Syslog è un protocollo standard IETF RFC 5424 per la registrazione e la raccolta di computer che è popolare in sistemi simili a Unix, inclusi server, apparecchiature di rete e dispositivi IoT. I messaggi di registro generati da un dispositivo creano un record di eventi che si verificano nel sistema operativo o nell'applicazione. Lo scopo del messaggio è fornire agli amministratori informazioni su eventi importanti, informazioni sulla salute e altri eventi normali o anormali che potrebbero rivelarsi utili durante la risoluzione dei problemi o per risolvere un problema relativo alla sicurezza.
Come funziona syslog?
Quando un dispositivo di origine esegue il daemon syslog, i messaggi del dispositivo vengono generati durante il funzionamento normale e anomalo in base a ciò che gli sviluppatori dell'applicazione hanno ritenuto potenzialmente utile. Questi messaggi possono quindi essere visualizzati in diverse forme. Il primo è monitorare i messaggi in tempo reale sulla stessa console del dispositivo di origine. Un altro metodo consiste nel visualizzare i file di registro locali che contengono le informazioni di registro cronologiche.
Sebbene il file di registro locale sia un modo rapido per visualizzare la cronologia degli eventi dei messaggi, tenere presente che su molti sistemi, il file locale ha una limitazione massima sul numero di messaggi di registro archiviati. Una volta raggiunto tale limite, i messaggi più vecchi vengono sovrascritti con i più recenti. Ciò significa che il file locale contiene solo i registri più recenti.
Tuttavia, è spesso il caso che gli amministratori richiedano di guardare i registri molto più indietro nel tempo. Pertanto, è routine utilizzare il terzo metodo di visualizzazione dei registri che consiste nel trasmettere tutti i registri attraverso una rete a un server di raccolta dei registri centralizzato.
L'inoltro dei messaggi syslog viene comunemente inviato sulla porta UDP 514 o TCP 6514. Il metodo TCP offre anche il vantaggio del protocollo TLS (Transport Layer Security) per mantenere privati i messaggi. Una volta raccolti, un amministratore può utilizzare un visualizzatore di syslog per visualizzare, ordinare e persino avvisare sui vari messaggi di registro in arrivo.
Componenti del messaggio Syslog
Un elenco dei codici delle strutture syslog e dei nomi delle descrizioni.
Ogni evento del registro contiene un timestamp insieme al messaggio stesso dell'evento e al nome di dominio / IP di origine a scopo di identificazione. L'evento viene quindi classificato in uno degli otto livelli di gravità. Questi livelli sono basati sulla criticità dell'evento secondo lo sviluppatore del sistema operativo o dell'applicazione in uso. Ogni categoria è definita sia con un valore numerico che con un nome di gravità. Più basso è il valore, più grave è l'evento. La scala va da 0 a 7 iniziando con emergenza e finendo con debug. I diversi nomi di gravità, in ordine, sono emergenza, avviso, critico, errore, avviso, avviso, informativo e debug.
Durante la creazione dell'evento di registro, il dispositivo di origine segmenta ulteriormente il messaggio in un codice struttura di registrazione. Questo codice classifica i messaggi in base al processo all'interno dell'applicazione complessiva il messaggio è stato generato. Proprio come le categorie di gravità, le strutture sono definite utilizzando un valore numerico e un nome. Le strutture possono essere classificate in uno dei 24 diversi codici di struttura.