LANCOM Support Knowledgebase Dokument-Nr. 0203.0811.1249.KAHM - V1.10

SYSLOG und LANCOM Router


Beschreibung:

Das Dokument beschreibt die Funktionen des Syslogservers in einem LANCOM Router.


Voraussetzung:

Funktionen:



Über den Syslog-Dienst hat man die Möglichkeit Statusmeldungen aus dem Netzwerk zentral zu sammeln.
Zudem ist syslog durch die Tatsache, daß die Statusmeldungen im Klartext übertragen werden, deutlich flexibler als z.B. Lösungen, die über SNMP Traps arbeiten, da SNMP
zum einen nur wenige standardisierte Traps bietet und zum anderen immer eine MIB mitgeliefert werden muß, die erst die Übersetzung von gerätespezifischen Traps ermöglicht.

Weiterhin bietet Syslog über die Klassifizierung einer Nachricht nach Priorität und Facility die Möglichkeit, gezielt spezielle Nachrichten zu versenden bzw. deren Aussendung zu unterdrücken.

Die Größe des Syslog-Puffers ist abhängig vom bestückten Arbeitspeicher (RAM) und es gilt
  • mehr als 32 MB RAM => 2048 Syslog-Meldungen
  • mehr als 16 MB RAM => 1024 Syslog-Meldungen
  • mehr als 4 MB RAM => 256 Syslog-Meldungen
  • alles andere => 100 Syslog-Meldungen

So hat z.B. ein LANCOM 1721+ VPN 32 MB Ram und dessen Syslog-Puffer somit Platz für 2048 Syslog-Meldungen.


Klassifizierung von Syslog-Nachrichten:

Syslog-Nachrichten werden in verschieden Gruppen (Facilities) eingeteilt und innerhalb einer Gruppe nach ihrer Priorität sortiert.
Der Syslog-Dämon (Empfänger von Syslog-Nachrichten) kann nun für jede Gruppe angewiesen werden, Nachrichten bis zu einer bestimmten Priorität anzuzeigen,
d.h. es werden alle Nachrichten, die eine höhere oder die gleiche Priorität haben, angezeigt.
Ein bekannter Syslog-Dämon wäre z.B.: Kiwi Syslog Dämon unter http://www.kiwisyslog.com/index.htm

Facilities:

Wie bereits erwähnt werden syslog-Nachrichten nicht nur in Prioritäten, sondern auch in Nachrichtengruppen unterteilt. Diese Gruppen heißen Facilities und geben im einfachsten Fall
die Quelle einer Nachricht an. Syslog definiert hierzu folgende Facilities (vom LANCOM aktuell verwendete Facilities sind fett):

KERNEL Meldungen des Betriebssystems (z.B. Boot-Meldungen)
USER Eine frei belegbare Nachricht
MAIL Nachrichten des Mail-Systems (sendmail)
DEAMON Nachrichten einesSystem-Dämons (Treiber)
AUTH Login-Meldungen. Der LANCOM meldet hierüber Logins mittels PPP
SYSLOG Meldungen des Syslog-Dämons (normalerweise: --- MARK --- )
LPR Meldungen des Line Printer Subsystems
NEWS Nachrichten des News-Dienstes
UUCP Nachrichten des UUCP-Dienstes
CRON Nachrichten des Time Server Dienstes
AUTHPRIV private Authentifizierungsmeldungen. Der LANCOM meldet hierüber Konsolen-Logins (Telnet, SNMP, TFTP, HTTP)
SYSTEM 0-4 reserviert
LOCAL 0-7 Die Facilities LOCAL 0-7 sind bei frei wählbar. Das LANCOM hat eigene Gruppen, die über den Facility-Mapper den jeweiligen Facilites zugeordnet werden können.
 Standardmäßig sind folgende Facilities zugeordnet:
          • Unter LOCAL0 (Verbindungen) werden Verbindungsauf- und Abbauten gemeldet
          • Unter LOCAL1 (Accounting) wird regelmässig die Accounting-Liste gedumpt
          • Unter LOCAL 2 (Verwaltung) werden Aktivitäten auf der Konsole gemeldet (z.B. ausgeführte Kommandos)
          • Unter LOCAL 3 (Router) werden Alarme des Routers und der Firewall gemeldet

Aufbau einer Syslog-Message:

Syslog-Messages werden im Klartext (ASCII) übertragen. Die Klassifizierung nach Priorität und Facility wird dabei der eigentlichen Nachricht als Dezimalzahl in
spitzen Klammern vorangestellt. Der Syslog-Dämon erkennt anhand dieser Zahl, wie er mit der jeweiligen Nachricht verfahren soll. Wenn die Nachricht gespeichert wird,
so entfernt er die Kennung und speichert die reine Nachricht.
Damit man nun trotzdem im Logfile noch erkennen kann, woher die Nachricht kam, schreibt der LANCOM die Nachrichten-Quelle und das Alarmlevel zusätzlich
nochmal im Klartext in die Nachricht. Damit sieht eine Syslog-Nachricht wie folgt aus (Achtung: im PF-Feld wird keine Reduktion von Quelle und Level vorgenommen):

<PF>QUELLE_LEVEL: message

Also zum Beispiel:

<81>ADMIN_ALERT: Login from outband failed
<149>ADMIN_INFO: Firmware upload started from 10.0.0.170 {ntserver} via TFTP

Hinweise:
  • Seit der Firmwareversion 7.6 existiert ein vordefiniertes Sysloging auf die 127.0.0.1, welches in WEBconfig gegengelesen werden kann.
  • Zu den einzelnen Punkten können Hilfetexte eingeblendet werden indem Sie auf der rechten oberen Bildseite auf das Fragezeichen klicken.
Bitte bewerten Sie dieses Dokument! Dieses Dokument hat mir geholfen Dieses Dokument hat mir nicht geholfen