¿Qué es SysLog y cuál es su relevancia?
La relevancia de syslog, parte de que los sistemas operativostienen registros sobre eventos para ayudar a monitorear, administrar y solucionar problemas de un sistema. Se obtiene información sobre eventos y procesos importantes que refieren ser notificados al usuario, incluyendo incluyen errores del sistema, advertencias, mensajes de inicio, cambios en el sistema, fallas o apagados anormales, etc., considerando software, hardware y componentes del sistema, que existen en la mayoría de las versiones de los tres sistemas operativos comunes (Windows, Linux y Mac OS). Todas las entradas están clasificadas por tipo, como error, información, advertencia, auditoría de éxito y auditoría de fallos para sistemas Windows, y emergencia, alerta, crítica, error, advertencia, aviso, información y depuración para sistemas Mac OS y Linux.
Las entradas de syslog tienen un encabezado y una descripción de los eventos, incluyendo detalles sobre los mismos.
También el syslog indica si los procesos se cargaron exitosamente o no, con información que se puede utilizar para diagnosticar las fuentes de problemas de la ordenador. Las notificaciones o advertencias se pueden usar para predecir posibles problemas, lo que ayuda a emprender acciones proactivas.
¿Qué es un servidor Syslog?
Un servidor Syslog permite enviar datos de registro de todos los dispositivos que se hallan en la red empresarial (ordenadores, impresoras, enrutadores, servidores, etc.) hacia un lugar centralizado, desde el cual es posible buscar, administrar y archivar toda la información de registro.
El estándar de syslog define tres capas:
- Capa de contenido: datos reales contenidos en el mensaje de evento, con algunos elementos informativos, como los códigos de las instalaciones y los niveles de gravedad.
- Capa de aplicación: donde se genera, interpreta, enruta y almacena el mensaje.
- Capa de transporte Syslog: donde se transmite el mensaje a través de una red.
El formato de syslog contiene lo siguiente:
- Seq: un número de secuencia que indica la secuencia/el orden de un mensaje.
- Marca de tiempo: hora en que se generó el mensaje.
- Instalación: indica qué proceso en el dispositivo generó este mensaje.
- Gravedad: indica la gravedad del evento registrado, hasta 8 niveles de gravedad:
- Nivel 0, emergencia, eventos que inutilizan el sistema.
- El nivel 1, alerta, es para eventos para los que se deben tomar medidas de inmediato. Entonces, estos también son eventos muy urgentes/graves.
- El nivel 2 se denomina crítico y la descripción es simplemente «condiciones críticas».
- Nivel 3, error.
- Nivel 4, advertencia.
- El nivel 5, aviso/notificación, se utiliza para mensajes que representan una ‘condición normal pero significativa’.
- El nivel 6 es ‘Informativo’, y finalmente
- Nivel 7, es Depuración. Estos son los mensajes menos graves.
- MNEMÓNICO: código abreviado para el mensaje, que indica lo que sucedió.
- Descripción: información detallada sobre el evento que se está informando.
Ejemplo: Más adelante explicaremos su funcionamiento básico, su utilidad y Métodos de transporte más comunes.
Funcionamiento Básico
Para entender el funcionamiento de syslog, debemos comprender que un dispositivo (ordenador o servidor de red) de la empresa puede haber sido configurado para generar mensajes syslog y que estos mensaje sean enviados a un servidor syslog, o Daemon o colector que recoge, ordena, clasifica y configura la alerta y localización del evento dentro de la red, para poder dar seguimiento y evaluar eventos o los problemas que surjan en los sistemas. Los códigos de instalación son:
| Código | Palabra clave | Descripción |
|---|---|---|
| 0 | núcleo | Mensajes del núcleo |
| 1 | usuario | Mensajes a nivel de usuario |
| 2 | correo | Sistema de correo. |
| 3 | demonio | Demonios del sistema |
| 4 | autenticación | Mensajes de seguridad/autorización |
| 5 | registro del sistema | Mensajes generados internamente por syslog |
| 6 | lpr | Subsistema de impresora de línea |
| 7 | noticias | Subsistema de noticias de la red |
| 8 | uucp | Subsistema UUCP |
| 9 | cron | Demonio del reloj |
| 10 | Autorización privada | Mensajes de seguridad/autorización |
| 11 | ftp | Demonio FTP |
| 12 | ntp | Subsistema NTP |
| 13 | seguridad | Auditoría de registros |
| 14 | consola | Alerta de registro |
| 15 | solaris-cron | Demonio del reloj |
| 16-23 | local | Uso local 0-7 (local 0-7) |
Claro que es importante configurar adecuadamente para evitar una saturación al servidor y un alto tráfico en la red.
Los mensajes de syslog se envían desde el dispositivo emisor al receptor (servidor syslog), utilizando un protocolo que no requiere conexión, en textos cortos que no superan los 1024 bytes, para agilizar y facilitar su comprensión. Para transportar los mensajes de syslog al servidor de registro (físico o virtual) existen métodos comunes como el UDP o el transporte de red TSL encriptado sobre TCP, que revisaremos a continuación.
Protocolos de Transporte o envío: UDP y TCP
En el protocolo UDP, los mensajes se transmiten y se envían a la red en un paquete en el puerto 514. Cada mensaje cabe en un solo paquete, sin acuse de recibo, en que no existe un reconocimiento ni un mecanismo de retransmisión, Esto conlleva a que, si existe algún problema en la red, no hay forma de asegurar de que el paquete se entregue en forma oportuna, e incluso es posible no tener conocimiento si la red está caída. El riesgo es que los paquetes, especialmente los esenciales, pueden perderse o dañarse durante su transmisión y el administrador del sistema no estaría informado de esto.
Otra problemática es que, en UDP, no hay una encriptación, por lo que los mensajes pueden ser interceptados o falsificados con serias consecuencias en la seguridad empresarial. Un recurso podría ser usar el UDP syslog desde una VPN encriptada.
En el caso de TCP, los mensajes son encriptados y se basan en la sesión, además de aprovechar la seguridad TLS (Transport Layer Security o Seguridad de la capa de transporte). Esto hace que los datos de los usuarios y dispositivos queden protegidos ante amenazas de seguridad (ejemplo: malware y los ataques de denegación de servicio o DoS), ya que solo los usuarios autorizados pueden acceder a los datos mediante cifrado. Se usa el puerto TCP Syslog 6514 como los mismos certificados de autenticación en HTTPS. La ventaja de esto es que cada dispositivo tiene un certificado único, de manera que el servidor puede detectar si los dispositivos han sido secuestrados o se haya incurrido en un acceso no permitido o falsificado. También, la entrega de cada mensaje se garantiza. Desde luego, se requerirá que las sesiones y dispositivos estén conectados en forma ininterrumpida.
Analizando los protocolos UDP y TCP, es importante considerar,que si un equipo se desconecta o está bloqueado, no podrá enviar el mensaje. Esto nos dice que syslog tiene sus desafíos para supervisar el estado activo e inactivo de los dispositivos.
Beneficios de las herramientas como Syslog para Empresas
La sencillez de los mensajes de syslog ha facilitado su implementación en la mayoría de los dispositivos y los datos que proporcionan facilitan la generación de reportes, diagramas y gráficos sobre la infraestructura de TI. Esta información y visibilidad permite emprender estrategias de ciberseguridad de la organización, además de facilitar el trabajo diario para el personal técnico y el administrador de las redes empresariales.
También syslog permite el almacenamiento de la información de registro en forma centralizada, agilizando su administración y concentrando una sola versión de los datos.
Para la gestión de dispositivos y redes, syslog permite el seguimiento del equipamiento y su supervisión. Para entender esto, existe un Protocolo Simple de Administración de Redes (SNMP o Simple Network Management Protocol), que es un protocolo para intercambiar datos entre un dispositivo habilitado para SNMP y una solución de administración de red. Esto permite supervisar la red, además de agilizar y hacer una eficiente gestión del rendimiento o crecimiento de la red y la identificación de problemas en la misma.
Cuándo Utilizar Syslog
Tanto Syslog como SNMP son usados para enviar alertas y mensajes a los servidores centrales para dar seguimiento y conocer el estado de los dispositivos y la red empresarial. La diferencia radica en los traps. Los traps son mensajes no solicitados, y que pueden enviar notificaciones asíncronas, que alertan al administrador de SNMP sobre una condición o un evento en la red. Los SNMP tienen formatos especiales predefinidos contenidos en un archivo MIB, Esto permite a los usuarios del software saber de antemano qué información tendrá el mensaje en su contenido.
En el caso de Syslog, se recomienda su uso para eventos que son de alcance general o masivos, que pueden ser más difíciles de predecir, además de considerar el gran volumen de registros de diferentes proveedores. Para enfrentar este desafío, el protocolo Syslog puede incluir campos especiales llamados “Facility” y “Severity”, con sus códigos de identificación para facilitar el análisis:
- Severity: estos son valores sencillos, con un número entre 0 y 7 muestra para identificar el nivel de importancia de un mensaje, como se muestra la siguiente tabla:
Código numérico Severidad Significado 1 Emergencia El sistema es inutilizable 2 Alerta Actuar de inmediato 3 Crítico Condiciones críticas 4 Error Condiciones de error 5 Advertencia Condiciones de advertencia 6 Aviso Condición normal pero significativa 7 Informativo Mensajes informativos 8 Depuración Mensajes de nivel de depuración - Los códigos Facility se concentran en una base de datos común compartida Facility funcionan como claves de búsqueda. El código Facility funciona como filtro, para que el mensaje se reenvíe al servidor Syslog remoto solo para aquellos eventos cuya función coincida con la definida en este campo.
Número Descripción 0 Mensajes Kernel 1 Mensaje a nivel usuario 2 Sistema de correo 3 Demonios de sistema 4 Mensajes de seguridad/autorización por defecto 5 Mensajes generados internamente por el syslog 6 Subsistema de impresora en línea 7 Subsistema de noticias de red 8 Subsistema de copiador de Unix a Unix (UUPC) 9 Demonio de reloj 10 Mensajes de seguridad/autorización 11 Demonio FTP 12 Subsistema NTP 13 Auditoría de log 14 Alerta de log 15 Demonio de reloj 16 Uso local 0 (Local 0) 17 Uso local 1 (Local 1) 18 Uso local 2 (Local 2) 19 Uso local 3 (Local 3) 20 Uso local 4 (Local 4) 21 Uso local 5 (Local 5) 22 Uso local 6 (Local 6) 23 Uso local 6 (Local 7)
Comparación con Traps SNMP
Mediante el SNMP, los administradores de red pueden supervisar y controlar el rendimiento de los dispositivos e incluso, de manera remota, realizar configuraciones y diagnosticar problemas. Su uso se recomienda para eventos definidos, a diferencia de syslog, que se recomienda para eventos generales.
Ahora analicemos sus ventajas y desventajas de SNMP en comparación con syslog:
Ventajas:
- Fácil implementación y configuración, ya que no requiere una infraestructura compleja ni una gran cantidad de recursos para su funcionamiento.
- Soporte para múltiples dispositivos y fabricantes, además de ser independiente del fabricante del equipo o dispositivo, pudiendo usarse para distintas marcas o modelos.
- Monitoreo proactivo, basado en tiempo real sobre el estado y rendimiento de los dispositivos en la red, facilitando tomar medidas antes de tener un impacto en el rendimiento de la red o provocar interrupciones en el servicio.
- Eficiencia en el uso de ancho de banda, considerando que solo se envían y reciben datos cuando ocurre un cambio importante en el dispositivo, evitando la saturación de la red y mejorando el rendimiento general.
- Amplia disponibilidad de herramientas de gestión compatibles con SNMP, que agiliza la supervisión y administración de dispositivos. Hoy existen herramientas con interfaces más intuitivas y funciones avanzadas para facilitar la tarea del administrador de la red.
Desventajas:
- Falta de seguridad avanzada como detección de intrusos o protección de datos sensibles. Esto puede ser un problema crítico para la organización.
- Limitaciones en rendimiento y escalabilidad, especialmente cuando sabemos que los ecosistemas digitales crecen en tamaño y complejidad, dificultando el manejo de grandes volúmenes de datos y diversos dispositivos. Esto lleva a desaprovechar el rendimiento y la escalabilidad de la solución SNMP.
- Dependencia de la conectividad de red estable y confiable para que funcione. La capacidad de SNMP podrá verse afectada con caídas o fallas de conexión para supervisar y gestionar los dispositivos.
- Limitaciones para monitorear aplicaciones, ya que SNMP no cuenta con capacidades para obtener datos sobre el funcionamiento interno de las aplicaciones.
- Necesidad de configuración adicional en cada uno de los dispositivos, lo que implica tiempo y esfuerzo adicional el equipo técnico a cargo de la administración de la red.
Lo que nos lleva a decir que SNMP sí contribuye en la supervisión y gestión de dispositivos de red, pero existen limitaciones en seguridad, rendimiento y escalabilidad.
Preguntas Frecuentes sobre Syslog
¿Qué es syslog?
Syslog es un protocolo para enviar datos sobre dispositivos y su estado hacia una ubicación central para su almacenamiento, análisis y gestión. Los datos siguen un estándar en su formato y utiliza códigos de instalación (Facility) y niveles de gravedad (Severity) para identificar el origen y la urgencia de los mensajes. Syslog facilita el intercambio de información de registro y la compatibilidad entre varios sistemas operativos. Como limitaciones podemos mencionar la posibilidad de perder mensajes cuando los dispositivos están desconectados a la red además de las debilidades de seguridad por los mensajes no encriptados.
¿Cuál es el funcionamiento de los puertos Syslog en los servidores?
Un servidor Syslog abre el puerto 514 (para el método UDP) o el puerto 6514 (para el método TCP) y toma las alertas de los eventos Syslog entrantes generados por los dispositivos. Las alertas o mensajes siguen un protocolo, como el RFC 5424 para transmitir mensajes de notificación de eventos, en una arquitectura en capas. El protocolo ha sido diseñado para ser independiente del transporte del mensaje y puede usarse a través de TCP, UDP o cualquier otro protocolo de transporte.
¿Cómo visualizar los mensajes de syslog?
Para ver los mensajes de syslog, hay que instalar un servidor de syslog en servidor o estación de trabajo en la misma red donde está instalado el dispositivo. Existen servidores de syslog sin costo como el Servidor Kiwi Syslog, compatible con Windows 2008, 2012, Windows 8.1 y 1012 y el Servidor de logs de Pandora FMS, gratuito. Permite no solo recoger logs para almacenarlos de manera centralizada, sino también establecer alertas en tiempo real.
¿Cómo activar o desactivar syslog de varios dispositivos?
Partiendo de que la mayoría de los fabricantes ya incluyen en equipamiento y dispositivos los protocolos de syslog, si se quiere habilitar los syslogs para distintos dispositivos, lo hay que utilizar las plantillas o templates de scripts de automatización (Configlets), desde las cuales se selecciona el proveedor del dispositivo y se elige activar o desactivar el syslog. También se pueden utilizar estas plantillas de scripts para reenviar los mensajes syslog al instante.
¿Puede una sola herramienta tener una visibilidad global?