El Hassan EL AMRI – Syslog
E l H a s a n E L A M R I P a g e 1 | 4
Syslog
I. Présentation de Syslog
es périphériques réseau disposent de mécanismes fiables permettant d'envoyer à l'administrateur des
messages système détaillés lors de l'occurrence de certains événements se produisant sur le réseau.
Ces messages peuvent être non critiques ou significatifs. Les administrateurs réseau disposent de
diverses options permettant de stocker, d'interpréter et d'afficher ces messages, ainsi que pour être
alertés des messages susceptibles d'avoir le plus d'impact sur l'infrastructure réseau.
La méthode d'accès aux messages système la plus couramment utilisée et fournie par les
périphériques réseau est un protocole appelé Syslog.
Syslog est un terme utilisé pour décrire une norme. Il sert également à décrire le protocole développé
pour cette norme. Le protocole Syslog a été développé pour les systèmes UNIX dans les
années 1980, mais a été documenté pour la première fois dans la RFC 3164 par l'IETF en 2001. Le
protocole Syslog utilise le port UDP 514 pour envoyer des messages de notification d'événement sur
des réseaux IP à des collecteurs de messages d'événement.
De nombreux périphériques réseau prennent en charge le protocole Syslog, comme les routeurs, les
commutateurs, les serveurs d'applications, les pare-feu et d'autres dispositifs réseau. Le protocole
Syslog permet aux périphériques réseau d'envoyer leurs messages système sur le réseau aux
serveurs Syslog.
Le service de journalisation du protocole Syslog assume trois fonctions principales :
La capacité à collecter les informations de journalisation pour la surveillance et le dépannage
La capacité à sélectionner le type d'information de journalisation capturé
La capacité à spécifier les destinations des messages Syslog capturés
II. Fonctionnement de Syslog
Sur les périphériques réseau Cisco, le protocole Syslog commence par envoyer des messages
système ainsi qu'un résultat de commande debug à un processus de journalisation local interne au
périphérique. La configuration de ces périphériques détermine comment le processus de journalisation
gère ces messages et ces résultats. Par exemple, il se peut que des messages Syslog soient envoyés
sur le réseau vers un serveur Syslog externe. Ces messages peuvent être récupérés sans qu'il soit
nécessaire d'accéder au périphérique réel. Les messages de journalisation et les résultats stockés sur
le serveur externe peuvent être placés dans divers rapports pour une meilleure lisibilité.
De même, des messages Syslog peuvent également être envoyés vers un tampon interne. Les
messages envoyés vers le tampon interne ne peuvent être affichés que par l'intermédiaire de
l'interface en ligne de commande du périphérique.
Enfin, l'administrateur réseau peut spécifier que seuls certains types de messages sont envoyés à
différentes destinations. Il est par exemple possible de configurer le périphérique de telle sorte qu'il
L
Campus des Réseaux Informatiques et Télécommunications
El Hassan EL AMRI – Syslog
E l H a s a n E L A M R I P a g e 2 | 4
transfère tous les messages système vers un serveur Syslog externe. Toutefois, les messages de
niveau de débogage sont transférés vers le tampon interne et ne sont accessibles que par
l'intermédiaire de l'administrateur à partir de l'interface en ligne de commande.
Comme l'illustre la figure ci-contre, les destinations
classiques des messages Syslog sont les
suivantes :
Tampon de journalisation (mémoire vive à
l'intérieur d'un routeur ou d'un commutateur)
Ligne de console
Ligne de terminal
Serveur Syslog
Il est possible de surveiller à distance les messages système en affichant les journaux sur un serveur
Syslog ou en accédant au périphérique par le biais de Telnet, de SSH ou du port de console.
III. Format de message Syslog
Les périphériques Cisco génèrent des messages Syslog à la suite des événements réseau. Chaque
message Syslog contient un niveau de gravité et une capacité.
Plus les numéros des niveaux sont petits, plus les alarmes Syslog sont critiques. Il est possible de
définir le niveau de gravité des messages de manière à contrôler l'emplacement d'affichage de
chaque type de message (par exemple sur la console ou d'autres destinations).
La liste complète des niveaux Syslog est illustrée à la Figure ci-dessous :
Niveau d'avertissement - Niveau d'urgence : ces messages sont des messages d'erreur
relatifs aux dysfonctionnements logiciels ou matériels.
Niveau de débogage : ce niveau indique que les messages sont des résultats générés suite
à l'exécution de diverses commandes debug.
El Hassan EL AMRI – Syslog
E l H a s a n E L A M R I P a g e 3 | 4
Niveau de notification : le niveau de notification existe à titre purement informatif, la
fonctionnalité des périphériques n'étant pas affectée. Les transitions d'interface à l'état « up »
ou « down » ainsi que les messages de redémarrage du système s'affichent au niveau de
notification.
IV. Horodatage de service
Il est possible d'horodater les messages de journal et de définir l'adresse source des messages
Syslog. Cela permet d'améliorer le débogage et la gestion en temps réel.
Lors de l'exécution de la commande de mode de configuration globale service timestamps log
uptime, le temps écoulé depuis le dernier démarrage du commutateur s'affiche dans les événements
consignés. Une version plus utile de cette commande s'applique au mot-clé datetime au lieu du mot-
clé uptime, forçant ainsi chaque événement consigné à afficher la date et l'heure associées à
l'événement.
En cas d'utilisation du mot-clé datetime, il est nécessaire de configurer l'horloge du périphérique
réseau. Cette opération peut être accomplie de deux manières différentes :
manuellement, à l'aide de la commande clock set
automatiquement, à l'aide du protocole NTP.
V. Configuration de Syslog
V.1 Journalisation par défaut
Par défaut, les routeurs et commutateurs Cisco envoient des messages journaux à la console pour tous les niveaux de gravité. Sur certaines versions de Cisco IOS, le périphérique consigne également les messages dans une mémoire tampon par défaut. Pour activer ces deux paramètres, utilisez les
commandes de configuration globale logging console et logging buffered, respectivement.
La commande show logging affiche les paramètres de service de journalisation par défaut sur un
routeur Cisco, comme le montre la figure ci-dessous. Les premières lignes du résultat affichent des
El Hassan EL AMRI – Syslog
E l H a s a n E L A M R I P a g e 4 | 4
informations relatives au processus de journalisation, tandis que la fin répertorie les messages du journal.
V.2 Commandes de routeur et de commutateur pour les clients Syslog
Un processus en trois étapes permet de configurer le routeur de telle sorte qu'il envoie les messages
système à un serveur Syslog où ils pourront être stockés, filtrés et analysés :
Étape 1. Configurez le nom d'hôte ou l'adresse IP de destination du serveur Syslog en mode de
configuration globale :
R1(config)# logging A.B.C.D
Étape 2. Contrôlez les messages qui seront envoyés au serveur Syslog à l'aide de la commande de mode de configuration globale logging trap level. Par exemple, afin de limiter les messages à ceux des niveaux 4 et inférieurs (0 à 4), exécutez l'une des deux commandes équivalentes suivantes :
R1(config)# logging trap 4
R1(config)# logging trap warning
Étape 3. Vous pouvez également configurer l'interface source à l'aide de la commande de mode de
configuration globale logging source-interface interface-type interface number. Cette opération
permet de spécifier que les paquets Syslog contiennent les adresses IPv4 ou IPv6 d'une interface
spécifique, quelle que soit l'interface utilisée par le paquet pour quitter le routeur.
Rejoignez-nous dans notre groupe sur Facebook
https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/