Phenquestions
Hovedårsagen til netværk er kommunikation. Under netværksarbejde skal vigtige meddelelser sendes mellem netværksenheder for at holde styr på begivenheder, når de opstår. Som systemadministrator eller som DevOps-personale (Developer Operations) er det meget vigtigt at holde styr på aktiviteter, der er i gang over et netværk, og det er meget nyttigt til at løse problemer, når de kommer til overfladen.
Metoden til logning oftest betragtes som tidskrævende eller stressende. I sidste ende er indsatsen normalt det værd. Imidlertid reduceres al denne stress med syslog, da du kunne komme til at automatisere logningsprocessen.Alt hvad du bare skal gøre er at gå gennem logfiler, når der opstår et problem og tackle problemerne, som logfilerne indikerer.
Syslog er en kendt standard til logning af meddelelser. De fleste gange har det system, der foretager logning, og softwaren, der genererer dem, en tendens til at blande sig under processerne. Men syslog hjælper med at adskille softwaren, der genererer logfilerne, fra det system, der gemmer logfilerne, hvilket gør loggningsprocessen mindre kompliceret og stressende.
Med andre ord er syslog et åbent system designet til at hjælpe med at overvåge netværksenheder eller -systemer og sende begivenheder til en loggeserver. Det sikrer, at der skelnes mellem meddelelser baseret på meddelelsernes prioritet og den slags netværksenhed, der sender meddelelsen.
Bortset fra at hjælpe med generering og lagring af logfiler, kan den også bruges til sikkerhedsrevision samt generel analyse og fejlretning af systemmeddelelser.
Syslog-standarden er tilgængelig til brug på tværs af forskellige netværksenheder såsom routere, switche, load balancers, indbrudssikringssystemer osv. ved at bruge User Datagram-protokollen i port 514 til at kommunikere meddelelser til loggeserverne.
En syslog-meddelelse følger enten legacy-syslog- eller BSD-syslog-protokollen og har følgende format:
- PRI besked sektion
- HEADER besked sektion
- MEDDELELSE sektion
En syslog-meddelelse kan aldrig gå forbi 1024 bytes.
PRI besked sektion
PRI er også kendt som Priority Value-delen af syslog-meddelelsen, og husk tidligere, at jeg talte om syslog, der sendte log-meddelelser i henhold til prioritetsniveauet og også typen af netværksenhed eller facilitet, her er hvor alle disse oplysninger vises. Denne del repræsenterer facilitets- og sværhedsgraden i syslog-meddelelsen.
Prioritetsværdien opnås ved at beregne produktet af facilitetsnummeret (den del af systemet, der sender meddelelsen) med 8 og derefter tilføje den numeriske værdi af sværhedsgraden (dette er meddelelsens vigtighedsniveau i henhold til systemet.
Prioritetsværdi = (facilitetsnummer * 8) + sværhedsgrad
HEADER besked sektion
Mens PRI-delen mere handlede om systemet, handler header-delen mere om de oplysninger, der følger med syslog-begivenheden.
Den indeholder meddelelsens tidsstempel, værtsnavnet eller IP-adressen på systemet. Formatet for tidsstempelfeltet er:
MM dd tt: mm: ss
Hvor:
MM er den måned, hvor syslog blev sendt som en forkortelse. Dette betyder, at måneden kommer i form af Jan, Feb, Mar, Apr osv.
dd er dagen i den måned, hvor beskeden blev sendt. Når dagen ikke er med to cifre, repræsenteres værdien af et mellemrum og tallet i stedet for et 0 og tallet. Dette betyder "7" bruges til at skildre 7 i stedet for "07".
hh er den time på dagen, hvor beskeden blev sendt ved hjælp af tidsformatet 24 timer. Med værdier mellem 00 og 23, med 00 og 23 inklusive.
mm er minut i timen, hvor beskeden blev sendt. Med værdier mellem 00 og 59, inklusive 59.
ss er det andet minut, hvor beskeden blev sendt. Med værdier mellem 00 og 59, inklusive 59.
Et eksempel på ovenstående er:
8. mar 22:30:15
MEDDELELSE sektion
Dette er oftest, hvor alle de nødvendige oplysninger ligger. Det indeholder programmets navn, processen, der førte til genereringen af meddelelsen og selve meddelelsens tekst.
Beskeddelen er normalt i formatet: program [pid]: meddelelse_tekst.
Eksempel:
Følgende er en prøve syslog-meddelelse: <133>25 feb 14:09:07 webserver syslogd: genstart. Meddelelsen svarer til følgende format:
I sidste ende, efter at have genereret meddelelsen, er parsing det et andet boldspil. Du kan analysere syslog ved hjælp af et programmeringssprog som python, ved hjælp af regulære udtryk, ved hjælp af xml parser, og du kan også parsere ved hjælp af json. En log parser som syslog-ng fungerer perfekt med Python. Det giver dig mulighed for at skrive din egen parser i python, hvilket giver mulighed for meget mere kontrol over parsingpotentialerne.
Python er meget populær til skrabning af data, så du kan nemt finde moduler til skrotning af de nødvendige data fra syslog, hvilket gør det lettere at behandle meddelelser, forespørgselsdatabaser osv. Hvis du agter at bruge syslog-ng, kan du hente OSE-konfigurationsfilen og inkludere den i filen.
Du skal dog sikre dig, at miljøvariablen PYTHON_PATH inkluderer stien til Python-filen, og derefter eksporterer du miljøvariablen PYTHON_PATH.
For eksempel:
eksporter PYTHONPATH = / opt / syslog-ng / osv
Python-objektet initieres kun en gang, når syslog-ng OSE startes eller genindlæses. Det betyder, at det holder tilstanden for interne variabler, mens syslog-ng OSE kører. Python-parsere består af to dele. Den første er et syslog-ng OSE-parserobjekt, som du bruger i din syslog-ng OSE-konfiguration, for eksempel i logstien.
Denne parser refererer til en Python-klasse, som er den anden del af Python-parserne. Python-klassen behandler de logmeddelelser, den modtager, og kan gøre næsten alt, hvad du kan kode i Python.
parserpython (klasse (" "));; python import re klasse MyParser (objekt): def init (selv, optioner):" Valgfri. Denne metode udføres, når syslog-ng startes eller genindlæses."returner True def deinit (selv):" Valgfri. Denne metode udføres, når syslog-ng stoppes eller genindlæses."returner True def parse (self, msg):" Påkrævet. Denne metode modtager og behandler logmeddelelsen."returner Sandt;
Når du endelig analyserer din syslog-fil, kan du derefter handle på de problemer, der har forårsaget problemer.
De fleste gange vil du finde stierne til de mapper, hvor problemet ligger, så du nemt kan navigere i mapper ved hjælp af kommandoen "cd".
Med syslog er du i stand til at spare mere tid og forbedre effektiviteten.
