SYSLOG

Syslog es un protocolo que permite a un dispositivo enviar mensajes de notificacin a travs de una red IP para que sean
almacenados en otro dispositivo o servidor colector.
El servicio de syslog simplemente acepta mensajes, y los almacena en archivos o los imprime de acuerdo con un archivo
de configuracin simple. Esta forma de registro es la mejor disponible para los dispositivos de Cisco, ya que puede
proporcionar almacenamiento protegido a largo plazo para los registros. Esto es til tanto en la solucin de problemas
de rutina y en el manejo de incidente.
Syslog es un protocolo cliente / servidor es compatible con una amplia variedad de dispositivos y receptores a travs de
mltiples plataformas. Syslog se puede utilizar para integrar los datos de registro de muchos sistemas diferentes en un
repositorio central en tiempo real.
El remitente Syslog enva un mensaje de texto pequeo (menos de 1 KB) al receptor Syslog.
El receptor Syslog es comnmente llamada "syslogd", "demonio Syslog," o "Servidor Syslog".
Los mensajes Syslog se pueden enviar a travs de UDP (puerto 514) y / o TCP (normalmente, el puerto 5000). Estos
datos se envan normalmente en texto claro por la red.
Al ser un protocolo sin conexin, UDP no proporciona reconocimientos al remitente o receptor. Adems, en la capa de
aplicacin, servidores Syslog no envan acuses de vuelta al remitente para la recepcin de mensajes Syslog. En
consecuencia, el dispositivo emisor genera mensajes Syslog sin saber si el servidor Syslog ha recibido los mensajes. De
hecho, los dispositivos envian mensajes, incluso si no existe el servidor Syslog; estos mensajes se "perdieron" en la red.

Usos
Es til registrar, por ejemplo:
Un intento de acceso con contrasea equivocada
Un acceso correcto al sistema
Anomalas: variaciones en el funcionamiento normal del sistema
Informacin sobre las actividades del sistema operativo
Errores del hardware o el software
Beneficios de la gestin de Syslog
Gestin proactiva Syslog beneficia tanto el personal de operaciones y de la empresa en su conjunto, desde una
perspectiva de ahorro de costos.
Reducir el tiempo de inactividad, lo que reduce los costes operativos
Mejorar la gestin de incidencias mediante la deteccin en tiempo real y de auto-correccin
Reduzca el volumen de problemas
Reducir la gravedad de las interrupciones del negocio.
EL FORMATO Y CONTENIDO DE MENSAJES SYSLOG

El formato completo de un mensaje de Syslog tiene tres partes distintas.

PRI (prioridad)
HEADER
MSG (mensaje de texto)

Prioridad
La prioridad es un nmero de 8 bits. Esto representa tanto recurso (tipo de aparato que ha generado el mensaje) y la
severidad del mensaje. Los tres bits menos significativos representan la severidad del mensaje (con tres bits puede
representar ocho severidades diferentes), y los otros cinco bits representan el recurso del mensaje.
Recurso
Los mensajes sylog son por lo general categorizados en base a la fuente que los genera. Las fuentes pueden ser: el
sistema operativo, el proceso, o una aplicacin. Estas categoras, denominadas recursos estn representadas por
nmeros enteros.
Los recursos locales de uso no estn reservados; los procesos y aplicaciones que no tienen los valores de los recursos
pre-asignados pueden elegir cualquiera de los ocho recursos de uso local. Por lo tanto, los dispositivos de Cisco utilizan
una de los recursos de uso local para el envo de mensajes Syslog.
Valores de recursos
Entero Recurso
0 Mensajes del kernel
1 Mensajes del nivel de usuario
2 Sistema de correo
3 Demonios de sistema
4 Seguridad/Autorizacin
5 Mensajes generados internamente por
syslogd
6 Subsistema de impresin
7 Subsistema de noticias sobre la red
8 Subsistema UUCP
9 Demonio de reloj
10 Seguridad/Autorizacin
11 Demonio de FTP
12 Subsistema de NTP
13 Inspeccin del registro
14 Alerta sobre el registro
15 Demonio de reloj
16 Uso local 0
17 Uso local 1
18 Uso local 2
19 Uso local 3
20 Uso local 4
21 Uso local 5
22 Uso local 6
23 Uso local 7




Severidad
El nivel de severidad de la notificacin utiliza una escala de 0 a 7, donde 0 corresponde a los eventos de mayor criticidad,
y 7 a los menos crticos:
Los dispositivos de red deben registrar los niveles 0-6 en la operacin normal. El nivel 7 debe ser usada slo por la
solucin de problemas de la consola.
Valores de severidad
Entero Severidad
0 Emergencia: El sistema est inutilizable
1 Alerta: Se actuar inmediatamente
2 Crtico: Condiciones crticas
3 Error: Condiciones de error
4 Peligro: Condiciones de peligro
5 Aviso: Condicin normal pero significativa
6 Informacin : Mensajes informativos
7 Depuracin : Mensajes de bajo nivel

Clculo de la prioridad
Para conocer la prioridad final de un mensaje, se aplica la siguiente frmula:
Prioridad = Recurso * 8 + Severidad
Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia), tendra Prioridad igual a 0*8+0 = 0.
Uno de FTP (11) de tipo informacin (6) tendra 11*8+6=94. Como se puede ver, valores ms bajos indican mayor
prioridad.

Header (Encabezado)

Cabecera
La cabecera, indica el tiempo y el nombre del ordenador que emite el mensaje.
El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del mes
en ingls, dd, es el da del mes, y el resto es la hora. No se indica el ao.
El nombre de ordenador (hostname), o la direccin IP si no se conoce el nombre.

MSG (Mensaje)
El mensaje es el texto del mensaje Syslog, junto con informacin adicional sobre el proceso que ha generado el
mensaje. Los mensajes Syslog generados por los dispositivos Cisco IOS comienzan con un signo de porcentaje (%) y
utilizan el formato siguiente:
% FACILIDAD-GRAVEDAD-MNEMNICO: Mensaje de texto
El nemnico es un cdigo especfico del dispositivo que identifica de forma nica el mensaje como "arriba", "abajo",
"cambiar", "config", etc Por ejemplo:
*Sep 16 08:50:47.359 EDT: %SYS-5-CONFIG_I: Configured from console by vty0 10.18.86.123
Los recursos en cisco son un mtodo de forma libre de identificar el tipo de mensaje de origen, como SYS, IP, LDP, L2,
MEM, filesys, Dot11, LINEPROTO, etc.

Se recomienda activar el NTP en toda la red y de la arquitectura del sistema para asegurar las marcas de tiempo
correctas son reportadas. Esto asegura que todos los mensajes Syslog entrantes se sincronizan de manera que pueda
determinar efectivamente el tiempo y la correlacin de eventos de entrada correcta.

NTP

Es un protocolo de Internet para sincronizar los relojes de los sistemas informticos a travs del enrutamiento de
paquetes en redes. NTP utiliza UDP como su capa de transporte, usando el puerto 123.
NTP est diseado para sincronizar la hora del da entre un conjunto de servidores y clientes en una red. Se ejecuta
sobre (UDP), utilizando el puerto 123 como el origen y el destino, que a su vez se ejecuta a travs de IP.
El Protocolo de Tiempo de Red (NTP) sincroniza la hora del da entre un conjunto de servidores y clientes de tiempo
distribuidos de modo que pueda correlacionar eventos cuando reciba los registros del sistema y otros eventos
especficos con el de mltiples dispositivos de red
COMADOS DE CONFIGURACION:
NTP
R1(config)#ntp server [IP DEL SERVIDOR]
R1(config)#ntp update-calendar

Syslog
R1(config)#logging host [IP DEL SERVIDOR]
R1(config)#service timestamps log datetime msec