IT Technology/Cisco

Cisco Syslog이해

by빵수 2021. 11. 16. 21:27
728x90
반응형

Cisco Syslog에 대해서 알아보자.

 

시스코 IOS에서 작업을 할 경우 항상 다음과 같은 메시지를 보게 된다.

 

Switch#

*Jan 18 11:43:32.316: %SYS-5-CONFIG_I: Configured from console by console

 

Switch#

*Jan 18 11:43:32.679: %LINEPROTO-5-UPDOWN: Line protocol on Interface TenGigabitEthernet1/1/1, changed state to down

 

*Jan 18 11:45:19.750: %LINEPROTO-5-UPDOWN: Line protocol on Interface TenGigabitEthernet1/1/1, changed state to up

 

이렇게 장비에서 작업자가 알아야 할 이벤트가 발생하면, 메시지를 발생한다.

이러한 것들이 모두  Syslog에 의해서 동작한다.

 

시스코 장비에서는 Syslog메시지는 기본적으로 Console에만 뿌려지게 된다.

장비의 기본 컨피그에 "logging console" 이라는 명령어가 있기 때문이다.

 

만약 SSH나 Telnet으로 접속한 시스코 장비에서 Syslog 메시지를 확인하기 위해서는

"terminal monitor" 명령어로 SSH나 Telnet으로 접속하여도 Syslog 메시지를 확인할 수 있다.

하지만 대부분의 IOS버전에서는 이 명령어 역시 기본 컨피그에 들어가 있는 경우가 많다.

 

모든 시스코 장비에서 Syslog 메시지를 저장하는 공간이 별도로 있으며, "show logging" 명령어 결과로 확인 가능하다.

 

Switch#sh log
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.



No Inactive Message Discriminator.


    Console logging: disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 16 messages logged, xml disabled,
                    filtering disabled
    Exception Logging: size (4096 bytes)
    Count and timestamp logging messages: disabled
    File logging: disabled
    Persistent logging: disabled

No active filter modules.

    Trap logging: level informational, 19 message lines logged
        Logging Source-Interface:       VRF Name:

Log Buffer (4096 bytes):

*Mar  1 00:00:07.289: Read env variable - LICENSE_BOOT_LEVEL = 
*Jan  2 00:00:06.710: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c3560x Next reboot level = ipservices and License = ipservices
*Jan  2 00:01:25.471: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*Jan  2 00:01:25.471: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to down
*Jan  2 00:01:31.393: %USBFLASH-5-CHANGE: usbflash0 has been inserted!
*Jan  2 00:01:32.903: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan
*Jan  2 00:01:43.674: %SYS-5-LOG_CONFIG_CHANGE: Console logging disabled
*Jan  2 00:01:44.035: %SYS-5-CONFIG_I: Configured from memory by console
*Jan  2 00:01:45.050: %PLATFORM_ENV-6-FRU_PS_OIR: FRU Power Supply 1 inserted
*Jan  2 00:01:45.688: %SYS-5-RESTART: System restarted --
Cisco IOS Software, C3560E Software (C3560E-UNIVERSALK9-M), Version 15.2(4)E9, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Mon 23-Sep-19 14:40 by prod_rel_team
*Jan  2 00:01:45.780: %SSH-5-ENABLED: SSH 1.99 has been enabled
*Jan  2 00:01:45.889: %LINK-5-CHANGED: Interface FastEthernet0, changed state to administratively down
*Jan  2 00:01:46.015: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down
*Jan  2 00:01:47.290: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to down
*Jan  2 00:01:48.296: %USB_CONSOLE-6-MEDIA_RJ45: Console media-type is RJ45.
*Jan  2 00:01:53.044: %PLATFORM-6-FRULINK_INSERTED: FRULink 1G module inserted.

 

 

중간쯤에 표시된 Log Buffer (4096 bytes): 메시지가 있는데. Syslog 메시지가 4096 바이트의 크기를 가진 버퍼에 저장된다는 뜻이다. 버퍼는 휘발성이기 때문에 장비가 재부팅하면 모두 사라지게 되며, 버퍼의 크기는 조절할 수 있다.

 

버퍼 크기 조절

Switch(config)#logging buffered 8192

 

조절된 버퍼 크기 확인

Switch#show logging | include Log Buffer

Log Buffer (8182 bytes):

 

  • 장비 버퍼에 보관된 Syslog메시지는 내용이 버퍼의 크기를 호과하면 가장 오래된 메시지부터 덮어 씌어 저장한다.
  • 또한 재부팅하면 모두 사라지게 된다. 따라서 트러블슈팅 등의 여러가지 이유로 Syslog 메시지를 관리해야 할 필요가 있으며, 그렇게 나온 것이 Syslog 서버이다.
  • Syslog 서버는 Syslog 메시지를 syslog protocol을(UDP 514) 이용하여 라우터나 스위치에 발행한 메시지를 Syslog 서버로 보내서 외부 장비에 보관하는 방법이다.
  • 많이 알려진 Syslog 서버로는 Kiwi syslog 서버가 있다.
  • 예전에는 무료로 제공되었으나 현재는 유료화가 되어서 14일 평가판만 사용해볼 수 있다.

 

 

시스코 장비에서 Syslog 서버를 지정 방법

Switch(config)#logging 2.2.2.32

 

 

 

Syslog 메시지 포맷

Switch#

*Jan 18 11:45:19.750: %LINEPROTO-5-UPDOWN: Line protocol on Interface TenGigabitEthernet1/1/1, changed state to up

 

Syslog 메시지 분석

  • timestamp : *Jan 18 11:45:19.750
  • facility :  %LINEPROTO
  • Severity Level : 5
  • Mnemonic : UPDOWN
  • Description : Line protocol on Interface TenGigabitEthernet1/1/1, changed state to up

 

Facility : 메시지를 생성하는 주체로 이는 장비 제조사의 의지에 따라 결정되는 부분이다.

 

위의 예시에서 인터페이스가 UP 상태로 변경되면 %LINEPROTO 라는 Facility가 변경 상태를 확인하고 Syslog 메시지를 발생한다.

 

Severity Level : 발생한 로그의 중요성으로 시스코는 아래와 같이 로그 레벨이 결정되어 있다.

 

 

숫자가 낮아질수록 매우 Critical 한 로그이다.

Alert나 Emergency는 장비의 메모리가 넘치거나 프로세스가 죽는 경우 발생하는 것을 볼 수 있다.

인터페이스 UP, DOWN 같은 경우에는 앞에서 본 것처럼 Error, Warning, Notice와 같은 로그 레벨을 볼 수 있다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처 : 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=bestsecurity&logNo=221576080691

 

Cisco Syslog의 이해

시스코 강의의 모든 것 www.stz.co.kr 아래 글은 제 허락 없이 다른 곳에서 사용할 수 없습니다. 시스코 I...

blog.naver.com

 

 

참고

https://eyehole.tistory.com/257

 

Cisco syslog Configuration

오랜만에 네트워크 관련 주제로 글을 씁니다. 어떤 장비를 설치하고 나면 무슨 일이 발생하는지 로그를 남기는데요. 해당 장비 자체적으로 로그를 관리하기도 하지만, 용량의 한계 및 관리의 편

eyehole.tistory.com

 

반응형

'IT Technology > Cisco' 카테고리의 다른 글

Cisco Router Config 기초 분석  (0) 2022.01.14
Cisco VTP  (0) 2022.01.04
Cisco 스위치 타 벤더 (third-party) SFP/GBIC 인식 방법  (0) 2021.10.01
SDA (Software-Defined Access)란 무엇일까?  (0) 2021.08.16
Cisco Password Algorithm-type (시스코 암호 알고리즘 유형)  (0) 2021.08.05

'IT Technology/Cisco'의 다른글

  • 현재글Cisco Syslog이해

관련글

댓글

티스토리툴바