Le protocole d'un serveur Syslog, permet de centraliser les logs de plusieurs équipements réseau.

Par défaut, les logs sont stockés directement sur l’équipement. Que ce soit un switch ou un routeur ! Et ces logs sont consultables dans l’IOS.

Un serveur Syslog joue un rôle crucial dans la gestion et la surveillance des réseaux informatiques. En permettant la centralisation des journaux (logs) de divers équipements réseau tels que les routeurs, les commutateurs et les pare-feu, il facilite la détection des problèmes, le dépannage et la maintenance du réseau dans son ensemble. 

Par défaut, les logs sont généralement stockés localement sur chaque équipement, ce qui peut rendre difficile leur consultation et leur analyse, surtout dans le cas de réseaux complexes comprenant de nombreux dispositifs.

C'est là qu'intervient le serveur Syslog : en centralisant ces logs, il offre une vue d'ensemble de l'état du réseau, ce qui facilite grandement la surveillance et le diagnostic des problèmes éventuels.

|La commande « debug » permet d’afficher en direct les logs sur la console !

Le faites de centralisé tous les logs de l’ensemble de ces équipements, permet de mieux surveiller et dépanner son propre réseau !

|Voici le format général des messages de log que l’IOS génère par défaut :

Chaque élément est séparé par deux petits points.

• |Le 1ᵉʳ champ, indique un numéro de séquence, seulement si la commande | « service sequence-numbers » a été entrée sur l’ios, car par défaut, elle n’est pas active !
• |Le champ « Time stamp » : permets de connaître la date et l’heure de l’évènement.
  Alors, il n’est pas non plus activé par défaut ! Pour ça| il faut utiliser la commande « service time stamps log » !
• |Le champ suivant est divisé en trois partit :
  |-facility : Indique le titre général de l’évènement, par exemple son protocole ou le type de système.
  |-le mot severity : est un numéro compris entre 0 et 7, pour mesurer le degré de sévérité du message.
  |-Et MNEMONIC : est une courte description de l’évènement
• |Il reste le champ Description : qui détaille l’évènement

|Et voici, un exemple de logs, qu’on peut avoir dans la CLI !

|On va revenir, sur le champ « Severity » et détailler les différents degrés de sévérité !

• |Le niveau « 0 » est la sévérité la plus grave ! Ici le système est complètement HS !
• |Le niveau 1 sont les alertes, ou une action est requise !
• |Le 2 est critique !
• |Le 3 sont pour les erreurs.
• |Le 4, les avertissements
• |Le 5, les notifs
• |Le niveau 6, sont juste pour informer
• |Et le 7 est le mode de debugging.
  C’est-à-dire que tout type de messages est affiché !

Si le niveau de sévérité est configuré sur 0, ça signifie que seuls les messages de type « Emergency » seront affichés dans la CLI. 

Si c’est configuré avec un niveau 4, eh bien tous les messages avec des niveaux de sévérité inférieure ou égal à 4 seront affichés.

C’est-à-dire, Emergency, Alert, Critique, erreur et Warning !

Le niveau qui donne le plus d’information est donc le niveau 7, qui est le mode de débogage. 

S’il est activé, alors beaucoup d'informations seront affichées dans le journal et sur la console.

C’est donc à utiliser avec prudence, car ça diminue fortement, les performances du réseau. 

|Par exemple, la commande « debug all » peut faire complètement tomber un switch.

Configuration 

|On va maintenant passer à sa configuration !

|Pour mettre en service un serveur syslog, il faut indiquer l’IP du serveur syslog et le degré de gravités des logs, à tous les équipements à qui on souhaite récupérer ces logs,

La commande « logging » permet d’indiquer l’IP du serveur Syslog.

Ici, ce sera la 192.168.1.50. 

|Et la commande « logging trap » permet de définir le degré de sévérité.

Dans l’exemple, l’option « warning » correspond à la sévérité 4.

|On aurait très bien pu, faire un « logging trap 4 ». Ça marche aussi.

Les messages de log suivent un format standardisé pour assurer une cohérence dans leur interprétation. Chaque message est généralement composé de plusieurs champs, notamment le numéro de séquence, l'horodatage, la gravité, la facilité et une description de l'événement. Ces informations permettent aux administrateurs système de trier, filtrer et prioriser les événements en fonction de leur importance et de leur impact sur le réseau.

La gravité d'un message, également connue sous le nom de niveau de sévérité, est un élément crucial dans la gestion des logs. Elle permet de catégoriser les événements en fonction de leur importance et de l'urgence d'intervention requise. Les niveaux de sévérité vont de 0 à 7, où 0 représente la gravité la plus élevée, indiquant des situations critiques telles que des pannes système, tandis que 7 est réservé au mode de débogage, fournissant des informations détaillées pour le diagnostic.

La configuration d'un serveur Syslog implique généralement l'attribution d'une adresse IP au serveur Syslog lui-même, ainsi que la définition du niveau de sévérité des logs à transmettre au serveur. Cela se fait à l'aide de commandes spécifiques sur chaque équipement réseau concerné. Par exemple, la commande "logging" est utilisée pour spécifier l'adresse IP du serveur Syslog, tandis que la commande "logging trap" permet de définir le niveau de sévérité des logs à envoyer.

Il est important de noter que la configuration du niveau de sévérité influence la quantité de données transmises au serveur Syslog. Un niveau de sévérité plus élevé entraîne l'envoi de logs correspondant à des événements plus graves, tandis qu'un niveau de sévérité plus bas peut inclure une plus large gamme d'événements, y compris ceux de nature informative ou de débogage.

En résumé, un serveur Syslog constitue un outil essentiel dans la gestion des réseaux informatiques, en permettant la centralisation, l'analyse et la surveillance des logs provenant de multiples équipements réseau. Sa configuration appropriée, notamment en ce qui concerne le niveau de sévérité des logs, est cruciale pour garantir une gestion efficace des événements du réseau.

Lors de la configuration du serveur Syslog, il est crucial de s'assurer que les niveaux de gravité appropriés sont définis pour garantir que seules les informations pertinentes sont collectées, minimisant ainsi le bruit et simplifiant l'analyse des journaux pour les opérateurs réseau.

Retrouvez plus d'information sur les serveurs Syslog sur notre chaîne YouTube Formip.