Collecte et surveillance des messages syslog

Un message syslog est un message au format standardisé qui utilise le protocole syslog (System Logging Protocol) que les périphériques réseau utilisent pour communiquer. Les périphériques réseau, tels que les routeurs, commutateurs, pare-feux et serveurs, utilisent les messages syslog pour envoyer des informations sur leur statut ou des événements importants, c’est pourquoi ils sont extrêmement importants pour le dépannage du réseau.

L’élément clé pour tirer au mieux profit des messages syslog pour la surveillance réseau et le dépannage est d’avoir un bon serveur syslog. Un serveur syslog peut centraliser les messages syslog provenant de vos périphériques compatibles syslog et vous permettre de consulter, de rechercher et de filtrer les messages (et souvent plus encore). Pour ce faire, les périphériques compatibles syslog doivent être configurés pour envoyer les messages syslog à un serveur syslog.

Les messages syslog sont utilisés principalement par les périphériques réseau dotés des systèmes d’exploitation Linux et Unix. Par défaut, les messages syslog sont envoyés via UDP (User Datagram Protocol), qui est un protocole sans connexion, il n’y a donc aucune garantie que le message arrive correctement. Néanmoins, certains périphériques peuvent également utiliser un protocole orienté connexion (TCP, Transmission Control Protocol), qui permet de s’assurer que le message est livré.

Les messages syslog sont constitués de trois parties :

HEADER (informations d’identification) SD (données structurées) MSG (message)

En-tête : l’en-tête d’un message syslog inclut des informations d’identification comme la version, l’horodatage, le nom d’hôte, l’adresse IP du périphérique, l’ID du processus et la priorité du message (PRI). La priorité du message syslog est une valeur calculée qui permet de classer les messages syslog, de déterminer l’importance globale du message et d’attribuer une réaction appropriée, le cas échéant.

Données structurées : cette partie d’un message syslog est conçue pour fournir un format de données bien défini et facilement analysable. Étant donné que le message lui-même est dans un format sans texte, il peut être difficile d’en extraire des informations pertinentes. Les données structurées offrent un moyen de fournir des informations précieuses supplémentaires sur un message syslog (comme des compteurs de trafic ou des adresses IP) dans un format plus convivial pour un traitement de données supplémentaire.

Message : cette partie du message syslog inclut le message dans un format sans texte et fournit des informations sur l’événement. En général, un ensemble de caractères UNICODE encodé en UTF-8 est utilisé dans les messages syslog.

PRI : la priorité d’un message syslog est calculée en combinant deux variables : l’installation et la gravité.

Le code d’installation spécifie le type de système qui a généré le message. Il peut s’agir d’une valeur numérique entre 0 et 23 basée sur les 15 valeurs prédéfinies et huit valeurs qui peuvent être définies localement :

Gravité : cette variable spécifie l’importance du message même et peut avoir une valeur numérique comprise entre zéro et sept (des messages d’urgence au débogage).

La priorité d’un message syslog est calculée comme suit :

Priorité = installation * 8 + gravité

Par exemple, un message du noyau d’urgence a une valeur de priorité de 0. Plus la valeur de priorité est basse, plus le message est important.

Un bon serveur syslog vous permet d’identifier les messages de priorité élevée et de réagir de manière appropriée à la situation, qu’il s’agisse d’envoyer une notification électronique à un administrateur réseau ou d’exécuter un script externe.

Il y a huit niveaux de gravité permettant de catégoriser les messages syslog. La description de chaque niveau de gravité selon la norme RFC 5424 du protocole syslog est la suivante :

Il est peu probable que vous receviez des messages d’urgence, car ils signifient généralement que le système est à l’arrêt et qu’il ne peut pas envoyer de messages. Par ailleurs, les messages de débogage sont généralement utilisés pendant le développement et n’ont pas d’impact sur les opérations du réseau ; vous pouvez donc souhaiter recevoir ceux-ci.

Tout comme le niveau de priorité, un bon serveur syslog doit vous permettre de configurer des règles pour réagir aux messages syslog en fonction de leur niveau de gravité.

Les messages syslog sont généralement utilisés par les administrateurs réseau et système pour détecter et résoudre rapidement un problème possible pour un périphérique de réseau. Les messages syslog fournissent des informations essentielles sur le statut des périphériques du réseau et les événements importants pouvant avoir un impact négatif sur les opérations standard d’un réseau. Avec les interruptions SNMP, les messages syslog sont un moyen de base de communication pour les périphériques du réseau, comme les routeurs, les commutateurs, les pare-feux et les serveurs. Dans un réseau type, des milliers de messages syslog et d’interruptions SNMP sont générés toutes les minutes, ce qui les rend inutilisables pour la surveillance du réseau sans une solution centralisée. Les deux types de messages peuvent être collectés par un serveur syslog, qui sert d’emplacement central pour tous les journaux générés par les périphériques du réseau. Un serveur syslog offre un moyen facile d’accéder aux journaux, de les rechercher et de les filtrer, et c’est une partie cruciale de la gestion des journaux.