Syslog

1
Syslog
syslog es un estndar de facto para el envo de mensajes de registro en una red informtica IP. Por syslog se conoce
tanto al protocolo de red como a la aplicacin o biblioteca que enva los mensajes de registro.
Un mensaje de registro suele tener informacin sobre la seguridad del sistema, aunque puede contener cualquier
informacin. Junto con cada mensaje se incluye la fecha y hora del envo.
Usos
Es til registrar, por ejemplo:
Un intento de acceso con contrasea equivocada
Un acceso correcto al sistema
Anomalas: variaciones en el funcionamiento normal del sistema
Alertas cuando ocurre alguna condicin especial
Informacin sobre las actividades del sistema operativo
Errores del hardware o el software
Tambin es posible registrar el funcionamiento normal de los programas; por ejemplo, guardar cada acceso que se
hace a un servidor web, aunque esto suele estar separado del resto de alertas.
Protocolo
El protocolo syslog es muy sencillo: existe un ordenador servidor ejecutando el servidor de syslog, conocido como
syslogd (demonio de syslog). El cliente enva un pequeo mensaje de texto (de menos de 1024 bytes).
Los mensajes de syslog se suelen enviar va UDP, por el puerto 514, en formato de texto plano. Algunas
implementaciones del servidor, como syslog-ng, permiten usar TCP en vez de UDP, y tambin ofrecen Stunnel para
que los datos viajen cifrados mediante SSL/TLS.
Aunque syslog tiene algunos problemas de seguridad, su sencillez ha hecho que muchos dispositivos lo
implementen, tanto para enviar como para recibir. Eso hace posible integrar mensajes de varios tipos de sistemas en
un solo repositorio central.
Estructura del mensaje
El mensaje enviado se compone de tres campos:
Prioridad
Cabecera
Texto
Entre todos no han de sumar ms de 1024 bytes, pero no hay longitud mnima.
Syslog
2
Prioridad
La prioridad es un nmero de 8 bits que indica tanto el recurso (tipo de aparato que ha generado el mensaje) como
la severidad (importancia del mensaje), nmeros de 5 y 3 bits respectivamente. Los cdigos de recurso y severidad
los decide libremente la aplicacin, pero se suele seguir una convencin para que clientes y servidores se entiendan.
Cdigos de recurso
stos son los cdigos observados en varios sistemas. Fuente: RFC 3164
[1]
.
0 Mensajes del kernel
1 Mensajes del nivel de usuario
2 Sistema de correo
3 Demonios de sistema
4 Seguridad/Autorizacin
5 Mensajes generados internamente por syslogd
6 Subsistema de impresin
7 Subsistema de noticias sobre la red
8 Subsistema UUCP
9 Demonio de reloj
10 Seguridad/Autorizacin
11 Demonio de FTP
12 Subsistema de NTP
13 Inspeccin del registro
14 Alerta sobre el registro
15 Demonio de reloj
16 Uso local 0
17 Uso local 1
18 Uso local 2
19 Uso local 3
20 Uso local 4
21 Uso local 5
22 Uso local 6
23 Uso local 7
Cdigos de severidad
Los 3 bits menos significativos del campo prioridad dan 8 posibles grados. Fuente: RFC 3164
[1]
.
Syslog
3
0 Emergencia: el sistema est inutilizable
1 Alerta: se debe actuar inmediatamente
2 Crtico: condiciones crticas
3 Error: condiciones de error
4 Peligro: condiciones de peligro
5 Aviso: normal, pero condiciones notables
6 Informacin: mensajes informativos
7 Depuracin: mensajes de bajo nivel
Clculo de la prioridad
Para conocer la prioridad final de un mensaje, se aplica la siguiente frmula:
Prioridad = Recurso * 8 + Severidad
Por ejemplo, un mensaje de kernel (Recurso=0) con Severidad=0 (emergencia), tendra Prioridad igual a 0*8+0 = 0.
Uno de FTP (11) de tipo informacin (6) tendra 11*8+6=94. Como se puede ver, valores ms bajos indican mayor
prioridad.
Cabecera
El segundo campo de un mensaje syslog, la cabecera, indica tanto el tiempo como el nombre del ordenador que
emite el mensaje. Esto se escribe en codificacin ASCII (7 bits), por tanto es texto legible.
El primer campo, tiempo, se escribe en formato Mmm dd hh:mm:ss, donde Mmm son las iniciales del nombre del
mes en ingls, dd, es el da del mes, y el resto es la hora. No se indica el ao.
Justo despus viene el nombre de ordenador (hostname), o la direccin IP si no se conoce el nombre. No puede
contener espacios, ya que este campo acaba cuando se encuentra el siguiente espacio.
Texto
Lo que queda de paquete syslog al llenar la prioridad y la cabecera es el propio texto del mensaje. ste incluir
informacin sobre el proceso que ha generado el aviso, normalmente al principio (en los primeros 32 caracteres) y
acabado por un carcter no alfanumrico (como un espacio, ":" o "["). Despus, viene el contenido real del mensaje,
sin ningn carcter especial para marcar el final.
Historia
syslog fue desarrollado por Eric Allman como parte del proyecto Sendmail, inicialmente (aos 1980) slo para ste
proyecto. Sin embargo, se comprob que era muy til, y otras aplicaciones empezaron tambin a usar syslog. Hoy en
da (2005), syslog est presente por defecto en casi todos los sistemas Unix y GNU/Linux, y tambin se encuentran
diversas implementaciones de syslog para otros sistemas operativos, como Microsoft Windows.
Es ahora, despus de tantos aos, cuando syslog est en proceso de convertirse en estndar, para -entre otras cosas-
poder mejorar la seguridad de sus implementaciones. IETF asign un grupo de trabajo, y en 2001, se document su
funcionamiento en el RFC 3164 [2]. La estandarizacin del contenido del mensaje y de las diferentes capas de
abstraccin estn planificadas para 2006.
Syslog
4
Implementaciones
UNIX:
sysklogd
[3]
rsyslogd
[4]
: Implementa syslog sobre TCP y sigue el RFC 3195
syslog-ng
[5]
: TCP, SSL, SQL
Windows 2000, 2003, XP:
HDC Syslog
[6]
: parte de los productos HDC
[7]
Kiwi Syslog Daemon
[8]
NetDecision LogVision
[9]
WinSyslog
[10]
NTsyslog
[11]
Syslserve
[12]
Syslog Watcher
[13]
Enlaces externos
RFC 3164
[1]
, donde se estudia (pero no se define) cmo han implementado syslog diversos fabricantes. Agosto
de 2001. En ingls.
Proceso de estandarizacin de syslog
[14]
(en ingls).
RFC 3195
[15]
(en ingls): envo fiable para syslog
Gestin de archivos de registro del sistema
[16]
Tutorial para aprender a administrar e interpretar los archivos de
registro generados por el demonio rsyslog.
Referencias
[1] http:/ / www. ietf. org/ rfc/ rfc3164.txt
[2] http:/ / www. ietf. org/ rfc/ rfc3164.txtl
[3] http:/ / www. infodrom.org/ projects/ sysklogd/
[4] http:/ / sourceforge. net/ projects/ rsyslog/
[5] http:/ / www. balabit. com/ network-security/ syslog-ng/
[6] http:/ / www. netmakers-ingenierie.com/ izzini/ frontoffice?f1=227& f11=6_29_33_34_
[7] http:/ / www. netmakers-ingenierie.com/ izzini/ frontoffice?f1=234& f11=6_29_41_
[8] http:/ / www. kiwisyslog.com/
[9] http:/ / www. netmechanica. com/ products/ ?prod_id=1016
[10] http:/ / www.winsyslog.com
[11] http:/ / ntsyslog. sourceforge.net/
[12] http:/ / sysutil. googlepages. com/ syslserve
[13] http:/ / www.snmpsoft. com/ syslogwatcher/
[14] http:/ / www.ietf.org/ html. charters/ syslog-charter.html
[15] http:/ / www.faqs. org/ rfcs/ rfc3195. html
[16] http:/ / www.makeinstall. es/ 2011/ 05/ gestion-de-archivos-de-registro-del. html
Fuentes y contribuyentes del artculo
5
Fuentes y contribuyentes del artculo
Syslog Fuente: http://es.wikipedia.org/w/index.php?oldid=60236197 Contribuyentes: 142857, Aeris17, AgD, Asfarer, Jjvaca, Jkbw, Themfromspace, , 15 ediciones annimas
Licencia
Creative Commons Attribution-Share Alike 3.0 Unported
//creativecommons.org/licenses/by-sa/3.0/