معرفی روشهای ارسال ( Log ) سیسکو : چند نوع Log داریم؟
چگونه از لاگ های سیسکو استفاده کنیم؟ چند نوع و از چه چیزهایی می توانیم لاگ بگیریم؟ با در نظر گرفتن یک حادثه به موضوع و اهمیت log ها می پردازیم.حادثه ای در سایت یک مشتری را در نظر بگیرید که در آن هارد دیسک یک سرور مشکل پیدا کرده و از طریق هارد Backup، سرور در حال کار است. چندین هفته به همین صورت سرور کار می کند و به log تولید شده کسی توجه نمی کند. در این زمان اگر برای هارد Backup اتفاق رخ می دهد در آن سازمان فاجعه رخ می دهد.مدیر با به صورت مرتب log ها را مورد بررسی قرار دهد بخصوص log هایی که از دستگاه های حساس شبکه ارسال می شوند. اطلاعات log ها می تواند ماهیت و وقوع یک حمله را برای ما مشخص کند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
همچنین از اطلاعات log ها می توان برای خطایابی استفاده کرد. دیدن log از چندین دستگاه می تواند وابستگی بین آنها را با ما نشان دهد (رابطه ای که بین اتفاق رخ داده در دستگاه های مختلف). برای جمع آوری و بررسی مناسب رخدادها ، داشتن زمان دقیق در تمام دستگاه ها بسیار مهم است که با استفاده از Network Time Protocol (NTP) می توان همگام سازی زمان را در تمام تجهیزات انجام داد.IOS سیسکو می تواند log ها را به چند روش و مقصد مختلف ارسال کند که شرح زیر هستند :
- Console : در حین ارتباط کنسول می توان log ها را مشاهده نمود.
- Vty line : در ارتباط SSH یا telnet می توان log ها را مشاهده کرد البته برای دیدن آنها باید دستور terminal monitor را استفاده کنیم.
- Buffer : در حافظه دستگاه ها می توانند log ها را ذخیره کنند و میزان فضا برای آن قابل تنظیم است و تا اندازه ای که برای آن مشخص شده log ها را نگه داری می کند سپس log ها قدیمی تر حذف می شوند (FIFO). در صورت reboot شدن دستگاه log موجود در بافر از بین می روند.
- SNMP server : زمانی که دستگاه را به عنوان یک SNMP تنظیم می کنید دستگاه می تواند پیام های را تحت عنوان SNMP traps تولید و برای SNMP سرور ارسال کند.
- Syslog server : یک روش محبوب ذخیره سازی اطلاعات log ها در syslog سرور است. روشی که به سادگی قابل تنظیم است و می توان حجم بسیار بالایی از log ها را در خود نگه داری کند. پیام های syslog را می توان به صورت مستقیم به یک یا چند syslog سرور ارسال کرد.
روش syslog شامل دو بخش اصلی syslog server و syslog client است. Syslog سرور log ها را از syslog client دریافت و ذخیره می کند.تمام پیام های syslog به صورت یکسان ایجاد نمی شوند و به صورت خاص با سطوح مختلف ایجاد می شوند. جدول زیر 8 سطح مختلف پیام های syslog را نمایش داده است. هر چه سطح syslog بالاتر باشد شامل اطلاعات بیشتری خواهد بود. این نکته را در نظر داشته باشید که که اطلاعات بیشتر نیاز به فضای بیشتری برای ذخیره سازی خواهد داشت. پیام های syslog به صورت clear text ارسال می شوند. همچنین سطوح بالاتر syslog باعث درگیری بیشتر CPU می شوند. به همین دلیل در زمان استفاده از debugging مواظب logging باشید.
Syslog حاوی برچسب زمانی است که با استفاده از آن می توانید متوجه ارتباط بین log ها شوید. همچنین syslog حاوی اطلاعات مربوط به سطح syslog است. داشتن زمان یکسان و هماهنگ در کلیه تجهیزات باعث می شود که جمع آوری و بررسی پیام های syslog از دستگاه های مختلف بهتر و ساده تر انجام گیرد.