Articulo de referencia

Registro del sistema

En informática , syslog ( / ˈ s ɪ s l ɒ ɡ / ) es un estándar para el registro de mensajes . Permite separar el software que genera los mensajes, el sistema que los almacena y el...

En informática , syslog ( / ˈ s ɪ s l ɒ ɡ / ) es un estándar para el registro de mensajes . Permite separar el software que genera los mensajes, el sistema que los almacena y el software que los informa y analiza. Cada mensaje se etiqueta con un código de instalación que indica el tipo de sistema que lo genera y se le asigna un nivel de gravedad.

Los diseñadores de sistemas informáticos pueden usar syslog para la administración del sistema y la auditoría de seguridad, así como para mensajes informativos, de análisis y de depuración. Una amplia variedad de dispositivos, como impresoras, enrutadores y receptores de mensajes en diversas plataformas, utilizan el estándar syslog. Esto permite consolidar los datos de registro de diferentes tipos de sistemas en un repositorio central. Existen implementaciones de syslog para muchos sistemas operativos.

Cuando opera a través de una red, syslog utiliza una arquitectura cliente-servidor en la que un servidor syslog escucha y registra los mensajes que provienen de los clientes.

Historia

Syslog fue desarrollado en la década de 1980 por Eric Allman como parte del proyecto Sendmail . [ 1 ] Fue rápidamente adoptado por otras aplicaciones y desde entonces se ha convertido en la solución de registro estándar en sistemas tipo Unix . [ 2 ] También existen diversas implementaciones en otros sistemas operativos y se encuentra comúnmente en dispositivos de red, como enrutadores . [ 3 ]

Syslog funcionó originalmente como un estándar de facto , sin ninguna especificación publicada autorizada, y existían muchas implementaciones, algunas de las cuales eran incompatibles. El Grupo de Trabajo de Ingeniería de Internet documentó el estado actual en el RFC 3164 en agosto de 2001. Fue estandarizado por el RFC 5424 en marzo de 2009. [ 4 ]

Varias empresas han intentado reclamar patentes para aspectos específicos de las implementaciones de syslog. [ 5 ] [ 6 ] Esto ha tenido poco efecto en el uso y la estandarización del protocolo.

Componentes del mensaje

La información proporcionada por el remitente de un mensaje syslog incluye el código de instalación y el nivel de gravedad. El software syslog agrega información al encabezado antes de enviar la entrada al receptor syslog. Estos componentes incluyen el ID del proceso remitente, una marca de tiempo y el nombre de host o la dirección IP del dispositivo.

Instalación

Se utiliza un código de instalación para especificar el tipo de sistema que registra el mensaje. Los mensajes con diferentes instalaciones pueden ser tratados de manera diferente. [ 7 ] La lista de instalaciones disponibles se describe en el estándar: [ 4 ] : 9

La correspondencia entre el código de instalación y la palabra clave no es uniforme en los diferentes sistemas operativos e implementaciones de syslog. [ 8 ]

Nivel de gravedad

La lista de gravedades de los problemas también se describe en la norma: [ 4 ] : 10

El significado de los niveles de gravedad, distintos de Emergencia y Depuración , es relativo a la aplicación. Por ejemplo, si el objetivo del sistema es procesar transacciones para actualizar el saldo de la cuenta del cliente, un error en el paso final debería clasificarse como Alerta . Sin embargo, un error que se produzca al intentar mostrar el código postal del cliente podría clasificarse como Error o incluso Advertencia .

El proceso del servidor que gestiona la visualización de mensajes suele incluir todos los niveles inferiores (más graves) cuando se solicita la visualización de niveles menos graves. Es decir, si los mensajes se separan por gravedad individual, también se incluirá una entrada de nivel de advertencia al filtrar los mensajes de aviso , información y depuración . [ 12 ]

Mensaje

En el RFC 3164, el componente de mensaje (conocido como MSG) se especificó con los siguientes campos: TAG , que debe ser el nombre del programa o proceso que generó el mensaje, y CONTENT , que contiene los detalles del mensaje.

Descrito en RFC 5424, [ 4 ] "MSG es lo que se denominaba CONTENIDO en RFC 3164. La etiqueta ahora forma parte del encabezado, pero no como un solo campo. La etiqueta se ha dividido en APP-NAME, PROCID y MSGID. Esto no se asemeja totalmente al uso de la etiqueta, pero proporciona la misma funcionalidad en la mayoría de los casos." Las herramientas de syslog populares, como NXLog y Rsyslog, cumplen con este nuevo estándar.

El campo de contenido debe estar codificado en un conjunto de caracteres UTF-8 y deben evitarse los valores de octeto en el rango de caracteres de control ASCII tradicional. [ 13 ] [ 4 ]

Leñador

Los mensajes de registro generados pueden dirigirse a varios destinos, entre ellos: consola , archivos, servidores syslog remotos o relés. La mayoría de las implementaciones proporcionan una utilidad de línea de comandos, a menudo llamada registrador , así como una biblioteca de software , para enviar mensajes al registro. [ 14 ]

Para visualizar y monitorizar los registros recopilados, es necesario utilizar una aplicación cliente o acceder directamente al archivo de registro en el sistema. Las herramientas básicas de línea de comandos son `tail` y `grep` . Los servidores de registro pueden configurarse para enviar los registros a través de la red (además de los archivos locales). Algunas implementaciones incluyen programas de generación de informes para filtrar y visualizar los mensajes de syslog.

Protocolo de red

Cuando opera sobre una red, syslog utiliza una arquitectura cliente-servidor donde el servidor escucha en un puerto conocido o registrado las solicitudes de protocolo de los clientes. Históricamente, el protocolo de capa de transporte más común para el registro de red ha sido el Protocolo de Datagramas de Usuario (UDP), con el servidor escuchando en el puerto 514. [ 15 ] Debido a que UDP carece de mecanismos de control de congestión, se utiliza el puerto 6514 del Protocolo de Control de Transmisión (TCP); también se requiere Seguridad de la Capa de Transporte en las implementaciones y se recomienda para uso general. [ 16 ] [ 17 ]

Limitaciones

Dado que cada proceso, aplicación y sistema operativo se desarrolló de forma independiente, existe poca uniformidad en la carga útil del mensaje de registro. Por este motivo, no se asume nada sobre su formato o contenido. Un mensaje de syslog tiene un formato definido (RFC 5424 proporciona la definición de la forma aumentada de Backus-Naur (ABNF)), pero su campo MSG no.

El protocolo de red es de comunicación simplex , sin ningún medio para confirmar la entrega al remitente.

Perspectiva

Varios grupos están trabajando en borradores de estándares que detallan el uso de syslog para algo más que el registro de eventos de red y seguridad, como su aplicación propuesta dentro del entorno sanitario. [ 18 ]

Las normativas, como la Ley Sarbanes-Oxley , PCI DSS , HIPAA y muchas otras, exigen que las organizaciones implementen medidas de seguridad integrales, que a menudo incluyen la recopilación y el análisis de registros de diversas fuentes. El formato syslog ha demostrado ser eficaz para consolidar registros, ya que existen numerosas herramientas de código abierto y propietarias para su análisis e informes. Existen utilidades para convertir registros del Registro de eventos de Windows y otros formatos de registro a syslog.

Los proveedores de servicios de seguridad gestionados intentan aplicar técnicas analíticas y algoritmos de inteligencia artificial para detectar patrones y alertar a los clientes sobre problemas. [ 19 ]

documentos estándar de Internet

El protocolo Syslog se define mediante documentos de Solicitud de Comentarios (RFC) publicados por el Grupo de Trabajo de Ingeniería de Internet ( Estándares de Internet ). A continuación se muestra una lista de RFC que definen el protocolo Syslog: [ 20 ]

  • El protocolo syslog de BSD . IETF . RFC 3164 . (obsoleto por el Protocolo Syslog . IETF . RFC 5424 . )
  • Entrega confiable para syslog . IETF . RFC 3195 . 
  • El protocolo Syslog . IETF . RFC 5424 . 
  • Mapeo de transporte TLS para Syslog . IETF . RFC 5425 . 
  • Transmisión de mensajes Syslog a través de UDP . IETF . RFC 5426 . 
  • Convenciones textuales para la gestión de Syslog . IETF . RFC 5427 . 
  • Mensajes Syslog firmados . IETF . RFC 5848 . 
  • Mapeo de transporte de seguridad de la capa de transporte de datagramas (DTLS) para Syslog . IETF . RFC 6012 . 
  • Transmisión de mensajes Syslog a través de TCP . IETF . RFC 6587 . 

Véase también

Referencias

  1. "Eric Allman" . Salón de la Fama de Internet . Consultado el 30 de octubre de 2017 .
  2. "3 excelentes puestos de ingeniería para postularse esta semana" . VentureBeat . 6 de agosto de 2021. Consultado el 16 de agosto de 2021 .
  3. ^ Zhang, Shenglin; Liu, Ying; Meng, Weibin; Bu, Jiahao; Yang, Sen; Sol, Yongqian; Pei, Dan; Xu, junio; Zhang, Yuzhi; Canción, Lei; Zhang, Ming (2020). "Análisis de Syslog robusto y eficiente para dispositivos de red en redes de centros de datos" . Acceso IEEE . 8 : 30245– 30261. Código Bib : 2020IEEEA...830245Z . doi : 10.1109/ACCESS.2020.2972691 .
  4. 1 2 3 4 5 Gerhards, Rainer. El protocolo Syslog . IETF . doi : 10.17487/RFC5424 . RFC 5424 .
  5. "LXer: La patente pone en peligro el estándar syslog de la IETF" .
  6. "Divulgación de IPR del IETF sobre las reivindicaciones de patentes de HUAWEI" .
  7. "Syslog Facility" . Consultado el 22 de noviembre de 2012 .
  8. "Los entresijos del registro del sistema mediante Syslog" . Instituto SANS .
  9. 1 2 3 "syslog.conf(5) - Página man de Linux" . Consultado el 29/03/2017 . Las palabras clave error, warn y panic están obsoletas y no deberían usarse más.
  10. 1 2 3 4 5 "closelog, openlog, setlogmask, syslog - control system log" . Recuperado el 29-03-2017 . LOG_NOTICE Condiciones que no son condiciones de error, pero que pueden requerir un manejo especial.
  11. "La biblioteca C de GNU: syslog, vsyslog" . Consultado el 19 de julio de 2024. AVISO DE REGISTRO El mensaje describe un evento normal pero importante.
  12. "Niveles de gravedad para mensajes de Syslog" . cd.delphix.com . Consultado el 2 de octubre de 2024 .
  13. "Transmisión de mensajes Syslog a través de TCP" . www.ipa.go.jp. Consultado el 16 de agosto de 2021 .
  14. "comando logger" . www.ibm.com . Consultado el 16 de agosto de 2021 .
  15. "Servidor Syslog" . www.howtonetwork.com . Consultado el 16 de agosto de 2021 .
  16. Gerhards, Rainer (marzo de 2009). "RFC 5424 - El protocolo Syslog" . tools.ietf.org . doi : 10.17487/RFC5424 .
  17. Fuyou, Miao; Yuzhi, Ma; Salowey, Joseph A. (marzo de 2009). Miao, F; Ma, Y; Salowey, J (eds.). "RFC 5425 - TLS Transport Mapping for Syslog" . tools.ietf.org . doi : 10.17487/RFC5425 .
  18. "ATNA + SYSLOG es suficiente" . Healthcare Exchange Standards . 2 de enero de 2012. Consultado el 6 de junio de 2018 .
  19. Yamanishi, Kenji; Maruyama, Yuko (21 de agosto de 2005). "Minería dinámica de syslog para la monitorización de fallos de red" . Actas de la undécima conferencia internacional ACM SIGKDD sobre descubrimiento de conocimiento en minería de datos . KDD '05. Chicago, Illinois, EE. UU.: Association for Computing Machinery. págs. 499–508 . doi : 10.1145/1081870.1081927 . ISBN  978-1-59593-135-1. S2CID 5051532 . 
  20. "Problemas de seguridad en el registro de eventos de red (syslog)" . IETF.
  • Grupo de trabajo de ingeniería de Internet: Datatracker: Grupo de trabajo de syslog (concluido)
  • Instituto Nacional de Estándares y Tecnología: "Guía para la gestión de registros de seguridad informática" (Publicación especial 800-92) (documento técnico)
  • Software de gestión de redes: "Comprendiendo Syslog: servidores, mensajes y seguridad"
  • Explicación de TI de Paessler - Syslog
  • MonitorWare: Todo sobre Syslog
Obtenido de " https://en.wikipedia.org/w/index.php?title=Syslog&oldid=1318449757 "