Syslog
Syslog es un protocolo estándar de la industria fundamental para el registro de mensajes en dispositivos de red. Su propósito principal es capturar y almacenar eventos que ocurren dentro de un sistema, lo que resulta invaluable para la gestión de sistemas, el análisis, la resolución de problemas (troubleshooting) y la investigación de incidentes.
¿Qué Registra Syslog?
En los dispositivos de red, Syslog se utiliza para registrar una amplia variedad de eventos, incluyendo:
- Cambios en el estado de las interfaces (por ejemplo,
upodown). - Cambios en el estado de los vecinos OSPF (por ejemplo,
upodown). - Reinicios del sistema.
- Errores, advertencias y mensajes informativos.
Estos mensajes pueden visualizarse directamente en la interfaz de línea de comandos (CLI), guardarse en la RAM del dispositivo o enviarse a un servidor Syslog externo para su almacenamiento y análisis centralizado.
Formato de los Mensajes Syslog
Cada mensaje Syslog sigue un formato estructurado que proporciona información detallada sobre el evento
seq(Número de secuencia): Indica el orden o secuencia de los mensajes. (Puede no mostrarse).time stamp(Marca de tiempo): Indica la hora en que se generó el mensaje. (Puede no mostrarse).%facility(Facilidad): Un valor que indica qué proceso en el dispositivo generó el mensaje.severity(Severidad): Un número que indica la gravedad del evento registrado.MNEMONIC(Mnemotécnico): Un código corto para el mensaje, que indica lo que sucedió.description(Descripción): Información detallada sobre el evento que se está reportando.
Niveles de Severidad de Syslog
Los niveles de severidad son cruciales para filtrar y priorizar los mensajes. Se definen en una escala del 0 al 7:
| Nivel | Keyword | Descripción |
|---|---|---|
| 0 | Emergency | El sistema es inutilizable |
| 1 | Alert | Se debe tomar una acción inmediatamente |
| 2 | Critical | Condiciones críticas |
| 3 | Error | Condiciones de error |
| 4 | Warning | Condiciones de advertencia |
| 5 | Notice | Condición normal pero significativa (Notificación) |
| 6 | Informational | Mensajes informativos |
| 7 | Debugging | Mensajes de nivel de depuración |
Ubicaciones de Registro de Syslog
Los mensajes Syslog se pueden registrar en varias ubicaciones en un dispositivo de red:
- Línea de Consola: Los mensajes Syslog se muestran en la CLI cuando se está conectado al dispositivo a través del puerto de consola. Por defecto, se muestran todos los mensajes (nivel 0 - 7).
- Líneas VTY: Los mensajes Syslog se muestran en la CLI cuando se está conectado al dispositivo a través de Telnet/SSH. Deshabilitado por defecto.
- Buffer: Los mensajes Syslog se guardan en la RAM del dispositivo. Por defecto, se muestran todos los mensajes (nivel 0 - 7). Se pueden ver con el comando
show logging. - Servidor Externo: Se puede configurar el dispositivo para enviar mensajes Syslog a un servidor externo. Los servidores Syslog escuchan mensajes en el puerto UDP 514.
Syslog vs. SNMP
Aunque Syslog y SNMP se utilizan para la monitorización y resolución de problemas de dispositivos, sus funcionalidades son diferentes y complementarias:
-
Syslog: Se utiliza para el registro de mensajes. Los eventos que ocurren dentro del sistema se categorizan según la facilidad/severidad y se registran. Se emplea para la gestión de sistemas, análisis y resolución de problemas. Los mensajes son enviados desde los dispositivos al servidor; el servidor no puede extraer activamente información de los dispositivos (como SNMP Get) ni modificar variables (como SNMP Set).
-
SNMP: Se utiliza para recuperar y organizar información sobre los dispositivos administrados por SNMP (direcciones IP, estado actual de la interfaz, temperatura, uso de CPU, etc.). Los servidores SNMP pueden usar
Getpara consultar a los clientes ySetpara modificar variables en los clientes.
🧐 Ambos protocolos son esenciales en una estrategia integral de gestión de red, proporcionando diferentes tipos de información y capacidades de interacción con los dispositivos.
Para acceder a una guía de configuración consultar Configuración de Syslog