Phenquestions
La principale raison du réseautage est la communication. Lors de la mise en réseau, des messages cruciaux doivent être transmis entre les périphériques réseau afin de garder une trace des événements au fur et à mesure. En tant qu'administrateur système ou membre du personnel des opérations de développement (DevOps), le suivi des activités en cours sur un réseau est essentiel et très utile pour résoudre les problèmes lorsqu'ils surviennent.
La méthode d'enregistrement la plupart du temps est considérée comme chronophage ou stressante. En fin de compte, l'effort en vaut généralement la peine. Cependant, avec syslog, tout ce stress est réduit, car vous pouvez automatiser le processus de journalisation.Tout ce que vous avez à faire est de parcourir les journaux chaque fois qu'un problème survient et de résoudre les problèmes comme l'indiquent les journaux.
Syslog est une norme connue pour la journalisation des messages. La plupart du temps, le système qui effectue la journalisation et le logiciel qui les génère ont tendance à interférer pendant les processus. Mais syslog aide à séparer le logiciel générant les journaux du système qui stocke les journaux, rendant ainsi le processus de journalisation moins compliqué et moins stressant.
En d'autres termes, syslog est un système ouvert, conçu pour aider à surveiller les périphériques ou systèmes réseau et envoyer des événements à un serveur de journalisation. Il garantit que les messages sont distingués en fonction de la priorité des messages et du type de périphérique réseau qui envoie le message.
En plus d'aider à la génération et au stockage des journaux, il peut également être utilisé pour l'audit de sécurité ainsi que pour l'analyse générale et le débogage des messages système.
La norme syslog est disponible pour une utilisation sur différents périphériques réseau tels que les routeurs, les commutateurs, les équilibreurs de charge, les systèmes de protection contre les intrusions, etc. en utilisant le protocole de datagramme utilisateur du port 514 pour communiquer des messages aux serveurs de journalisation.
Un message syslog suit le protocole legacy-syslog ou BSD-syslog et prend le format suivant :
- Section des messages PRI
- Section de message EN-TÊTE
- Rubrique MESSAGERIE
Un message syslog ne peut jamais dépasser 1024 octets.
Section des messages PRI
PRI est également connu sous le nom de partie valeur prioritaire du message syslog, et rappelez-vous plus tôt que j'ai parlé de l'envoi de messages de journaux par syslog en fonction du niveau de priorité et également du type de périphérique ou d'installation réseau, voici où toutes ces informations sont affichées. Cette partie représente la section installation et gravité du message syslog.
La valeur de priorité est obtenue en calculant le produit du numéro d'installation (la partie du système qui envoie le message) par 8 puis en ajoutant la valeur numérique de la gravité (c'est le niveau d'importance du message selon le système.
Valeur de priorité = (Numéro d'installation * 8) + Gravité
Section de message EN-TÊTE
Alors que la partie PRI concernait davantage le système, la partie en-tête concerne davantage les informations fournies avec l'événement syslog.
Il contient l'horodatage du message, le nom d'hôte ou l'adresse IP du système. Le format du champ d'horodatage est :
MM jj hh:mm:ss
Où:
MM est le mois au cours duquel le syslog a été envoyé sous forme d'abréviation. Cela signifie que le mois se présente sous la forme de janvier, février, mars, avril, etc.
jj est le jour du mois au cours duquel le message a été envoyé. Lorsque le jour n'est pas à deux chiffres, la valeur est représentée par un espace et le nombre au lieu d'un 0 et du nombre. Cela signifie que « 7 » est utilisé pour représenter 7 au lieu de « 07 ».
hh est l'heure du jour où le message a été envoyé, en utilisant le format 24 heures. Avec des valeurs comprises entre 00 et 23, avec 00 et 23 inclus.
mm est la minute de l'heure où le message a été envoyé. Avec des valeurs comprises entre 00 et 59, avec 59 inclus.
ss est la seconde de la minute où le message a été envoyé. Avec des valeurs comprises entre 00 et 59, avec 59 inclus.
Un exemple de ce qui précède est :
8 mars 22:30:15
Rubrique MESSAGES
C'est la plupart du temps où se trouvent toutes les informations nécessaires. Il contient le nom du programme, le processus qui a conduit à la génération du message et le texte du message lui-même.
La partie message est généralement au format : programme[pid] : message_texte.
Exemple:
Voici un exemple de message syslog : <133>25 février 14:09:07 syslogd du serveur Web : redémarrer. Le message correspond au format suivant :
En fin de compte, après avoir généré le message, l'analyse est un jeu de balle différent. Vous pouvez analyser le syslog à l'aide d'un langage de programmation tel que python, à l'aide d'expressions régulières, à l'aide d'un analyseur XML et vous pouvez également analyser à l'aide de json. Un analyseur de journal comme syslog-ng fonctionne parfaitement avec Python. Il vous permet d'écrire votre propre analyseur en python, ce qui permet beaucoup plus de contrôle sur les potentiels d'analyse.
Python est très populaire pour le grattage de données, vous pouvez donc facilement trouver des modules pour extraire les données nécessaires du syslog, ce qui facilite le traitement des messages, les requêtes de bases de données, etc. Si vous avez l'intention d'utiliser syslog-ng, vous pouvez obtenir le fichier de configuration OSE et l'inclure dans le fichier.
Cependant, vous devez vous assurer que la variable d'environnement PYTHON_PATH inclut le chemin d'accès au fichier Python, puis vous exportez la variable d'environnement PYTHON_PATH.
Par example:
export PYTHONPATH=/opt/syslog-ng/etc
L'objet Python n'est lancé qu'une seule fois, lorsque syslog-ng OSE est démarré ou rechargé. Cela signifie qu'il conserve l'état des variables internes pendant l'exécution de syslog-ng OSE. Les parseurs Python se composent de deux parties. Le premier est un objet d'analyseur OSE syslog-ng que vous utilisez dans votre configuration OSE syslog-ng, par exemple, dans le chemin du journal.
Cet analyseur fait référence à une classe Python, qui est la deuxième partie des analyseurs Python. La classe Python traite les messages de journal qu'elle reçoit et peut faire pratiquement tout ce que vous pouvez coder en Python.
analyseurpython( classe(" ") ); ; python import re class MyParser(object): def init(self, options):"Facultatif. Cette méthode est exécutée lorsque syslog-ng est démarré ou rechargé."return True def deinit(self):"Facultatif. Cette méthode est exécutée lorsque syslog-ng est arrêté ou rechargé."return True def parse(self, msg):"Obligatoire. Cette méthode reçoit et traite le message de journal." return True ;
Lorsque vous pouvez enfin analyser votre fichier syslog, vous pouvez alors agir sur les problèmes qui ont causé des problèmes.
La plupart du temps, vous trouverez les chemins vers les répertoires où se situe le problème, vous pouvez donc facilement naviguer dans les répertoires à l'aide de la commande "cd".
Avec syslog, vous pouvez gagner plus de temps et améliorer votre efficacité.
