SYSLOG Nedir ?
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 4 sonuçtan 1 ile 4 arasındakiler gösteriliyor.
Like Tree5Likes
  • 5 Post By MCyagli
SYSLOG Nedir ?

SysLOG Nedir ? ______________ Bu konu CCNA RS in son konularindan oldugu için CCNA RS bilgisi yeterlidir. Ve bu makalede CCNA RS ve CCNP RS için gerekli SYSLOG bilgisi mevcuttur.

  1. #1
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Mesajlar
    565

    Standart SYSLOG Nedir ?

    SysLOG Nedir ?
    ______________


    Bu konu CCNA RS in son konularindan oldugu için CCNA RS bilgisi yeterlidir.

    Ve bu makalede CCNA RS ve CCNP RS için gerekli SYSLOG bilgisi mevcuttur.



    AYni biz insanlar gibi Cisco cihazlarda GÜNLÜK tutarlar.

    "LOG" kelimesini Bilisim Dünyasinda "GÜNLÜK" olarak çevirebiliriz.


    Tutulan günlükte basrölde günlügü tutan vardir.

    Günlüğü tutan kişiye SİSTEM diyelim.

    SYSLOG o zaman Sistemin ( Cisco Cihazinin ) GÜnlügü olsun.



    Baskasinin GÜnlügünü okumak bize ne kazandirir bilemem ama

    Cisco Cihazinin GÜNLÜGÜNÜ okumanin yarari büyük olacaktir.

    Ve isin güzel yani Cisco Cihazlar bizler gibi "GÜNLÜGÜMÜ kimse okumasin" demezler.

    Aksine amaçlari baskasinin okumasidir...


    ***


    Konuya baslamadan önce kisaca topolojiyi çizelim.

    R1 -------- Switch

    Bu kadar.

    R1 üzerinde IOS 15 olacak! ( IOS 15 ile gelen yenilikler var )

    R1 in G0/0 interface ine 192.168.1.1 adresi vericem.

    Ve R1 cihazina CONSOLE ile bagliyim.

    ***

    Bu baslik altinda

    Cisco cihazi içerisindeki

    -> tutulan GÜNLÜK de neler yaziyor,
    -> GÜNLÜK de yazanlari kimler okur,
    -> ve bu GÜNLÜK mesajlarina ince ayar gibi

    konulara deginecegiz.


    Öncelikle bakalim Cisco cihazimiz GÜNLÜK tutuyor mu ?

    Ilgili komut sudur :

    Kod:
    show logging | inc Syslog logging
    Syslog logging: enabled 
    
    Yani Cisco cihazimiz Default olarak GÜNLÜK tutuyormus !


    Peki bu GÜNLÜK bilgilerini kimler okuyor ?


    Ilgili komut sudur :


    Kod:
    show logging | inc level
    
        Console logging: level debugging, 15 messages logged, xml disabled,
        Monitor logging: level debugging, 0 messages logged, xml disabled,
        Buffer logging:  level debugging, 15 messages logged, xml disabled,
        Trap logging: level informational, 18 message lines logged


    Simdi bunlar hakkinda konusalim.

    Bu 4 yer Cisco cihazinin tuttugu GÜNLÜK bilgilerini kimlere gönderdigini gösterir.


    O zaman Bizim Cisco cihazi hem GÜNLÜK tutuyor hemde

    Console
    Monitor
    Buffer
    Trap


    denilen 4 yere bu GÜNLÜK bilgisini gönderiyormus.

    Bunlara bakalım.

    CONSOLE portundan gönderiyorsa nereye gelir ?

    Tabiki CONSOLE ile bagli kisiye

    Örnegin kod yazarken gördüğümüz şu aşağıdaki acayip mesaj SYSLOG Mesajıdır :


    Kod:
    *Jan 22 13:18:20.539: %SYS-5-CONFIG_I: Configured from console by console
    
    Aslında % isareti ile baslayan mesaj SYSLOG MESAJIDIR.

    Yani şu kısım :
    Kod:
    %SYS-5-CONFIG_I: Configured from console by console
    Yani GÜNLÜK den bir satır

    Bunlar hakkinda detayli konusucaz.


    MONITOR ise GÜNLÜK bilgisinin VTY portundan bagli kisiye gönderilmesidir...

    Yani TELNET ile bir ROUTER a baglandık diyelim.

    Syslog Mesajlari VTY portundan gönderilir ki TELNET kullanicisi görsün.

    BUFFER da ise Router un bu GÜNLÜK bilgisini kendi içinde bir yere kayit etmesidir.

    Isteyen gidip ordan görebilir.

    TRAP ise bu SYSLOG mesajlarinin bizim belirledigimiz bir SYSLOG SERVER a gönderilmesidir.

    Ki genelde bu yaygin olan yöntemdir.

    Bunlar hakkında ayrıntılı konuşcaz.


    Ama önce biraz GÜNLÜK içinde tutulan mesajlardan bahsedelim.

    Router ne gibi konulari GÜNLÜGÜNE alir.

    Önce şunu bilelim :

    Bizim router umuz kendi içinde olan olaylari önem sirasina göre siniflandirmistir.


    BUnlar :


    0 Emergency
    1 Alert
    2 Critical
    3 Error
    4 Warning
    5 Notice
    6 Informational
    7 Debug


    dir.


    Router içinde her hangi bir olay oldugunda ,

    olan olayi yazarken bu sayilarida ekler.

    Mesela içinde 0 , 1 gibi bir sayi varsa cidden önemli bir sey olmus demektir.

    Örnegin,


    Kod:
    *Jan 22 13:18:20.539: %SYS-5-CONFIG_I: Configured from console by console
    Buradaki -5- bizim Router un bu olayın önem sırasının 5 oldugunu gösterir.



    Simdi az önce yukarda Cisco cihazinin SYSLOG mesajlarini

    kimlere gönderdigini ögrenmek için şu komutu girmiştik :

    Kod:
    show logging | inc level
    
        Console logging: level debugging, 15 messages logged, xml disabled,
        Monitor logging: level debugging, 0 messages logged, xml disabled,
        Buffer logging:  level debugging, 15 messages logged, xml disabled,
        Trap logging: level informational, 18 message lines logged
    

    Bunlarin karsisinda :

    Console logging : level debugging
    Monitor logging : level debugging
    Buffer logging : level debugging
    Trap logging : level informational


    Gibi bilgiler var.

    Console logging : level debugging Sizce Console a hangi seviye mesajlar gidiyor ?


    SAdece DEBUGGING dediyseniz yanlis olur.

    Burda yazan seviye ne ise O SEVIYE VE ALTI KOMPLE GONDERILIR kural olarak.


    Yani COnsole a --> Debug, Informational, Notice, Warning, Error, Critical,
    Alert, Emergency
    ---> tamami gönderilirmis.




    Simdi,

    1- ) Syslog Mesajinin gönderilip / gönderilmemesi
    2- ) Hangi tür Syslog mesajinin nereye gönderilmesi

    yönünde biraz configurasyon yapalim.



    Önce sunu yapalim :

    TÜm SYSLOG MESAJLARININ gönderilmesini engelleyelim


    Kod:
    CONF T
    NO LOGGING ON
    Bakalim Olmus mu ?


    Kod:
    sh logg
    Syslog logging: disabled
    Öyle gözüküyor...


    Ancak az önce

    %SYS-5-CONFIG_I: Configured from console by console

    Böyle bir mesaj aldim.

    Ve su sonuca vardim :

    NO LOGGING ON -> Komutu ile

    Buffer
    Monitor
    Trap

    E gönderilmez.


    Ancak CONSOLE için Syslog mesajlari gönderilir.


    Bu bilgi önemli bir bilgi.

    Onun için akilda tutmak lazim.

    Simdi de tek tek yapalim bu isi.

    Yani Sadece CONSOLE a göndermesin, yada sadece Monitor / trap / buffer a !



    Kod:
    CONF T
    no logging console
    no logging buffer
    no logging trap
    no logging monitor
    yaptim.


    Sanırım bu komutlar sayesinde SYSLOG MESAJLARI hiç bir yere gönderilmez şimdi.


    Kod:
    sh loggin | inc logging
    
    Syslog logging: disabled (0 messages dropped, 2 messages rate-limited, 6 flushes, 0 overruns, xml disabled, filtering disabled)
        
        Console logging: disabled
        Monitor logging: disabled
        Buffer logging:  disabled, xml disabled,
        Count and timestamp logging messages: disabled
        Persistent logging: disabled
        Trap logging: disabled


    Simdi sanirim istedigimiz oldu derken aşağıdaki mesajı aldım !

    %SYS-5-CONFIG_I: Configured from console by console



    Halbuki ,

    Kod:
    
    CONF T
    no logging console
    komutunu girdim.

    Üstelik Console logging: disabled yazisinida gördüm.


    Simdi su kurali bir kenara yazalim çünkü önemli.
    Ve bu bilgiyi birçok kitapda görmedim.
    Hatta henüz hiç bir kitapda görmedim.



    Her kimki CONSOLE da SYSLOG Mesaji görmek istemez

    önce

    CONF T
    LOGGING ON


    AÇik olmalidir. Hatırlarsanız önce onu kapatmıştım.

    Sonra

    CONF T
    NO LOGGING CONSOLE


    KOmutu girilince etkili olacaktir...




    Simdi de gelelim Nereye Hangi Mesajin gönderilmesi olayina.


    Önce hepsini tekrar açalim :


    Kod:
    CONF T
    LOGGING ON ( Bu komut Trap, Monitor, Buffer a , eger açıksalar,  GÖNDERMEYİ ENGELLEME içindir sadece  )
    LOGGING CONSOLE
    LOGGING TRAP
    LOGGING MONITOR
    LOGGING BUFFER


    Tamamdir.


    CONSOLE
    ----------


    Mesela CONSOLE a WARNING ( Seviye 4 ve asagisi demektir ) mesajlari gelsin.


    Kod:
    CONF T
    LOGGING CONSOLE WARNING
    
    Emin olalim...


    Kod:
    sh logg | inc console
    
    #sh logg | inc Console
        Console logging: level warnings
    Tamamdir.


    BUFFER
    ------


    RAM in bizim belirleyebileceğimiz bir miktar alanına syslog mesajlarını saklamaktır.


    Ne kadar bir alan ?
    Nerede Saklaniyor ?
    Hangi Mesajlar gitsin nasil belirleriz ?


    Kod:
    CONF T
    LOGGING BUFFered 4096  ( Bu kadar yer ayrılsın )
    LOGGING BUFFered debugging  ( Bu mesaj ve aşağı seviyeler saklansın )
    Peki nasil görecez...


    Kod:
    #sh logg | beg Log Buffer
    Log Buffer (4096 bytes):
    
    *Jan 22 14:02:45.463: %SYS-5-CONFIG_I: Configured from console by console
    Ilk mesajimiz gelmis bile


    MONITOR
    -------


    Peki bu Router a birisi TELNET ile baglanirsa o kisi nasıl görecek Syslog Mesajlarını ?


    Önce bir bakalim.


    Kod:
    #sh logg | inc Monitor
        Monitor logging: level debugging, 0 messages logged
    
    Burda LEVEL DEBUGGING yaziyor. Demekki Hazir.
    ANcak 0 messages logged ile bize henuz buraya hiç göndermedigini söylüyor.

    O halde R1 cihazina TElnet ile baglanalim.

    Önce TELNET ayari yapalim.

    Kod:
    
    CONF T
    LINE VTY 0
    NO LOGIN
    PRIVILEGE LEVEL 15
    END
    WR
    Simdi R1 e telnet yapalim.

    Baska bir Router a gitmeme gerek yok.

    Kendi kendime TELNET yapayim



    Kod:
    R1#192.168.1.1    ( telnet yazmama da gerek yok )
    Trying 192.168.1.1 ... Open
    Önce bakalım şuan bu Router a nasıl bağlıyım ben :



    Kod:
    R1#who
        Line       User       Host(s)              Idle       Location
       0 con 0                192.168.1.1          00:00:00
    *  2 vty 0                idle                 00:00:00 192.168.1.1


    * isaret suan beni gösteriyor. VTY ile bağlıyım.

    Ancak SYSLOG Mesaji goremedim hiç bir müddet.

    Halbuki

    Kod:
    R1#sh logg | inc Monitor
        Monitor logging: level debugging, 0 messages logged
    
    ile açik gözüküyor.

    Burda

    Kod:
    R1#terminal monitor
    komutunu girmemiz gerekir.


    Birazdan

    *Jan 22 14:22:55.939: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.1.1)


    Mesajini gördüm.


    Bunu iptal etmek için ise :

    Kod:
    R1#terminal no monitor 
    yapmamiz gerekir...



    TRAP
    ----



    Buna niye TRAP demisler bilmiyorum.

    Ben olsam farkli bi isim koyardim.

    Kisaca SYSLOG Mesajlarinin bir SYSLOG SERVER a gönderilmesidir.

    Ben bedava olan Kiwi kullaniyorum.


    Önce bir bakalim mevcut durum nedir !


    Kod:
    
    R1#sh logg | sec Trap
        Trap logging: level informational, 30 message lines logged
            Logging Source-Interface:       VRF Name:


    30 message lines logged -> Yani disarda bir server a gönderilmek üzere
    30 adet mesaj hazirlamis bizim ROUTER !
    iyi de biz ona suraya gönder falan demedikki !


    Onun için eger Syslog Server a mesaj göndermiyorsak,

    TRAP LOGGING kapatilmasi iyidir.


    Simdi gelelim Disarda bir server a SYSLOG MEsajlari göndermeye.



    Diyelim ki Switch in arkasinda HAYALİ bir 192.168.1.2 ip adresli bir Server olsun.

    Onun için R1 üzerinde

    Kod:
    CONF T
    ARP 192.168.1.2 AAAA.AAAA.AAAA ARPA
    Girdimki ARP ile elemanı aramasın


    Neyse Hemen R1 üzerinde bunun ayarini yapalim .


    Kod:
    CONF T
    logging host 192.168.1.2

    Sonra

    Kod:
    sh logging | sec Trap
        Trap logging: level informational, 32 message lines logged
            Logging to 192.168.1.2  (udp port 514

    Burdan şunları anlayabiliriz :

    192.168.1.2 IP adresinin UDP 514 Portuna SYSLOG MEsajları gönderiliyor.

    Karşı taraf alıyor mu bilmiyoruz


    İstersek Syslog Server un hangi PORTU na göndereceğimizi belirleyebiliriz.


    Kod:
    CONF 
    logging host 192.168.1.2 transport udp X
    logging host 192.168.1.2 transport tcp X


    TAbi ilgili Server a durumu bildirmemiz gerekir.
    X portunu dinlemeyebilir.
    Yada Arada bir Firewall X portuna izin vermeyebilir.



    Bundan sonra bizim ROUTER syslog mesajlarini IP PACKET içine saracak
    ve gönderecektir.

    Source IP = Packetin Çiktigi IP olacaktir.
    Destination IP = Syslog Server un IP si olacaktir.


    Simdi burda küçük bir nokta var :

    Syslog Server lar bu mesajlari alip Source IP kismini okuyup
    DNS Resolution yapip HOSTNAME belirlerler.


    ÇÜnkü SYSLOG MEsajinin içinde R1 diye bir ifade gitmez.

    192.168.1.2 ip adresinden gelen bir SYSLOG mesaji varsa
    Ilgili Syslog Server bunu 192.168.1.2 = R1 dir diye DNS Çözümlemesi yapabilir mesela.


    Onun için LOOPBACK adres oluşturup, Syslog Mesajlarının bu IP adres kaynaklı gitmesi
    daha tertipli ve düzenli olmasını sağlayabilir.


    Kod:
    CONF T
    INT LO1
    IP ADD 1.1.1.1 255.255.255.0
    logging source-interface loopback 1
    
    Bakalim ne olmus...

    Kod:
    R1#sh control-plane ho open-ports  | inc 514
     udp                *:61339            192.168.1.2:514    Syslog ESTABLIS



    """ TIMESTAMP - Sequence Numbers Ekleme"""




    TimeStamp ingilizce bir kelimedir.


    İsim Anlami : Zaman Bilgisi
    Fiil Anlami : Zaman Bilgisi eklemek

    demektir.

    Sequence yine ingilizce bir kelimedir.

    Isim Anlami : SIra
    FIil Anlami : Siralamak

    demektir.


    Biz istersek SYSLOG MESAJLARINA ZAMAN ve SIRA bilgisi ekleyebiliriz.

    Yani X olayi 01.01.2050 Tarihinde ve Saat 12:00 da Meydana geldi.

    Ve bu olay gerçeklesen 19. olaydir diyebiliriz.



    Router umuzdan bu HIZMET leri ( Service ) talep etmemiz lazimdir.


    Kod:
    CONF T
    service sequence-numbers

    Bu komut ile artik Sira bilgisi eklenmeye baslanacaktir.


    Zaman bilgisi ise Syslog Mesajlarina ve Debug Çiktisina ayrı ayrı eklenebilir.



    Kod:
    CONF T
    service timestamps [ log yada Debug ] datetime localtime msec show-timezone year
    
    veya

    Kod:
    CONF T
    service timestamps [ log yada Debug ] uptime
    
    Seklinde ekleyebiliriz...


    UPTIME : Bunun ile sistemin ne kadar zamandir açik oldugu bilgisi eklenir sadece.
    DateTime : Bunun ile Saat, Tarih bilgisi eklenir.
    LocalTime : Router üzerindeki tanimli Time Zone kullanilir.
    Show-TImeZone : Ile Kullanilan Time Zone Log Mesajinda Gözükür.
    Year : YIl bilgisi eklenir.
    Msec : Mili Saniye bilgiside eklenir.



    Örnek



    000020: *Jan 23 2014 08:26:21.383 UTC: %SYS-5-CONFIG_I: Configured from console by console


    000020 ---> Sira Numarasi
    Jan 23 ---> Tarih Bilgisi
    2014 ---> Yil Bilgisi
    08:26:21.383 ---> Saat ve Milisaniye bilgisi
    UTC: ---> Kullanilan Time Zone Bilgisi.



    Cisco cihaz üzerindeki Zaman bilgisi önemlidir.

    Onun için NTP den yararlanmak gerekir.




    KÜÇÜK DETAYLAR
    ==============




    SYSLOG MESAJINI INLECEYELIM
    ************************

    Bizim Cisco cihazinda Syslog Server a gönderdigimiz
    bir SYSLOG MEsaji aslinda 5 kisimdan olusur.


    Facility
    Severity
    Mnemonics
    Msg-Body
    Rate-Limit



    Facility : Syslog Mesajini üretip göndereni tanimlar.


    Yani SYSLOG Mesajinin içinde bir yerde FAcility = X diye bir yer vardir.
    Burdaki X sayisal bir degerdir.
    VE Örneğin X = local7 ise Bu mesaji gönderen bir CISCO CIHAZDIR deriz.

    Bu sayisal degerler sunlardir :


    0 kernel messages
    1 user-level messages
    2 mail system
    3 system daemons
    4 security/authorization messages
    5 messages generated internally by syslogd
    6 line printer subsystem
    7 network news subsystem
    8 UUCP subsystem
    9 clock daemon
    10 security/authorization messages
    11 FTP daemon
    12 NTP subsystem
    13 log audit
    14 log alert
    15 clock daemon (note 2)
    16 local use 0 (local0)
    17 local use 1 (local1)
    18 local use 2 (local2)
    19 local use 3 (local3)
    20 local use 4 (local4)
    21 local use 5 (local5)
    22 local use 6 (local6)
    23 local use 7 (local7)


    Cisco cihazlari local7 yi kullanirlar.

    Bu bilgi neden önemlidir ?

    Mesela bir sürü Router ve Switch imiz var.

    Ve Syslog Server üzerinde gelen Mesajlarini FACILITY lerine göre FILTRELEMEK isteyebiliriz.

    Onun için mesela Router larda FACILITY Degerini local6 yapalim.


    Kod:
    Rx
    CONF T
    LOGGing FAcility LOcal6
    

    Bundan sonra routerlar dan gidecek tüm Syslog Mesajlari local6 ile gidecektir.

    Bizde Syslog Server da FACILITY ye göre Filtreleme yapip

    sadece Router lardan gelecek Syslog Mesajlarini görebiliriz.



    Severity : Bunu daha önce görmüstük.



    Hostname : BU ise SYSLOG Mesajinin hazirlandigi IP Packetinin
    Source kismidir.


    TimeStamp : Bunuda daha önce görmüstük. Bu bilgide Log Mesajina eklenebilir.

    Message : Buda Log mesajinin bize söyledigi seydir.




    Mesajı inceleyelim :



    Kod:
    000023: *Jan 23 2014 08:50:17.875 UTC: %LINEPROTO-5-UPDOWN: 
    Line protocol on Interface Loopback9, changed state to up
    
    % isareti sonra kisim ASIL SYSLOG MEsajidir.


    ILk Gelen kisim FACILITY dir. Yani "LINEPROTO ".

    Yalniz bu yukarda gördügümüz facility ile ayni degildir.

    Bu cisco cihazlarinin kendi uydurdugu facility dir.

    Ve kisaca bu mesaj Cisco Cihazinin hangi kismindan üretildigini söyler bize.


    Hemen Sonra gelen -5- ise SEVERITY derecesini söyler.

    Sonra gelen UPDOWN ise MNEMONIC dir. ( Ni Mo Nik diye okunur )

    Animsatici demektir. Kisaca Mesajin neyle alakali oldugunu söyler.

    Line protocol on Interface Loopback9, changed state to up : Bu ise mesajin
    kendisidir. Buna Msg-Body denir.


    % isaretinden önceki yerler zaman bilgisi vb seylerdir.


    Ilerde belki de evlerimiz bile online olarak bize bilgi gönderecekler.

    MEsela söyle bir mesaj geldigini düsünün cep telefonunuza :


    000019:*Jan 27 2055 08:50:11.111 UTC: %MUTFAK-1-TÜP-: 10 Saniye içinde patlayacak.


    Bu mesaj Evin MUTFAGINDAN ÜRETILMIS bir mesajdir. ( FAcility )
    TÜP le alakalidir. ( MNEMONIC )
    Ve mesaj : Tüp 10 saniye patlayacaktir ( MSG-BODY )




    LOGGING SYNCHRONOUS
    ********************



    Cisco cihazimizin LOG mesajlari üretip

    Console, VTY gibi yerlere gönderdigini biliyoruz.

    Ancak bu can sikici olabilir.

    Yani düsünün siz bir seyle mesgulsünüz,
    yaninizdaki kisi aklina birsey gelince
    hemen sizi bölerek bisiler anlatmaya basliyor.

    Cisco cihazlardada siz bir seyler konfigurasyon yaparken
    acayip acayip syslog mesajlarinin araya girdigi çok olmustur.
    Hatta yazdiginiz kodu da karistirirsiniz.

    Onun için söyle dicez :

    "Sayin router ben bisi yaparken eger bana bir sey
    deme ihtiyacin varsa ( syslog mesaji ) biraz bekle
    benim isim bitince ondan sonra söyle. Yani benimle
    senkron ol"

    Kod:
    
    CONF T
    LINE CON 0
    LOGGING synchronous
    Aynı şeyi VTY içinde yapabiliriz...




    Exception Logging
    *****************



    Bu ise sudur:

    Eger sistem komple çökerse
    TAMPONDA özel bir bölümde saklanan mesajlar
    CONSOLE ne olursa olsun gönderilir.




    Kod:
    R1#sh logg | inc Excep
        Exception Logging: size (8192 bytes)
    

    Bu miktari degistirebiliriz.


    Kod:
    CONF T
    logg exception 4096
    



    SYSLOG MESAJLARINI FLASH A YAZMA
    *********************************



    Syslog Mesajlarini istersek FLASH imiza yazabiliriz.
    Bu bence iyi bir yöntem olabilir.
    Zaten Syslog Mesajlari çok yer kaplamiyor.

    Önce bakalim bu özellik açik mi ?


    R1#sh logg | inc Persist
    Persistent logging: disabled


    Kapalıymış.

    BU özelligi açmak için ise :


    Kod:
    CONF T
    LOGGING PERSISTENT URL DISK0:/MCY SIZE 55555 FILESIZE 666

    FLASH içinde 55555 boyutundan bir alan bu is için ayrilacaktir.
    Ve MCY diye bir klasör içine her biri 666
    boyutunda olan syslog dosyalari kayit edilmeye baslanacaktir.



    SYSLOG MESAJLARINI SNMP MESAJLARI OLARAK GÖNDERME
    *************************************************



    Aslinda çogu zaman insanlar Syslog Server kullanmazlar sanirim.

    Onun yerine SNMP için bir sistem kurarlar.

    Ve Oraya hemen SNMP Mesajlarini hemde SYSLOG mesajlarini çekerler.

    Onun için istersek SYSLOG Mesajlarini SNMP PAKETLeri içinde gönderebiliriz.

    Böylece ayrica bir SYSLOG Server a ihtiyacimiz olmaz.


    Kod:
    conf t
    snmp-server enable traps syslog  ( Syslog Mesajlarini SNMP Packetleri içinde gönder )
    logging history informational   ( Severity si bu olsun )
    snmp-server host 192.168.1.2     ( Buraya gönder )
    


    RATE-LIMIT
    **********


    Saniyede Syslog Server a gidecek Syslog mesaj sayisini
    belirleyebiliriz.


    Kod:
    
    CONF T
    LOGGING RATE-LIMIT ?



    SYSLOG DICRIMINATOR ( Access Control List in emmoglusu )
    ************************************************** ******




    Access List konusunu biliyorsak bu konuyu anlamamiz 1 dakika mizi almaz.

    Cisco cihazinin kime ( console , monitor, trap, buffer )

    hangi mesajlari ( severity levels ) gönderdigini ve

    mesajlarin neye benzedigini ( facility [ cisconunki ] , mnemomics vb ) gördük.

    Buna kontrol ekleyelim mi ?


    Mesela message in için UP kelimesi geçen Syslog mesajlarini

    192.168.1.2 ye gönderme dicez.




    Kod:
    CONF T
    
    logging discriminator xxx msg-body drops up
    logging host 192.168.1.2 discriminator xxx

    XXX adinda bir Discriminator olusturdum. ( Named ACL gibi )
    Ve Syslog Mesaji için UP varsa DROPS ( deny) et dedim.

    Sonra bunu 192.168.1.2 ye gönderme dedim.

    Istersem

    LOGGING CONSOLE DICRIMINATOR XXX
    LOGGING MONITOR DICRIMINATOR XXX
    LOGGING BUFFER DICRIMINATOR XXX


    de yazabilirdim.



    Bunun için REGEX bilmek daha yardimci olur.

    Bir örnek daha yapalim :


    MNEMONIC degeri UPDOWN olan mesajlari CONSOLE da görmek istemiyorum.


    Kod:
    conf t
    logg discriminator xxx mnemonics drops UPDOWN
    logging console discriminator xxx
    




    SYSLOG MESAJLARI IÇIN SAYAÇ
    ****************************




    Syslog Mesajlari için Cisco cihazlari içinde bir sayaç vardir.

    Kod:
    
    R1#sh logging | inc Count
        Count and timestamp logging messages: Disabled
    Kapali gözüküyor.

    Açalim :

    Kod:
    
    CONF T
    LOGGING COUNT 


    Kod:
    
    R1#sh logg count
    Facility       Message Name                     Sev Occur      Last Time
    ==================================================================================
    SYS            CONFIG_I                           5    1 *Jan 23 10:17:41.959
    -------------  -------------------------------  ----------------------------------
    SYS TOTAL                                              1
    
    Burdan sayaç takip edilebilir...






    Embedded Syslog Manager
    ***********************


    Bu ise daha gelismis bir sekilde SYSLOG Mesajlarinin

    gönderilirken Filtrelenmesi, Bazi degerlerinin degistirilmesi

    gibi imkan saglar bize.


    Bu konu için TCL bilgisi lazimdir.
    Ayrica SYSLOG, SNMP, NETFLOW konularindan sonra
    Cisco Security konulari için makaleler yayinlicaz.

    Security için tekrar ESM e deginicez.

    Ilgilinen arkadaslar için

    Cisco nun TCL ve ESM kitaplari mevcut.



    BUndan sonraki konular sırasıyla

    SNMP ( Detaylı )
    NETFLOW ( Detaylı )
    Ve Cisco Security konuları...



    tcos, Nexus, mazaka and 2 others like this.
    Mehmet Ceyhan YAĞLI
    I learn, I teach
    MCyagli

  2. #2
    x25
    x25 isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Aug 2007
    Mesajlar
    331

    Standart

    Üstad tembelleştiriyorsun bizi

    Armut pişmiş ağzımıza düşmüş.

  3. #3
    cheat isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2013
    Mesajlar
    59

    Standart

    makale süper olmus, tesekkürler.

  4. #4
    thrillercd Guest

    Standart

    Hocam elinize sağlık çok güzel bir makale olmuş.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok