Возможность логировать и анализировать все системные события – очень важная функция сетевого устройства. Логирование позволяет не только мониторить статус системы, но также проводить аудит использования сети и помогать в решении проблем.
События и логирование.
В сетевом оборудовании определено большое количество различных лог-сообщений о событиях (log event messages), генерируемых в результате соответствующих системных событий.
Например, установление или разрыв соединений, получение определенных пакетов, отбрасывание трафика в результате фильтрации политик межсетевого экрана. Каждое создаваемое сообщение может быть отфильтровано и передано на все сконфигурированные получатели сообщений о событиях. Каждый получатель может быть настроен на определенный фильтр событий
Типы лог-сообщений.
Может быть определено несколько сотен событий, по которым могут быть сгенерированы лог-сообщения. Все сообщения имеют общий формат с атрибутами, включающими категорию, важность (severity) и рекомендуемые действия. Атрибуты позволяют легко отфильтровать все сообщения перед отправкой получателю сообщений (внешнему или внутреннему).
Параметр SeverityFilter (Event Layer). Возможные значения параметра:
— Emergency,
— Alert,
— Criticle,
— Error,
— Warning,
— Notice,
— Info,
— Debug.
По умолчанию устройство отсылает все сообщения уровня Info и выше на указанный лог-сервер. Категория Debug может быть включена в случае необходимости отладки.
Создание лог-получателя.
Для распределения и логирования сообщений о событиях, генерируемых сетевым устройством, необходимо определить один или более получателей и задать параметры: какое событие отслеживать и куда отсылать сообщения.
Например, межсетевой экран D-link DFL имеет один встроенный механизм логирования – MemLog. Он сохраняет все лог-сообщения в памяти и позволяет просматривать текущие сообщения через Web-интерфейс.
MemLog можно запретить. Запись в MemLog ограничена доступной памятью в операционной системе межсетевого экрана, когда свободная память заканчивается новые сообщения будут записываться на место ранее записанных (цикличная перезапись).
Syslog Receiver.
Syslog – стандарт логирования событий сетевых устройств. Хотя формат сообщений может зависеть от настроек внешнего log-сервера, обычно все сообщения имеют похожую структуру.
Пример лог-сообщений:
March 8 2020 20:25:13 firewall EFW: DROP:
Для автоматизации процесса обработки всех сообщений межсетевой экран записывает все лог-данные в одну текстовую строку. Формат записей: name=value. Поле Prio соответствует информации в Severity устройств D-Link.