Syslog

Syslog
syslog
Familie: TCP/IP
Einsatzgebiet: Übermittlung von Log-Meldungen
in einem IP-Rechnernetz
Ports: 514/UDP
syslog im TCP/IP‑Protokollstapel:
Anwendung syslog
Transport UDP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus		 Token
Ring		 FDDI
Standards:

RFC 3164 (2001)
RFC 3195 (2001)

syslog ist ein De-facto-Standard zur Übermittlung von Log-Meldungen in einem IP-Rechnernetz. Der Begriff „syslog“ wird oft sowohl für das eigentliche syslog-Netzwerkprotokoll als auch für die Anwendung oder Bibliothek benutzt, die syslog-Meldungen sendet oder empfängt.

Das syslog-Protokoll ist sehr einfach aufgebaut – der syslog-Client sendet eine kurze Textnachricht (weniger als 1024 Byte) an den syslog-Empfänger. Der Empfänger wird oft als "syslogd", "syslog daemon" oder "syslog server" bezeichnet. Ein syslog-Server kann auch als Relay arbeiten und empfangene Nachrichten an weitere Server übermitteln. Syslog-Meldungen werden mittels UDP (Port 514) gesendet und enthalten die Nachricht im Klartext, also unverschlüsselt.

Syslog wird typischerweise für Computersystem-Management und Sicherheits-Überwachung benutzt. Es besitzt einige Schwachstellen, steht aber auf einer Vielzahl von Geräten zur Verfügung. Damit ermöglicht es die leichte Integration von verschiedensten Log-Quellen in ein zentrales Repository (Gesamtverzeichnis).

Inhaltsverzeichnis

Aufbau einer Syslog-Meldung

Eine syslog-Meldung besteht aus drei Komponenten: Einem Selektor - Priority genannt -, einem Header und dem eigentlichen Inhalt.

Der ein Byte große Priority-Selektor besteht aus zwei Teilen: dem Facility-Feld und dem Severity-Feld. Damit lassen sich die Syslog-Meldungen entsprechend ihrer Herkunft und ihres Schweregrades klassifizieren. Das die letzten drei Bits der Priority umfassende Severity-Feld enthält einen numerischen Wert zwischen 0 und 7, wobei 0 die kritischste oder dringlichste Stufe ist:

          0       Emergency
          1       Alert
          2       Critical
          3       Error
          4       Warning
          5       Notice
          6       Informational
          7       Debug

Das die ersten fünf Bits der Priority umfassende Facility-Feld enthält einen numerischen Wert, der den Dienst oder die Komponente angibt, der die syslog-Nachricht erzeugt hat. Die folgenden Werte sind laut RFC 3164 vordefiniert:

          0       kernel messages
          1       user-level messages
          2       mail system
          3       system daemons
          4       security/authorization messages
          5       messages generated internally by syslogd
          6       line printer subsystem
          7       network news subsystem
          8       UUCP subsystem
          9       clock daemon
         10       security/authorization messages
         11       FTP daemon
         12       NTP subsystem
         13       log audit
         14       log alert
         15       clock daemon
         16       local0
         17       local1
         18       local2
         19       local3
         20       local4
         21       local5
         22       local6
         23       local7

Für allgemeine syslog-Nachrichten sind die Werte 16 - 23 vorgesehen (local0 bis local7). Es ist aber durchaus zulässig, auch die vordefinierten Werte 0 bis 15 für eigene Zwecke zu verwenden. Mit Hilfe des Priority-Selektors kann leicht nach bestimmten Meldungen gefiltert werden, wie beispielsweise: "Erfasse alle Mailserver-Nachrichten vom Schweregrad error".

Der Header enthält einen Zeitstempel sowie Name oder IP-Adresse des Absenders der syslog-Nachricht. Der Zeitstempel wird vom Empfänger, also dem Syslog-Server, eingefügt. Er enthält das Datum und die lokale Uhrzeit zum Empfangszeitpunkt. Häufig wird zusätzlich Absendedatum und -uhrzeit in der eigentlichen Meldung untergebracht.

Geschichte

Syslog wurde von Eric Allman als Teil des Sendmail-Projektes entwickelt. Ursprünglich (in den frühen 1980er Jahren) wurde es ausschließlich für Sendmail entwickelt und genutzt. Es stellte sich jedoch rasch als nützliches Werkzeug heraus, das dann auch von anderen Anwendungen genutzt wurde. Heute ist syslog der standardmäßige Logging-Mechanismus unter Unix und Linux. Außerdem existieren syslog-Implementierungen unter anderen Betriebssystemen wie Microsoft Windows.

Syslog wurde zunächst überhaupt nicht standardisiert. Um die Sicherheit des Protokolls zu erhöhen, bildete die Internet Engineering Task Force eine Arbeitsgruppe. 2001 wurde der erreichte Zustand in RFC 3164 dokumentiert. Seitdem wird an neuen Erweiterungen gearbeitet.

Ausblick

Es bestehen neue Anwendungsgebiete und steigendes Interesse an syslog. Vor kurzem wurde syslog standardisiert bzw. empfohlen für eine Anzahl von Auditierungs-Anwendungen, z. B. das "health care environment" (IHE) in den USA. Die Standardisierungsbestrebungen dauern im Rahmen der IETF noch an.

Schwachstellen

Das syslog-Protokoll besitzt einige Schwachstellen:

  • Keinerlei Authentifizierung
  • Überträgt Meldungen im Klartext
  • Verwendet Severity und Facility uneinheitlich
  • Manche Implementierungen nennen die ursprüngliche Quelle nicht (beim Weiterleiten einer Meldung über mehrere Loghosts)
  • Überträgt Nachrichten verbindungslos per UDP

Diese Schwachstellen waren der Auslöser für die zuvor beschriebenen Standardisierungsbestrebungen. Außerdem existieren in der Praxis viele Implementierungen, die diese Schwachstellen ganz oder teilweise beheben. Solche Implementierungen sind für alle gängigen Betriebssysteme zu finden. Die Lösungen verschiedener Hersteller sind jedoch nur bedingt untereinander kompatibel. Eine sehr verbreitete Implementierung ist syslog-ng, deren Erweiterungen des Syslog-Protokolls mittlerweile als Industriestandard angesehen werden können.

Siehe auch

RFCs

Weblinks


Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • syslog — (англ. system log системный журнал) стандарт отправки и регистрации сообщений о происходящих в системе событиях (т.е. создания логов), использующийся в компьютерных сетях, работающих по протоколу IP. Термином syslog называют как ныне… …   Википедия

  • Syslog — is a standard for forwarding log messages in an IP network. The term syslog is often used for both the actual syslog protocol, as well as the application or library sendingsyslog messages .Syslog is a client/server protocol: the syslog sender… …   Wikipedia

  • Syslog-ng — is an open source implementation of the Syslog protocol for UNIX and UNIX like systems. It extends the original syslogd model with content based filtering, rich filtering capabilities, flexible configuration options and adds important features to …   Wikipedia

  • Syslog — Fonction Transmission de journaux Port UDP 514 RFC RFC 3164 …   Wikipédia en Français

  • Syslog — стандарт отправки сообщений о происходящих в системе событиях (логов), использующийся в компьютерных сетях, работающих по протоколу IP. Протокол syslog прост: отправитель посылает короткое текстовое сообщение, размером меньше 1024 байт получателю …   Википедия

  • Syslog — es un estándar de facto para el envío de mensajes de registro en una red informática IP. Por syslog se conoce tanto al protocolo de red como a la aplicación o biblioteca que envía los mensajes de registro. Un mensaje de registro suele tener… …   Wikipedia Español

  • Syslog-ng — Maintainer Balázs Scheidler Aktuelle Version 3.2.1 Aktuelle Vorabversion 4.7.3 (v4 devel), 25. November 2010; 5.7.2 (v5 devel), 26 November 2010; 6.1.2 (v6 devel), 16 Dezember 2010 Betriebssystem …   Deutsch Wikipedia

  • Syslog-ng — Développeur Balázs Scheidler Première version 1998 …   Wikipédia en Français

  • SYSLOG — System Log file …   Acronyms

  • syslog — ● np. m. ►UNIX►APPLI Démon tenant à jour les journaux systèmes sous Unix …   Dictionnaire d'informatique francophone

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”