Syslog — это простой протокол, используемый устройством IP (клиентом Syslog) и позволяющий отправлять текстовые журнальные сообщения на другое устройство IP (сервер Syslog). В настоящее время Syslog определён в RFC 5424.
Функция регистрации крайне важна для обеспечения безопасности сети, а также для отладки сети. Устройства Cisco могут регистрировать информацию об изменении настройки, нарушениях ACL-списков, состоянии интерфейсов и разнообразных событиях другого типа. Устройства Cisco могут отправлять журнальные сообщения на различные объекты. Сообщения о событиях могут отправляться в одно или несколько следующих мест:
- Консоль — режим журналирования на консоли включён по умолчанию. Сообщения регистрируются на консоли. Их можно просматривать при изменении или тестировании маршрутизатора либо коммутатора с помощью ПО эмуляции терминала (при наличии подключения к порту консоли маршрутизатора).
- Линии терминала — включенные сеансы EXEC (привилегированный режим) можно настроить на получение журнальных сообщений на любые линии терминала. По аналогии с регистрацией на консоли, режим регистрации этого типа не сохраняется маршрутизатором и поэтому может применяться только пользователем на данной линии.
- Журналирование в буфер - Журналирование в буфер является немного более полезным средством поиска и устранения неполадок, так как журнальные сообщения некоторое время хранятся в памяти. Однако после перезагрузки устройства журнальные сообщения удаляются.
- Ловушки SNMP — на маршрутизаторах и других устройствах можно предварительно настроить несколько пороговых значений. События маршрутизатора (например, превышение порогового значения) могут обрабатываться маршрутизатором и перенаправляться в виде ловушек SNMP на внешний сервер SNMP. Ловушки SNMP представляют собой эффективное средство регистрации событий безопасности, для которого, однако, требуется настраивать и технически сопровождать систему SNMP.
- Syslog — маршрутизаторы и коммутаторы Cisco можно настроить на перенаправление журнальных сообщений на внешнюю службу syslog. Данная служба может находиться на любом количестве серверов или рабочих станций, включая системы под управлением ОС Microsoft Windows и Linux. Syslog представляет собой наиболее популярное средство регистрации сообщений, так как он обеспечивает долговременное хранение журнальных сообщений и является централизованным местом хранения сообщений от всех маршрутизаторов.
Журнальные сообщения Cisco IOS могут быть отнесены к одному из 8 уровней (см. рис. 1). Чем меньше номер уровня, тем выше уровень важности По умолчанию все сообщения с уровней 0–7 регистрируются на консоли. Хотя возможность просмотра журналов на центральном сервере Syslog довольно полезна при поиске и устранении неполадок, поиск в большом объеме данных может потребовать значительных усилий. Команда logging trap level позволяет ограничивать сообщения, отправляемые на сервер Syslog, на основе уровня важности. Уровень (level) — это имя или номер уровня важности. Регистрироваться будут только те сообщения, номер уровня которых равен или меньше указанного значения level.
В примере на рис. 2 системные сообщения с уровня 0 (чрезвычайные ситуации) по 5 (уведомления) отправляются на сервер Syslog по адресу 209.165.200.225.