La supervisión de una red en funcionamiento puede proporcionar información valiosa a un administrador de red para administrar la red de forma proactiva e informar estadísticas de uso de la red a otros. La actividad de los enlaces, las tasas de error y el estado de los enlaces son algunos de los factores que contribuyen a que un administrador de red determine el estado y el uso de una red. Recopilar y revisar esta información en el transcurso del tiempo permite que un administrador de red vea y proyecte el crecimiento, y puede contribuir a que detecte y reemplace una parte defectuosa antes de que falle por completo. En este contexto, la configuración de Syslog en dispositivos de red Cisco se convierte en una herramienta fundamental.
Syslog es un protocolo estandarizado utilizado para registrar y recopilar información de eventos de dispositivos de red Cisco, como routers, switches y firewalls. Permite la supervisión centralizada, el análisis y la solución de problemas de las actividades de la red al proporcionar un formato estandarizado para almacenar y transmitir mensajes de registro. Los mensajes Syslog contienen información valiosa sobre el estado de los dispositivos, cambios de configuración, errores de red, eventos de seguridad y mucho más. Al aprovechar Syslog, los administradores obtienen visibilidad sobre el estado general y el rendimiento de su infraestructura de red Cisco.
Introducción a Syslog y su Funcionamiento
Cuando ocurren ciertos eventos en una red, los dispositivos de red tienen mecanismos de confianza para notificar mensajes detallados del sistema al administrador. Estos mensajes pueden ser importantes o no. Los administradores de red tienen una variedad de opciones para almacenar, interpretar y mostrar estos mensajes, así como para recibir esos mensajes que podrían tener el mayor impacto en la infraestructura de la red. El método más común para acceder a los mensajes del sistema que proporcionan los dispositivos de red es utilizar un protocolo denominado “Syslog“.
Syslog usa el puerto UDP 514 para enviar mensajes de notificación de eventos a través de redes IP a recopiladores de mensajes de eventos. El término “Syslog” se utiliza para describir un estándar. También se utiliza para describir el protocolo desarrollado para ese estándar. El protocolo Syslog se desarrolló para los sistemas UNIX en la década de los ochenta, pero la IETF lo registró por primera vez como RFC 3164 en 2001. Muchos dispositivos de red admiten Syslog, incluidos routers, switches, servidores de aplicación, firewalls y otros dispositivos de red. El protocolo Syslog permite que los dispositivos de red envíen los mensajes del sistema a servidores de Syslog a través de la red. Es posible armar una red especial fuera de banda (OOB) para este propósito. Existen varios paquetes de software diferentes de servidores de Syslog para Windows y UNIX; muchos de ellos son freeware.
El servicio de registro de Syslog proporciona tres funciones principales:
- La capacidad de recopilar información de registro para el control y la resolución de problemas.
- Capacidad de seleccionar el tipo de información de registro que se captura.
- La capacidad de especificar los destinos de los mensajes de Syslog capturados.
En los dispositivos de red Cisco, el protocolo Syslog comienza enviando los mensajes del sistema y el resultado del comando debug a un proceso de registro local interno del dispositivo. La forma en que el proceso de registro administra estos mensajes y resultados se basa en las configuraciones del dispositivo. Por ejemplo, los mensajes de Syslog se pueden enviar a través de la red a un servidor de Syslog externo. Estos mensajes se pueden recuperar sin necesidad de acceder al dispositivo propiamente dicho. Los resultados y los mensajes de registro almacenados en el servidor externo se pueden incluir en varios informes para facilitar la lectura.
Por otra parte, los mensajes de Syslog se pueden enviar a un búfer interno. Los mensajes enviados al búfer interno solo se pueden ver mediante la CLI del dispositivo. Por último, el administrador de red puede especificar que solo se envíen determinados tipos de mensajes del sistema a varios destinos. Por ejemplo, se puede configurar el dispositivo para que reenvíe todos los mensajes del sistema a un servidor de Syslog externo. Sin embargo, los mensajes del nivel de depuración se reenvían al búfer interno, y solo el administrador puede acceder a ellos desde la CLI.
Los destinos comunes para los mensajes de Syslog incluyen lo siguiente:
- Búfer de registro (RAM dentro de un router o switch).
- Línea de consola.
- Línea de terminal.
- Servidor de Syslog.
Es posible controlar los mensajes del sistema de manera remota viendo los registros en un servidor de Syslog o accediendo al dispositivo mediante Telnet, SSH o a través del puerto de consola.
Formato de los Mensajes Syslog: Niveles de Gravedad y Facilidades
Los dispositivos de Cisco generan mensajes de Syslog como resultado de los eventos de red. Cada mensaje de Syslog contiene un nivel de gravedad y una instalación.
Niveles de Gravedad de Syslog
Cuanto más bajos son los números de nivel, más fundamentales son las alarmas de Syslog. El nivel de gravedad de los mensajes se puede establecer para controlar dónde se muestra cada tipo de mensaje (es decir, en la consola o los otros destinos).
Aquí se muestra la lista completa de los niveles de Syslog:
- Nivel 0 - Emergency: Indica una condición crítica del sistema.
- Nivel 1 - Alert: Debe ser abordada inmediatamente.
- Nivel 2 - Critical: Condiciones críticas.
- Nivel 3 - Error: Condiciones de error.
- Nivel 4 - Warning: Condiciones de advertencia.
- Nivel 5 - Notice: Mensajes de notificación normales, pero significativos.
- Nivel 6 - Informational: Mensajes informativos.
- Nivel 7 - Debug: Mensajes de depuración.
Cada nivel de Syslog tiene su propio significado:
- Nivel de advertencia, nivel de emergencia: estos son mensajes de error sobre software o hardware que funciona mal; estos tipos de mensajes significan que la funcionalidad del dispositivo se ve afectada. La gravedad del problema determina el nivel real de Syslog que se aplica.
- Nivel de depuración: este nivel indica que los mensajes son resultados que se generan a partir de la emisión de varios comandos
debug. - Nivel de notificación: el nivel de notificación solo proporciona información, la funcionalidad del dispositivo no se ve afectada. Los mensajes de interfaz activa o inactiva, o de reinicio del sistema se muestran en el nivel de notificación.
Es importante tener en cuenta que el nivel de depuración (nivel 7) puede generar una gran cantidad de tráfico de Syslog en una red ocupada, por lo que debe usarse con precaución.
Información sobre la Instalación (Facility)
Además de especificar la gravedad, los mensajes de Syslog también contienen información sobre la instalación. Las instalaciones de Syslog son identificadores de servicios que identifican y categorizan los datos de estado del sistema para informar los mensajes de error y de eventos.
Las opciones de instalación de registro disponibles son específicas del dispositivo de red. Por ejemplo, en un mensaje como Port-channel1, changed state to up, la instalación es LINK, y el nivel de gravedad es 3, con la mnemotecnia UPDOWN.
Los mensajes más comunes son los de enlace activo y enlace inactivo, y los mensajes que produce un dispositivo cuando sale del modo de configuración. Si se configura el registro de ACL, el dispositivo genera mensajes de Syslog cuando los paquetes coinciden con una condición de parámetros.
Por defecto, los dispositivos Cisco utilizan un código de instalación de Syslog de "local7" para todos sus mensajes. Si solo está registrando desde un servicio a un servidor de Syslog remoto, normalmente no necesita cambiar la instalación. Sin embargo, si necesita cambiarla, es un cambio sencillo.
Configuración del Servicio de Marca de Hora y NTP
Los mensajes de registro se pueden marcar con la hora, y se puede establecer la dirección de origen de los mensajes de Syslog. Esto mejora la depuración y la administración en tiempo real. Antes de configurar un dispositivo Cisco para enviar mensajes de Syslog, asegúrese de que esté configurado con la fecha, hora y zona horaria correctas. Los datos de Syslog serían inútiles para la resolución de problemas si muestran la fecha y hora incorrectas.
Cuando se introduce el comando del modo de configuración global service timestamps log uptime, se muestra la cantidad de tiempo que transcurrió desde la última vez que se arrancó el switch en los eventos registrados. Una versión más útil de este comando aplica la palabra clave datetime en lugar de la palabra clave uptime; esto hace que cada evento registrado muestre la fecha y la hora asociadas al evento.
Cuando se utiliza la palabra clave datetime, se debe establecer el reloj en el dispositivo de red. Esto se puede lograr de dos maneras:
- Configuración manual: mediante el comando
clock set. - Configuración automática: mediante el protocolo NTP (Network Time Protocol).
NTP es un protocolo que se utiliza para permitir que los dispositivos de red sincronicen la configuración de la hora con un servidor NTP. Para permitir que un servidor horario NTP sincronice el reloj del software, use el comando del modo de configuración global: ntp server ip-address.
Un dispositivo de red se puede configurar como servidor NTP, para que los otros dispositivos sincronicen fuera de su hora, o como cliente NTP.
Configuración del Servidor Syslog y Destinos de Mensajes
Para ver los mensajes de Syslog, se debe instalar un servidor de Syslog en una estación de trabajo en la red. Hay varias versiones de freeware y shareware de Syslog, así como versiones empresariales para comprar. El servidor de Syslog proporciona una interfaz relativamente fácil de usar para ver el resultado de Syslog. El servidor analiza el resultado y coloca los mensajes en columnas predefinidas para interpretarlos con facilidad.
Los administradores de red pueden navegar fácilmente a través de una gran cantidad de datos que se recopilan en un servidor de Syslog. Una ventaja de ver los mensajes de Syslog en un servidor de Syslog es la capacidad de realizar búsquedas granulares a través de los datos. Además, un administrador de red puede eliminar rápidamente de la base de datos los mensajes de Syslog que no son importantes.
Por defecto, los routers y switches de Cisco envían mensajes de registro a la consola para todos los niveles de gravedad. En algunas versiones del IOS, el dispositivo también almacena en búfer los mensajes de registro de manera predeterminada. Para habilitar estas dos configuraciones, utilice los comandos de configuración global logging console y logging buffered, respectivamente. El comando show logging muestra la configuración predeterminada del servicio de registro en un router Cisco.
Modificación de la Configuración de Syslog
Los pasos básicos a seguir para configurar Syslog en un dispositivo Cisco son:
Paso 1: Habilitar el registro en el dispositivo CiscoEl protocolo Syslog envía mensajes de texto claro sobre el puerto UDP 514. El comando logging on (o logging enable en algunos dispositivos) no suele ser necesario, ya que este comando solo activa la función de registro. Se incluye aquí en caso de que se haya deshabilitado previamente.
Paso 2: Modificar la configuración de Syslog para los códigos de instalación (Facility Codes)De forma predeterminada, los dispositivos Cisco utilizan un código de instalación de Syslog de "local7" para todos sus mensajes. Si solo está registrando desde un servicio a un servidor de Syslog remoto, generalmente no necesita cambiar la instalación. Si por alguna razón necesita hacerlo, es un cambio sencillo.
Paso 3: Cambiar los niveles de registro predeterminadosEl nivel de registro predeterminado suele ser "informational" (nivel 6). Esto significa que el dispositivo enviará todos los mensajes al servidor que sean de nivel 6 o "superiores" (donde un valor numérico más bajo indica una prioridad más alta). Si desea enviar solo mensajes de una cierta prioridad o superior, puede ajustar este nivel. Generalmente, no se recomienda configurar el nivel de prioridad de registro mucho más alto que el nivel 6, ya que los mensajes de nivel 0 o 1 suelen indicar fallos catastróficos, y las designaciones de los niveles 2, 3 y 4 pueden ser arbitrarias. El valor predeterminado de 6 ("informational") suele ser adecuado. La prioridad que utilice puede depender de su herramienta de monitorización del rendimiento de la red, su capacidad de almacenamiento y sus límites de ingesta de registros.
Paso 4: Definir el puerto y la dirección IP de destinoPuede ser deseable cambiar el número de puerto UDP o utilizar puertos TCP en su lugar. Por ejemplo, el comando logging host <ip_servidor> udp <puerto> puede especificar un puerto UDP diferente para un servidor Syslog específico. El dispositivo enviará cada mensaje a todos los servidores configurados. Tenga en cuenta que, de forma predeterminada, el número de puerto TCP es 601 en muchos dispositivos Cisco, pero muchas implementaciones de Syslog TCP utilizan el puerto 514. Es necesario verificar qué puerto espera su servidor.
Paso 5: Definir la dirección IP de origenLos dispositivos de red a menudo tienen varias interfaces, cada una con una dirección IP diferente. Esto puede llevar a situaciones confusas donde un evento de "link down" se registra con una dirección IP y el evento correspondiente de "link up" con otra. Para evitar esto, puede especificar una interfaz de origen. Se recomienda utilizar una interfaz loopback como origen, ya que las interfaces loopback nunca fallan y proporcionan una forma conveniente de especificar un dispositivo de manera única. Si utiliza una interfaz loopback, asegúrese de crearla.
El ICEBERG de Syslog | CCNA & CCNP | Wild IT Academy
Pasos para la Configuración de Syslog en un Router Cisco
Configurar un router Cisco para enviar mensajes de Syslog a un servidor donde puedan ser almacenados, filtrados y analizados implica varios pasos clave:
Paso 1: Configurar el nombre de host o la dirección IP del servidor de Syslog
En el modo de configuración global, utilice el comando logging host <dirección_ip_servidor>. Por ejemplo:R1(config)# logging 192.168.1.3
Paso 2: Controlar los mensajes que se envían al servidor de Syslog
Utilice el comando logging trap level en el modo de configuración global para especificar el nivel de gravedad de los mensajes que se enviarán al servidor Syslog. Por ejemplo, para limitar los mensajes a los niveles 4 e inferiores (0 a 4), utilice uno de los dos comandos equivalentes:R1(config)# logging trap 4oR1(config)# logging trap warning
Al seleccionar un nivel, todos los niveles inferiores a él (más graves) se incluirán en los registros. Por ejemplo, si selecciona el nivel "Critical" (3), entonces los niveles "Critical" (3), "Alert" (2) y "Emergency" (1) se incluirán en los registros. Para este ejemplo, estableceremos el nivel de trampa como "debug" para capturar la mayor cantidad de información posible.
Paso 3: Opcionalmente, configurar la interfaz de origen
Utilice el comando logging source-interface interface-type interface-number en el modo de configuración global. Esto especifica que los paquetes de Syslog incluirán la dirección IPv4 o IPv6 de una interfaz específica, independientemente de la interfaz que utilice el paquete para salir del router. Por ejemplo, para establecer la interfaz de origen en g0/0, utilice el siguiente comando:R1(config)# logging source-interface g0/0
Ejemplo de Configuración de Syslog
En la siguiente ilustración, el router R1 se configuró para enviar mensajes de registro de los niveles 4 e inferiores al servidor de Syslog en 192.168.1.3. La interfaz de origen se estableció en la interfaz G0/0. Se crea una interfaz loopback, se desactiva y se vuelve a activar. El resultado de la consola refleja estas acciones.
Los únicos mensajes que aparecen en el servidor de Syslog son aquellos con un nivel de gravedad de 4 o menos (más graves). Los mensajes con un nivel de gravedad de 5 o más (menos graves) aparecen en el resultado de la consola del router, pero no aparecen en el resultado del servidor de Syslog, porque el comando logging trap limita los mensajes de Syslog que se envían al servidor de Syslog según el nivel de gravedad.
Verificación de Syslog
Puede utilizar el comando show logging para ver cualquier mensaje que se registre. Cuando el búfer de registro es grande, es conveniente utilizar la opción de la barra vertical (|) con el comando show logging.
Incluso si nunca ha oído hablar de Syslog antes, probablemente lo ha visto cuando trabajó en un router o switch. Siempre que sucede algo interesante en el router o switch, Cisco IOS nos informa en tiempo real. Por defecto, estos mensajes de Syslog solo se envían a la consola. Esto se debe a que el comando logging console está habilitado por defecto. Si inicia sesión a través de Telnet o SSH, no verá ningún mensaje de Syslog.
Registrar en la consola o en Telnet/SSH es útil si está presente, pero ¿qué pasa si no lo está o si desea ver mensajes más antiguos? Afortunadamente, Cisco IOS mantiene un historial de mensajes de Syslog. Puede almacenar hasta 8192 bytes de mensajes de Syslog en su RAM. Cuando reinicia su router o switch, el historial se perderá. Es posible aumentar el tamaño del búfer de registro, reservando hasta 16384 bytes de RAM para mensajes de Syslog. Un historial local es agradable, pero se almacena en RAM. ¿Qué pasa si el router se bloqueó y desea ver si registró algo antes de que fallara?
En redes de producción, utilizamos un servidor central llamado servidor Syslog. Los mensajes de Syslog contienen información valiosa sobre el estado de los dispositivos, cambios de configuración, errores de red, eventos de seguridad y mucho más. Al aprovechar Syslog, los administradores obtienen visibilidad sobre el estado general y el rendimiento de su infraestructura de red Cisco.
Los mensajes de Syslog de un dispositivo de red contendrán información crucial como:
- Timestamp: La fecha y hora en que ocurrió el evento. Sin él, sería imposible saber cuándo ocurrió un evento. Es posible deshabilitarlo y/o reemplazarlo con números de secuencia.
- Syslog process: El proceso que generó el mensaje de Syslog.
- Severity level: El nivel de gravedad es importante, ya que indica cuán importante es el mensaje. No todo lo que sucede en su router o switch es igualmente importante.
- Mnemonic: Un código corto para el mensaje, por ejemplo, "UPDOWN" para interfaces que se activan o desactivan, o "CHANGED" para cuando cambia el estado de la interfaz.
Securing Syslog Messages (Opcional)
Una de las desventajas de usar Syslog es que los mensajes, que pueden ser de naturaleza sensible, se envían en texto claro y pueden ser fácilmente interceptados o falsificados. En la práctica, no se han escuchado ataques de este tipo, ya que la mayoría de los profesionales de TI tienen cuidado de mantener su tráfico Syslog confinado a segmentos de red confiables. Sin embargo, es teóricamente posible.
Syslog puede, al menos en teoría, ser asegurado utilizando cifrado SSL. Esto requiere el uso de certificados tanto en el dispositivo de red como en el servidor para autenticarse mutuamente. No todos los dispositivos Cisco admiten esta función; por ejemplo, a partir de la versión 9.2.1, los switches Cisco Nexus admiten Syslog cifrado, y los firewalls ASA también admiten Syslog SSL, pero puede no ser compatible en otras líneas de productos Cisco.
Esta característica no se utiliza en la mayoría de las instalaciones de red debido a la sobrecarga administrativa de mantener los certificados actualizados y porque consume más recursos del sistema para mantener las sesiones cifradas. Es mucho más fácil para un servidor admitir el registro de un gran número de dispositivos remotos a través de UDP, donde la única sobrecarga es recibir paquetes individuales y colocarlos en el archivo o tabla de base de datos apropiada. No hay una sesión que mantener ni un certificado que validar. Por estas razones, generalmente no se recomienda el uso de las funciones de cifrado de Syslog. En su lugar, se prefiere diseñar la red de manera que estos mensajes y otro tráfico de gestión se aíslen de los usuarios y otro tráfico de producción. Después de todo, la segmentación de red es una buena gestión de red.
Comandos de Referencia Rápida de Cisco Syslog
Aquí hay una guía rápida de los comandos de Cisco IOS para la configuración de Syslog:
configure terminal: Ingresa al modo de configuración global.service timestamps log datetime [msec] [localtime] [show-timezone]: Marca con fecha y hora los mensajes de Syslog. Las opciones para la palabra clavetypesondebugylog.logging host <ip_o_nombre_host>: Especifica el servidor de Syslog por dirección IP o nombre de host; puede especificar varios servidores.logging trap level: Especifica el tipo de mensajes, por nivel de gravedad, que se enviarán al servidor de Syslog. El valor predeterminado esinformationaly niveles inferiores.0: Emergency1: Alert2: Critical3: Error4: Warning5: Notice6: Informational7: Debug
logging facility facility-type: Especifica el nivel de instalación utilizado por los mensajes de Syslog; el valor predeterminado eslocal7. Los valores posibles sonlocal0alocal7.end: Regresa al modo EXEC privilegiado.show logging: Muestra la configuración de registro.
La configuración de Syslog en routers Cisco es una práctica esencial para la monitorización, la resolución de problemas y la gestión proactiva de la red. Al comprender los diferentes niveles de gravedad, las instalaciones y la capacidad de dirigir los mensajes a un servidor centralizado, los administradores de red pueden obtener una visibilidad sin precedentes sobre el funcionamiento de su infraestructura.