Phenquestions
Основная причина нетворкинга - общение. При работе в сети между сетевыми устройствами должны передаваться важные сообщения, чтобы отслеживать события по мере их возникновения. Системному администратору или персоналу отдела разработки (DevOps) очень важно отслеживать действия, происходящие в сети, и очень полезно для решения проблем, когда бы они ни возникали.
Метод регистрации в большинстве случаев считается трудоемким или трудоемким. В конце концов, усилия обычно того стоят. Однако с помощью syslog вся эта нагрузка снижается, так как вы можете автоматизировать процесс регистрации.Все, что вам нужно сделать, это просматривать журналы всякий раз, когда возникает проблема, и решать проблемы, как показывают журналы.
Системный журнал - это известный стандарт для ведения журнала сообщений. В большинстве случаев система, которая ведет журналы, и программное обеспечение, которое их генерирует, имеют тенденцию вмешиваться во время процессов. Но системный журнал помогает отделить программное обеспечение, генерирующее журналы, от системы, в которой хранятся журналы, тем самым делая процесс ведения журнала менее сложным и напряженным.
Другими словами, системный журнал - это открытая система, предназначенная для помощи в мониторинге сетевых устройств или систем и отправке событий на сервер регистрации. Это гарантирует, что сообщения различаются на основе приоритета сообщений и типа сетевого устройства, которое отправляет сообщение.
Помимо помощи в создании и хранении журналов, его также можно использовать для аудита безопасности, а также для общего анализа и отладки системных сообщений.
Стандарт системного журнала доступен для использования на различных сетевых устройствах, таких как маршрутизаторы, коммутаторы, балансировщики нагрузки, системы защиты от вторжений и т. Д. с помощью протокола пользовательских дейтаграмм порта 514 для передачи сообщений на серверы регистрации.
Сообщение системного журнала следует протоколу legacy-syslog или BSD-syslog и принимает следующий формат:
- Раздел сообщения PRI
- Раздел сообщения HEADER
- СООБЩЕНИЕ раздел
Сообщение системного журнала никогда не может превышать 1024 байта.
Раздел сообщения PRI
PRI также известен как часть значения приоритета сообщения системного журнала, и вспомните ранее, что я говорил об отправке сообщений журнала системным журналом в соответствии с уровнем приоритета, а также типом сетевого устройства или объекта, здесь отображается вся эта информация. Эта часть представляет раздел средств и серьезности сообщения системного журнала.
Значение приоритета получается путем вычисления произведения номера объекта (части системы, отправляющей сообщение) на 8, а затем добавления числового значения серьезности (это уровень важности сообщения в соответствии с системой.
Значение приоритета = (номер учреждения * 8) + серьезность
Раздел сообщения HEADER
В то время как часть PRI больше касалась системы, часть заголовка больше касается информации, которая поступает с событием системного журнала.
Он содержит отметку времени сообщения, имя хоста или IP-адрес системы. Формат поля отметки времени:
ММ дд чч: мм: сс
Где:
ММ это месяц, в котором системный журнал был отправлен в виде сокращения. Это означает, что месяц представлен в виде января, февраля, марта, апреля и т. Д.
дд это день месяца, в котором было отправлено сообщение. Если день не является двузначным, значение представляется пробелом и числом вместо 0 и числа. Это означает, что цифра 7 используется для обозначения 7 вместо 07.
чч - час дня, когда сообщение было отправлено, в 24-часовом формате времени. Со значениями от 00 до 23, с 00 до 23 включительно.
мм это минута часа, когда было отправлено сообщение. Со значениями от 00 до 59, с 59 включительно.
ss - секунда минуты, когда сообщение было отправлено. Со значениями от 00 до 59, с 59 включительно.
Пример вышеизложенного:
8 марта 22:30:15
СООБЩЕНИЕ раздел
В большинстве случаев именно здесь находится вся необходимая информация. Он содержит название программы, процесс, который привел к созданию сообщения, и текст самого сообщения.
Часть сообщения обычно имеет формат: программа [pid]: message_text.
Пример:
Ниже приведен пример сообщения системного журнала: <133>25 февраля, 14:09:07 syslogd веб-сервера: перезапуск. Сообщение соответствует следующему формату:
В конце концов, после генерации сообщения его разбор - это другая игра с мячом. Вы можете анализировать системный журнал с помощью языка программирования, такого как python, используя регулярные выражения, используя синтаксический анализатор xml, а также вы можете анализировать с помощью json. Парсер журналов, такой как syslog-ng, отлично работает с Python. Это позволяет вам написать свой собственный парсер на Python, что дает гораздо больший контроль над возможностями синтаксического анализа.
Python очень популярен для очистки данных, поэтому вы можете легко найти модули для удаления необходимых данных из системного журнала, что упрощает обработку сообщений, запросы к базам данных и т. Д. Если вы собираетесь использовать syslog-ng, вы можете получить файл конфигурации OSE и включить его в файл.
Однако вы должны убедиться, что переменная среды PYTHON_PATH включает путь к файлу Python, а затем вы экспортируете переменную среды PYTHON_PATH.
Например:
экспорт PYTHONPATH = / opt / syslog-ng / etc
Объект Python запускается только один раз, когда syslog-ng OSE запускается или перезагружается. Это означает, что он сохраняет состояние внутренних переменных во время работы syslog-ng OSE. Парсеры Python состоят из двух частей. Первый - это объект синтаксического анализатора OSE syslog-ng, который вы используете в конфигурации syslog-ng OSE, например, в пути к журналу.
Этот парсер ссылается на класс Python, который является второй частью парсеров Python. Класс Python обрабатывает сообщения журнала, которые он получает, и может делать практически все, что вы можете кодировать на Python.
парсерpython (класс (" "));; python import re class MyParser (object): def init (self, options):" Необязательно. Этот метод выполняется при запуске или перезагрузке syslog-ng."return True def deinit (self):" Необязательно. Этот метод выполняется при остановке или перезагрузке syslog-ng."return True def parse (self, msg):" Обязательно. Этот метод получает и обрабатывает сообщение журнала."вернуть истину;
Когда вы, наконец, проанализируете свой файл системного журнала, вы сможете приступить к устранению тех проблем, которые вызвали проблемы.
В большинстве случаев вы найдете пути к каталогам, в которых возникла проблема, поэтому вы можете легко перемещаться по каталогам с помощью команды «cd».
С системным журналом вы можете сэкономить больше времени и повысить эффективность.
