O documento descreve o protocolo syslog, que permite o compartilhamento de logs entre dispositivos de rede. Ele explica como o syslog funciona, sua arquitetura, implementações, prioridades, recursos e ferramentas de coleta como HP Openview e Zabbix. O documento ressalta a importância dos logs para a administração de sistemas.

1. CST – REDES DE COMPUTADORES
Syslog
ISAQUE PROFETA DOS REIS
ARTHUR GEORGE CARVALHO
ELIEL MOURA COUTO
ROBERTO CÉSAR CORRÊA
JOSÉ GUSTAVO

2. CST – REDES DE COMPUTADORES
Histórico
 Desenvolvido por Eric Allman por volta de 1980
como módulo de controle para o servidor de e-
mail Sendmail;
 Passou a ser adotado por várias outras
aplicações, vindo a se tornar solução padrão em
matéria de logs em sistemas baseados em
UNIX/LINUX;
 Padronizado por meio da RFC 3164 que entrou em
vigor por volta de 2001.

3. CST – REDES DE COMPUTADORES
Syslog
 É um protocolo (ou serviço) que permite que
dispositivos de diferentes conexões troquem
mensagens de logs;
 Logs: “Registro de atividades gerado por
programas de computador.” – Cert Br
 Administração e gerência de ambientes de rede,
permite a centralização dos eventos desse
ambiente em um único nó de recebimento de
informações.

4. CST – REDES DE COMPUTADORES
Implementações
 Syslogd - Padrão de vários ambientes e soluções
 Syslog-ng - nova geração do syslog com novos
recursos
 Windows Event-viewer - não é padrão syslog

5. CST – REDES DE COMPUTADORES
Logs
 Registram todos os eventos de um sistema, desde os
mais simples aos mais críticos
 São gerados não apenas pelo sistema, mas por
qualquer aplicação que tenha suporte a essa
solução.
 “Logs são muito importantes para a administração
segura de sistemas, pois registram informações sobre
o seu funcionamento e sobre eventos por eles
detectados. Muitas vezes, os logs são o único recurso
que um administrador possui para descobrir as
causas de um problema ou comportamento anômalo.”
(NIC BR, 2003).

6. CST – REDES DE COMPUTADORES
Arquitetura
 Mensagem – Informação da aplicação ou sistema
 Dispositivo – Host de rede que gera mensagem
 Coletor – Recebe e trata mensagens (Conhecido
comServidor Syslog)
 Relay – Intermediário no encaminhamento de
mensagens entre Dispositivo e Coletor
 Porta de comunicação UDP 514

7. CST – REDES DE COMPUTADORES
Arquitetura
Dispositivo Coletor
Dispositivo ColetorRelay
Mensagem
Mensagem Mensagem

8. CST – REDES DE COMPUTADORES
Syslog - Recursos
 Recursos especificam a procedência dos logs, ou
seja, que tipo de mensagens de log se quer gravar.

9. CST – REDES DE COMPUTADORES
Syslog - Prioridades
 Prioridades definem qual o nível de importância das
mensagens a serem registradas e coloca etiquetas
em cada uma delas com várias “prioridades”.

10. CST – REDES DE COMPUTADORES
Importância e Recomendações
 Logs de eventos são a forma mais simples de obter
informações a respeito do seu sistema.

11. CST – REDES DE COMPUTADORES
Exemplo Linux: /var/log/messages
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Setting up rules from
/etc/sysconfig/SuSEfirewall2 ...
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Warning: no default
firewall zone defined, assuming 'ext'
Oct 18 14:39:10 Estacao-teste Oct 18
14:39:10 Estacao-teste SuSEfirewall2:
batch committing...
Oct 18 14:39:10 Estacao-teste
SuSEfirewall2: Firewall rules successfully
set
Oct 18 16:13:29 Estacao-teste
smartd[2068]: Device: /dev/sda [SAT],
SMART Usage Attribute: 195
Hardware_ECC_Recovered changed from 67 to
66
Oct 18 16:13:31 Estacao-teste sudo:
isaque : TTY=pts/4 ; PWD=/home/isaque ;
USER=root ; COMMAND=/bin/cat
/var/log/messages
 Vermelho: inicialização
do serviço de Firewall
do host
 Azul: Comando de
sudo executado
 Preto: Mensagens de
hardware do sistema

12. CST – REDES DE COMPUTADORES
Exemplo Cisco: show logging
Syslog logging: enabled (47 messages dropped, 0
messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 121635 messages
logged
Monitor logging: level debugging, 5 messages
logged
Buffer logging: level debugging, 121635 messages
logged
Logging Exception size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
Trap logging: level informational, 122020 message
lines logged
Sep 28 23:56:38: %LINK-3-UPDOWN: Interface
GigabitEthernet9/9/9, changed state to up
Sep 28 23:57:23: %OSPF-5-ADJCHG: Process 1, Nbr
127.0.0.1 on GigabitEthernet9/9/9 from LOADING to
FULL, Loading Done
Oct 1 14:55:15: SSH0: password authentication failed
for Joao
Oct 1 14:55:16: SSH0: password authentication failed
for Joao
Oct 15 15:46:00: %SYS-5-CONFIG_I: Configured from
console by Jose on vty0 (127.0.0.2)
Oct 15 15:48:41: %SYS-5-CONFIG_I: Configured from
console by Jose on vty0 (127.0.0.2)
 Azul: Informações do
sistema syslog do
roteador;
 Vermelho: queda de link
em interface de rede;
 Verde: mensagem do
processo OSPF;
 Laranja: Falha de login;
 Preto: mensagem de
alteração da
configuração;

13. CST – REDES DE COMPUTADORES
Exemplo Windows Event Viewer

14. CST – REDES DE COMPUTADORES
Syslog no Windows - NTSyslog

15. CST – REDES DE COMPUTADORES
Ferramentas de coletor
 HP Openview:

16. CST – REDES DE COMPUTADORES
Ferramentas de coletor
 ZABBIX:

17. CST – REDES DE COMPUTADORES
Syslog - Conclusão
 Ferramenta extremamente útil e simples de ser
configurada ;
 Exige ferramentas que façam um tratamento
efetivo das mensagens geradas;
 Syslog + Processos de Gestão (FCAPS, ITIL) =
Pró-atividade e onisciência.
 Importância de garantir integridade das
informações geradas com uso de ferramentas de:
– NTP: garantia de horário e
– Backup: garantia de disponibilidade.