Syslog
Syslog (System Logging) ist ein IETF-Standardprotokoll (RFC 5424) für die Computerprotokollierung und -erfassung, das in Systemen wie Servern, Netzwerkgeräten und IoT-Geräten weit verbreitet ist. Die von einem Gerät erzeugten Protokollnachrichten erstellen eine Aufzeichnung von Ereignissen, die auf dem Betriebssystem oder der Anwendung auftreten. Der Zweck der Nachricht ist es, Administratoren Informationen über wichtige Ereignisse, Zustandsinformationen und andere normale oder abnormale Vorgänge zu liefern, die sich bei der Fehlersuche oder bei der Bearbeitung eines sicherheitsrelevanten Problems als nützlich erweisen können.
Wie funktioniert Syslog?
Wenn auf einem Gerät der Syslog-Daemon läuft, werden während des normalen und abnormalen Betriebs Gerätemeldungen generiert, basierend auf dem, was die Anwendungsentwickler als potenziell nützlich erachtet haben. Diese Meldungen können dann in verschiedenen Formen angezeigt werden. Die erste ist, die Meldungen in Echtzeit auf der Konsole des Ursprungsgeräts selbst zu überwachen. Eine andere Methode besteht darin, die lokalen Protokolldateien einzusehen, die historische Protokollinformationen enthalten.
Die lokale Protokolldatei ist zwar eine schnelle Möglichkeit, historische Nachrichtenereignisse anzuzeigen, aber beachten Sie, dass die lokale Datei auf vielen Systemen eine maximale Begrenzung für die Anzahl der gespeicherten Protokollnachrichten hat. Sobald diese Grenze erreicht ist, werden die ältesten Meldungen mit den neuesten überschrieben. Das bedeutet, dass die lokale Datei nur die neuesten Protokolle enthält.
Es kommt jedoch häufig vor, dass Administratoren Protokolle ansehen müssen, die viel weiter in der Vergangenheit liegen. Daher ist es üblich, die dritte Methode zur Anzeige von Protokollen zu verwenden, nämlich die Weiterleitung aller Logs über ein Netzwerk an einen zentralen Protokollsammelserver.
Die Weiterleitung von Syslog-Nachrichten wird üblicherweise über UDP-Port 514 oder TCP 6514 gesendet. Die TCP-Methode bietet auch den Vorteil des TLS-Protokolls (Transport Layer Security), um die Nachrichten privat zu halten. Nach dem Sammeln kann ein Administrator einen Syslog-Viewer verwenden, um die verschiedenen eingehenden Protokollnachrichten anzuzeigen, zu sortieren und sogar einen Alarm auszulösen.
Komponenten von Syslog-Nachrichten
Jedes Protokollereignis enthält einen Zeitstempel zusammen mit der Ereignismeldung selbst und der Ursprungs-IP/dem Domänennamen zur Identifizierung. Das Ereignis wird dann in einen von acht Schweregraden kategorisiert. Diese Stufen basieren auf der Kritikalität des Ereignisses gemäß dem Entwickler des verwendeten Betriebssystems oder der Anwendung. Jede Kategorie ist sowohl mit einem numerischen Wert als auch mit einem Schweregradnamen definiert. Je niedriger der Wert ist, desto schwerwiegender ist das Ereignis. Die Skala reicht von 0 bis 7, beginnend mit Emergency und endend mit Debug. Die verschiedenen Schweregradnamen sind in der Reihenfolge Notfall, Alarm, kritisch, Fehler, Warnung, Hinweis, Information und Fehlerbehebung (Emergency, Alert, Critical, Error, Warning, Notice, Informational und Debug).
Beim Erstellen des Protokollereignisses segmentiert das Ursprungsgerät die Nachricht weiter in einen Logging Facility Code. Dieser Code kategorisiert die Meldungen basierend darauf, welcher Prozess innerhalb der Gesamtanwendung die Meldung erzeugt hat. Ähnlich wie die Schweregradkategorisierungen werden die Facilities durch einen numerischen Wert und einen Namen definiert. Einrichtungen können in einen von 24 verschiedenen Facility Codes kategorisiert werden (Abbildung 1).