Системийн лог
СИСТЕМИЙН ЛОГИЙН ТАЛААРХ ҮНДСЭН ОЙЛГОЛТ[засварлах | кодоор засварлах]
Логийн мэдээний ач холбогдол[засварлах | кодоор засварлах]
Лог гэдэг нь компьютер, сервер, сүлжээний төхөөрөмжүүдийн систем дээр явагдаж буй ажиллагааны мэдээ баримт юм. Системийн логуудыг цуглуулж хадгалж авснаар аюулгүй байдал, зохицуулалтыг хангах боломжтой. Сислог нь стандарчлагдсан хэм хэмжээгээр хангана. Үүнд ямар мессеж хаана хадгалах, хаашаа явуулахыг шийднэ. Юникс төст үйлдлийн системд зориулж зохиогдсон боловч сислог нь олон сүлжээний төхөөрөмжийн хувьд үндсэн стандарт нь юм. Зөвхөн Юникс үйлдлийн системээс гадна Виндоус платформ-д ашиглах боломжтой. Систем дээр сислог даймоноор лог мэдээ бүртгэл хийдэг. Лог мэдээг цуглуулж авна уншсанаар нэгтгэн дүгнэж асуудалтай хэсгийг хурдан олж засах боломжтойгоос гадна учирч болзошгүй эрсдэлээс сэргийлэх, аюул учруулж болохуйц гадны этгээдийн үйлдлийг зогсоож аюулгүй байдлыг хангахад тусална. Мөн ситемийн бүрэн дүн шинжлэгээ хийх ашигтай хөтөч болж өгдөг.
Сислогийг хэрхэн ашиглаж болох талаар сонирхоё:
- Рутер, файрболл,төхөөрөмжийн эвдрэл гэмтлийл илрүүлэх /инсталл хийх үед, нөхцөл байдалд асуудал үүсэх үед/
- Халдлага илрүүлэх
- Менежмент удирлага
- Удаан хугацааны аудитинг
- Хэрэглэгчийг ажиглах болон админы үйл ажиллагаа
Системийн лог[засварлах | кодоор засварлах]
Сислог бол компьютерийн өгөгдлийн мэдээнд зориулсан стандарт. Энэ нь системд үүссэн мэдээг тусад нь хүлээн авч анализ хйих боломжийг олгодог програм хангамж юм. Өөрөөр хэлбэл сислог протокол нь систем дээр явагдсан үзэгдлүүдийн мэдэгдэл мессежүүдийг IP сүлжээгээр дамжуулан системийн логийн сервер рүү илгээдэг.
Анх сислог нь 1980 онд Эрик Аллман гэдэг хүн “Sendmail” төсөл дээр ажиллаж байхдаа нэг бүрэлдэхүүн хэсэг болгон хөгжүүлсэн ба RFC3164 стандартаар тодорхойлогдсон. Энэ стандарт нь сүүлд RFC5424 болж шинэчлэгдсэн. Сислог бий болсоноор юникс болон юникс төст үйлдлйин ситемийн стандарт шийдэл болсон юм. Сислог нь системийн админд системийг удирдан зохицуулах, анализ хийх, алдааг засах, лог мэдээг ерөнхийд нь дүгнэх мөн хамгаалалт шалгалт хийхэд хэрэглэгдэнэ. Энэ нь принтер, рутер, свич гэх мэт сүлжээнд холбогдсон бүх төхөөрөмжүүд болон тэдгээрийн үүсгэсэн үйл ажиллагааны мессежүүдийг цуглуулах ба олон платформаас мэдээг хүлээн авч чадна. Учир нь сислог төвлөрсөн нэг газарт төрөл бүрийн системүүдийн лог өгөгдлийг нэгтгэх чадвартай.
Юникс үйлдлийн системийн кернел болон бусад дотоод бүрэлдэхүүн хэсгүүд нь мессеж үүсгэх ба мөн аюулын дохио (alert) давхар үүсгэж мэдээлдэг. Энэ мессежүүд нь файл системд хадгалагдах ба эсвэл өөр төхөөрөмж рүү дахин дамжуулдаг. Сислог процессыг syslogd гэх дотоод домайн процесс зохицуулж байдаг. Энэ домайныг татаж суулгах хэрэггүй бөгөөд энэ нь ихэнх Юникс/Линукс-ийн тархац дээр нэгдмэл байдаг.Системийн логууд системд гэмтэл илрүүлэх болон хяналт хийхэд ихээхэн чухал үүрэгтэй байдаг.
CISCO төхөөрөмжүүд буюу рутер, свитч, галт хана, VPN төхөөрөмжүүд нь системийн аюулгүй байдалд зориулан сислог мессеж үүсгэнэ. Жишээ нь рутер интерфэйс унтарч асах эсвэл тохиргоо өөрчлөгдсөн гэх мэт лог мэдээг үүсгэнэ. Сислог нь UDP 514, TCP 1470 порт ашиглан мессежүүдээ сонгодог.
Сислог мэдээг хүлээн авах[засварлах | кодоор засварлах]
Сислог үйлчилгээ нь өөрийн цуглуулсан мэдээллийг хэд хэдэн төрлийн хүлээн авагч руу дамжуулах боломжтой.
- Logging buffer (Төхөөрөмжийн санах ойд хадгалах)
- Console Line (Консол холболтоор холбогдсон үед CLI рүү мэдээлэх)
- Terminal Line (Telnet, SSH холболтоор холбогдсон үед CLI рүү мэдээлэх )
- Syslog server(Бие даасан сервер ашиглан мэдээллийг цуглуулах)
RFC 5424 стандартаар тодорхойлогдсон аюултай байдлын түвшин:
| Түвшин | Түвшний нэр | Тайлбар |
|---|---|---|
| 0 түвшин | Emergency (Аюултай, онцгой нөхцөл) | Систем ашиглах боломжгүй болсон. Түгшүүрийн байдал нь apps/server/sites –д ихэвчлэн нөлөөлдөг. Энэ түвшинд техникийн ажилтанд мэдэгдэх хэрэгтэй. |
| 1 түвшин | Alert (Аюулын дохио) | Нэн даруй арга хэмжээ авах. Яаралтай засах шаардлагатай гэж үзвэл засаж чадах ажилтанг дуудах хэрэгтэй. Жишээ нь гол ISP –ын холболт тасарсан үед |
| 2 түвшин | Critical (Чухал) | Аюултай нөхцөл байдал. Нэн даруй засах хэрэгтэй, харин дунд системд алдаа байгааг харуулж байна, жишээ нь нөөц ISP-ийн холболтын алдагдал юм |
| 3 түвшин | Error (Алдаа) | Алдааны нөхцөл байдал. Яаралтай бус алдаа эдгээр нь хөгжүүлэгчид болон админууд гүйцэтгэх ёстой; хоорондох зүйл нь тухайн хугацаанд шийдэгдэх ёстой. |
| 4 түвшин | Warning (Сэрэмжлүүлэг | Сануулгын мессеж, алдаа биш, гэхдээ арга хэмжээ авч байгаа бол анхааруулагын алдаа гарч болно файлын систем 85% нь бүрэн – бусад зүйл нь тухайн хугацаанд шийдвэрлэгдэх ёстой |
| 5 түвшин | Notice (Мэдэгдэл) | Энгийн ч ач холбогдолтой нөхцөл байдал. Анхаарулга нь хэрэгцээтэй бус гэхдээ алдааны байдал, хөгжүүлэгчид нь э-майлд нэгтгэсэд байж болно эсвэл админууд нь боломжит асуудлыг шийднэ, ямар ч яаралтай арга хэмжээ шаардлаггүй. |
| 6 түвшин | Informational (Мэдээлэл) | Мэдээллийн мессежүүд. Хэвийн үйл ажиллагааны зурвас, дамжуулах хэмжих, мэдээллэх зэргийг хурааж болно. Ямар ч үйлдэл шаардлагагүй. |
| 7 түвшин | Debug (Шалгах) | Debug түвшний мессежүүд. Программ дибаг хийхэд хөгжүүлэгчидэд хэрэгтэй мэдээлэл ба үйл ажиллагааны явцад хэрэггүй |
Syslog мэдээний бүтэц[засварлах | кодоор засварлах]
Cisco төхөөрөмжийн log мэдээний бүтэц
| Мэдээний талбар | Тайлбар |
|---|---|
| Sequence number | Дарааллын дугаар Service sequence-numbers команд ашиглана. |
| Timestamp | Хугацааны мэдээлэл Service timestamps гэсэн команд ашиглана. |
| Facility | Хаана үүсэж байгаа |
| Severity | Мэдээний түвшинг заана. |
| MNEMONI4 | Мэдээний тайлбар (давтагдахгүй) |
| Description | Дэлгэрэнгүй мэдээлэл |
Cisco төхөөрөмжийн log мэдээний жишээ:
seq no: timestamp: %facility-severityMNEMONIC: description00:00:46: %LINK-3-UPDOWN: Interface Port-channel1, changed state to up Syslog server нь төхөөрөмжүүдийн мэдээллийг цуглуулж хэрэглэгчид тэдгээрийг ойлгомжтойгоор харуулах боломжийг олгодог. • Олон төхөөрөмжийн мэдээллийг нэг серверийн тусламжтайгаар цуглуулах, мэдээн дээр ажиллах боломжтой.
Syslog-ийн шийдлүүдэд олон үйлдлийн системүүд байдаг. Тусгай тохиргооны янз бүрийн төхөөрөмж (жишээ нь, консол), файлууд (өөрөөр хэлбэл / VAR / log /), эсвэл алсын Syslog серверт мессежийг удирдаж зөвшөөрч болно. Ихэнх шийдлүүд бүртгэл уруу мессеж илгээж болно ихэвчлэн лог гэгддэг тушаалын мөрөөс. Зарим шийдлүүд Syslog мэдээнүүдийг шүүх болон дэлгэцэнд харуулахыг зөвшөөрдөг.
2009 онд Syslog нь Internet Engeneering Task Force (IETF-ийн) RFC 5424-д стандартчилагдсан.
Протокол:
Syslog нь клиент / сервер протокол юм: Syslog хүлээн авагч руу текст мессеж-г log-ын application-аар дамжуулдаг.Хүлээн авагчыг ихэвчилэн Syslog дэмон буюу Syslog сервер, Syslogd гэж нэрлэдэг.Syslog мэдээллүүд нь User Datagram Protocol (UDP), эсвэл Transmission Control Protocol (TCP) дамжуулан илгээгдэж болно. Мэдээ цэвэр текстээр илгээсэн байна; Syslog протокол нь өөрөө нэг хэсэг нь биш боловч тухайн SSL хялбаршуулагч нь SSL / TLS дамжуулан шифрлэлтээр нь давхар ханган ашиглаж болно. Syslog портын дугаар 514-ыг ашигладаг. RFC 3164-ын тодорхойлолт нь олон протоколын асуудлыг зааж өгөөгүй ба мессежийн дээд хэмжээ ба мессежийн текст тэмдэгтийн кодлол зэргийг зааж өгөөгүй юм. RFC 5424 илүү дэлгэрэнгүй мэдээлэлтэй. Бусдын дунд, шийдлүүд наад зах нь 480 октэтийн хамгийн бага мессеж хэмжээг дэмжих ёстой, мөн 2048 октэтийг дэмжих ёстой; мэдээллүүд нь UTF-8 гэж кодлогдсон байх ёстой.
Нөөц[засварлах | кодоор засварлах]
Үйлдлийн систем, процесс эсвэл аппликейшнээр үүсгэгдсэн байвал нөөцөд хамаарна. CISCO төхөөрөмжүүд дотооддоо нөөц лог хэрэглэдэг. Мөн програмын хөгжүүлэгчид програмууд ямар тоног төхөөрөмжийг ашиглахыг шийддэг.
Зарим тохиолдолд эдгээрийн эцсийн хэрэглэгчид өөрсдөө тохируулж өгөх боломжоор хангагдсан байдаг. Ялгаатай нөөцөөс ирсэн мессежүүд системийн логийн тохиргоооны файлыг зассанаар удирдах боломжтой байдаг.
| Тоон утга | Тэмдэглэгээ | Нөөц |
|---|---|---|
| 0 | LOG_KERN | Кернел мэдээ |
| 1 | LOG_USER(default) | Хэрэглэгчийн түвшний мэдээ |
| 2 | LOG_MAIL | Мэйл мэдээ |
| 3 | LOG_DAIMON | Систем даемон |
| 4 | LOG_AUTH | Аюулгүй байдал /танилтын мессежүүд , LOG_AUTHPRIV мессежийг оронд нь хэрэглэх болсон |
| 5 | LOG_SYSLOG | Syslogd-р үүсгэгдсэн мэдээ |
| 6 | LOG_LPR | Түргэн хэвлэх төхөөрөмжийн дэд системүүд |
| 7 | LOG_NEWS | Лог мэдээ |
| 8 | LOG_UUCP | UUCP дэд систем *UUCP-Юникс сууртай 2 компьптерыг сериал юмуу модемооор холбогдох боломжийг олгодог проттокол. |
| 9 | LOG_CRON | Clock даемон |
| 10 | LOG_AUTHPRIV | Аюулгүй байдал /танилтын мессежүүд(хувийн) |
| 11 | LOG_FTP | FTP сервер програм |
| 12 | LOG_NTP | NTP-ийн дэд систем |
| 13 | LOG_AUDIT | Лог шалгах |
| 14 | LOG_ALERT | Лог анхааруулга |
| 15 | LOG_CRON | Clock даемон |
| 16 | LOG_LOCAL0-LOG_LOCAL7 | Дотооддоо хэрэглэх 0-7 |
Тайлбар[засварлах | кодоор засварлах]
Үйлдлийн системээсээ хамаараад 4, 10, 13, 14-ийг нууцлал, аудит, сэрэмжлүүлэг мессеж болгон ашигладаг.Мөн үйлдлийн системээсээ шалтгаалан 9,15-г цагны мессежүүдэд ашигладаг. Програм, техник хангамжийн асуудлыг мэдэгдэх зорилгоор 0,1 дугаартай нөөцийг хэрэглэдэг. Систем дахин эхлүүлэх, интерфэйс унтарч асах нь 5 дугаарыг хэрэглэнэ.Систем дахин ачааллахад 6 дугаар хэрэглэнэ.
Хувилбар[засварлах | кодоор засварлах]
Энэ талбар нь сислог протоколын төрллийг заана. 1 гэсэн утгатай.
Хостын нэр[засварлах | кодоор засварлах]
Төхөөрөмжийн нэр, IP хаягийг бүртгэнэ. Сислог нь эдгээрийг ашиглан мессежүүдээ дамжуулна.
Хугацаа[засварлах | кодоор засварлах]
Сар Өдөр Цаг: Минут : Секунд гэсэн загвартай хэзээ мессеж үүсгэгдсэнийг заана [*]
Бүх сүлжээнд байгаа төхөөрөмжүүд дээр NTP/ network time protocol / протоколоор цагаа тохируулах нь сүлжээний логуудыг цуглуулахад дөхөм болно.
Мэдээллийн нэгж[засварлах | кодоор засварлах]
Төхөөрөмжийн тусгай код буюу мессеж таних код.
Процессын дугаар[засварлах | кодоор засварлах]
Процессын дугаар нь мессеж ялган танихад хэрэглэгдэнэ.
Мессеж[засварлах | кодоор засварлах]
Сислог мессеж дэх текст юм. Мөн нэмэлт мэдээлэл агуулдаг. [%] тэмдэгтээр эхэлдэг. Текст UTP-8 кодлолтой.
Бүтэцлэгдсэн өгөгдөл Бүтэцлэгдсэн өгөгдөл нь хашилтан дахь өгөгдлийн блокуудаас бүрдэнэ. Блок бүр нь тухайн блокын ID мөн нэг ба түүнээс олон утгыг агуулдаг.
Сислог серверийн тухай[засварлах | кодоор засварлах]
Сислог сервер нь сүлжээнд байгаа төхөөрөмжүүд болон сүлжээн дээр явагдах үйлчилгээнүүдийн логийг цуглуулдаг. Өөрөөр хэлбэл төхөөрөмж бүрийн үүрэг ондоо учир ялгаатай лог мессеж үүснэ. Сислог сервер нь эдгээр мессежийг цуглуулж бүртгэж авахаас гадна ангилах боломжтойгоос гадна гүйцэтгэх үүрэг, фүнкцээрээ ялгаатай олон сислог сервер байдаг.
- Kiwi syslog daemon – Виндоус үйлдлийн систем дэмжинэ.
- Unix syslogd – Юникс үйлдлийн систем дэмжинэ.
- Cisco PIX Firewall Syslog server – Cisco төхөөрөмжүүдийн лог мэдээг цуглуулах боломжтой cisco–с гаргасан төхөөрөмж юм.
- Syslog server – Сүлжээний нууцлал хамгаалалт болон галт хананд анализ хийх.
- Samwill – Сислог серверт анализ хийх
Лог серверүүд лог цуглуулахаас гадна логд анализ хийх ангилах боломжтой байх хэрэгтэй. Зөвхөн дан ганц лог мэдээ цуглуулах нь дутагдалтай учир олон төрлийн фүнкцүүдтэй байх нь лог серверийг ашиглах хэрэгцээ шаардлагыг улам нэмэгдүүлж байгаа юм.
Лог серверийг илүү уян хатан оновчтой байлгах талаас лог менежемент систем бий болсон. Лог менежмент систем нь лог мэдээг байгууллага болон хувийн хэрэгцээндээ хэрхэн үр ашигтай ажиллах боломжийг бий болгосон юм.
Интернэтийн стандартууд[засварлах | кодоор засварлах]
Syslog протокол Internet стандарт (Internet engineering task force) баримт бичгийг хүсэлтээр RFC (Request for comment) тодорхойлогдсон. Доорх нь Syslog протоколыг тодорхойлсон RFCs жагсаалт:
RFC 3164 - BSD Syslog протокол ( RFC 5424-р хуучирч ашиглагдахаа болисон) RFC 3195 - Syslog –д найдвартай илгээх RFC 5424 - Syslog-н протокол RFC 5425 – Syslog-н дамжууллын зураглал /TLS/ RFC 5426 - UDP дээр Syslog мессежийг дамжуулах RFC 5427 - Syslog менежментийн Текстэн конвенц RFC 5848 – бүртгэгдсэн Syslog Мессеж RFC 6012 - Datagram дамжууллын түвшний Аюулгүй байдал (DTLS) Syslog нь дамжуулалын зураглал RFC 6587 - TCP дээр Syslog мессежүүдийг дамжуулах
Log server-үүд
- SolarWinds – Kiwi syslog server
- Paessler – Syslog server
- SNMP soft - Syslog watcher
- The one software – Syslog manager
- WhatsUpGold – Log Management
- LogZilla