiti i za sigurnosnu reviziju, kao i za opću analizu i ispravljanje pogrešaka sistemskih poruka.
Standard syslog dostupan je za upotrebu na različitim mrežnim uređajima kao što su usmjerivači, prekidači, uravnoteživači opterećenja, sustavi zaštite od prodora itd. upotrebom korisničkog protokola datagrama porta 514 za komunikaciju poruka s poslužiteljima za prijavu.
Syslog poruka slijedi ili legacy-syslog ili BSD-syslog protokol i poprima sljedeći format:
- Odjeljak PRI poruke
- Odjeljak za poruku HEADER
- Odjeljak PORUKE
Syslog poruka nikada ne može prijeći 1024 bajta.
Odjeljak PRI poruke
PRI je također poznat kao prioritetna vrijednost dijela syslog poruke i prisjetite se ranije da sam govorio o syslog slanju poruka dnevnika prema razini prioriteta i također vrsti mrežnog uređaja ili objekta, ovdje se prikazuju sve te informacije. Ovaj dio predstavlja odjeljak mogućnosti i težine poruke syslog-a.
Vrijednost prioriteta dobiva se izračunavanjem umnoška broja objekta (dijela sustava koji šalje poruku) sa 8 i zatim dodavanjem numeričke vrijednosti ozbiljnosti (ovo je razina važnosti poruke prema sustavu.
Vrijednost prioriteta = (broj objekta * 8) + ozbiljnost
Odjeljak za poruku HEADER
Iako je PRI dio više govorio o sustavu, dio zaglavlja više je o informacijama koje dolaze s događajem syslog.
Sadrži vremensku oznaku poruke, ime hosta ili IP adresu sustava. Format polja vremenske oznake je:
MM dd hh: mm: ss
Gdje:
MM je mjesec u kojem je syslog poslan kao kratica. To znači da mjesec dolazi u obliku siječnja, veljače, ožujka, travnja itd.
dd je dan u mjesecu u kojem je poruka poslana. Kada dan nije dvoznamenkasti, vrijednost se predstavlja razmakom i brojem umjesto 0 i brojem. To znači da se "7" koristi za prikaz 7 umjesto "07".
hh je sat u danu kada je poruka poslana, koristeći format vremena od 24 sata. S vrijednostima između 00 i 23, uključujući 00 i 23.
mm je minuta sata kada je poruka poslana. S vrijednostima između 00 i 59, s uključno 59.
ss je druga u minuti kada je poruka poslana. S vrijednostima između 00 i 59, uključujući 59.
Primjer gore navedenog je:
8. ožujka 22:30:15
Odjeljak PORUKE
U ovom su trenutku smještene sve potrebne informacije. Sadrži naziv programa, postupak koji je doveo do generiranja poruke i sam tekst poruke.
Dio poruke obično je u formatu: program [pid]: tekst_teksta.
Primjer:
Slijedi uzorak poruke syslog-a: <133>25. veljače 14:09:07 webserver syslogd: ponovno pokretanje. Poruka odgovara sljedećem formatu:
Na kraju, nakon generiranja poruke, raščlanjivanje je drugačija igra s loptom. Syslog možete raščlaniti pomoću programskog jezika kao što je python, koristeći regularne izraze, koristeći xml parser, a također možete raščlaniti pomoću json. Analizator dnevnika poput syslog-ng savršeno radi s Pythonom. Omogućuje vam pisanje vlastitog parsera u python, što omogućuje puno veću kontrolu nad potencijalima raščlanjivanja.
Python je vrlo popularan za struganje podataka, tako da možete lako pronaći module za uklanjanje potrebnih podataka iz syslog-a, što olakšava obradu poruka, bazu podataka upita itd. Ako namjeravate koristiti syslog-ng, možete dobiti OSE konfiguracijsku datoteku i uključiti je u datoteku.
Međutim, trebali biste osigurati da varijabla okruženja PYTHON_PATH uključuje put do datoteke Python, a zatim izvezite varijablu okoline PYTHON_PATH.
Na primjer:
izvoz PYTHONPATH = / opt / syslog-ng / itd
Python objekt pokreće se samo jednom, kada se pokrene ili ponovno učita syslog-ng OSE. To znači da zadržava stanje unutarnjih varijabli dok je syslog-ng OSE pokrenut. Python parseri sastoje se od dva dijela. Prvi je syslog-ng OSE objekt za raščlanjivanje koji koristite u vašoj syslog-ng OSE konfiguraciji, na primjer, u putu dnevnika.
Ovaj parser upućuje na klasu Python, koja je drugi dio Python parsera. Klasa Python obrađuje poruke dnevnika koje prima i može raditi gotovo sve što možete kodirati u Pythonu.
parserpython (klasa (" "));; python import re class MyParser (objekt): def init (self, options):" Neobvezno. Ova se metoda izvršava kad se syslog-ng pokrene ili ponovo učita."return True def deinit (self):" Neobvezno. Ova se metoda izvršava kad se syslog-ng zaustavi ili ponovo učita."return True def parse (self, msg):" Obavezno. Ova metoda prima i obrađuje poruku dnevnika."return True;
Kada napokon počnete raščlanjivati datoteku syslog-a, tada možete početi postupati po onim problemima koji su stvarali probleme.
Većinu puta pronašli biste staze do direktorija u kojima je problem, tako da se lako možete kretati direktorijima pomoću naredbe "cd".
Syslog-om možete uštedjeti više vremena i poboljšati učinkovitost.
