System Logging Protocol Familie: TCP/IP Einsatzgebiet: Übermittlung von Log-Meldungen in einem IP-Rechnernetz Ports: 514/UDP syslog im TCP/IP-Protokollstapel: Anwendung syslog Transport UDP Internet IP (IPv4, IPv6) Netzzugang Ethernet, Token, Bus, Token, Ring, FDDI RFC 3195 (2001) RFC 5424 (2009) RFC 5426 (2009) Übertragungsprotokoll TLS leichte Integration von verschiedensten Log-Quellen in ein zentrales Repository (Gesamtverzeichnis). syslog-Meldung: Eine syslog-Meldung besteht aus drei Komponenten: 1.) Einem Selektor – Priority genannt –, 2.) einem Header 3.) und dem eigentlichen Inhalt. Der Priority-Selektor: Ganzzahl, Binärrepräsentation, zwei Teile: 1.) Facility-Feld 2.) Severity-Feld. Syslog-Meldungen 1.) Herkunft 2.) Schweregrades Das die letzten drei Bits der Priority umfassende Severity-Feld: 1.) Wert zwischen 0 und 7, 2.) wobei 0 die kritischste oder dringlichste Stufe ist: 0 Emergency 1 Alert 2 Critical 3 Error 4 Warning 5 Notice 6 Informational 7 Debug Das die ersten fünf Bits der Priority umfassende Facility-Feld enthält einen numerischen Wert, der den Dienst oder die Komponente angibt, der die syslog-Nachricht erzeugt hat. 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit 14 log alert 15 clock daemon 16 local0 17 local1 18 local2 19 local3 20 local4 21 local5 22 local6 23 local7 In der Syslog-Konfigurationsdatei werden die Namen wie folgt abgekürzt: kern (0), user (1), mail (2), daemon (3), auth (4), syslog (5), lpr (6), news (7), uucp (8), cron (9), authpriv (10), ftp (11). Der Header enthält einen Zeitstempel sowie Name oder IP-Adresse des Absenders der syslog-Nachricht. <165>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] BOMAn application log entry... Bestandteil Wert Information PRI 165 =20×8+5, Ursprung: 20, Schweregrad: 5 VERSION 1 Version: 1 TIMESTAMP 2003-10-11T22:14:15.003Z Meldung erstellt am 11. Oktober 2003 um 22:14:15 Uhr und 3 Millisekunden HOSTNAME mymachine.example.com Die Meldung kam vom Host "mymachine.example.com" APP-NAME su App-Name: "su" PROCID - PROCID: unbekannt MSGID ID47 Meldungs-ID: "47" STRUCTURED-DATA [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] Strukturiertes Datenelement mit nicht durch die IANA geregelter SD-ID vom Typ "exampleSDID@32473" mit drei Parametern MSG BOMAn application log entry... BOM gibt die UTF-8-Codierung an, die Meldung selbst ist "An application log entry..." https://www.ostc.de/howtos/syslog-HOWTO.html * /var/log/allmessages # ALLE Logmeldungen * /var/log/apache2/access.log # Webserver-Zugriffe * /var/log/apache2/error.log # Webserver-Fehler * /var/log/auth.log # An/Abmeldungen (erfolgreich/fehlgeschlagen) * /var/log/cups/access_log # Druckaufträge * /var/log/kern.log # Kernel-Meldungen * /var/log/localmessages # ALLE lokalen Logmeldungen * /var/log/mail.(log|warn|err|info) # Mail-Logmeldungen (Fehler, Warnungen, ...) * /var/log/messages # ALLE Logmeldungen * /var/log/samba/log.nmbd # Samba Namensauflösung * /var/log/samba/log.smbd # Samba Sharezugriffe * /var/log/syslog # Systemmeldungen * /var/log/user.log # Benutzermeldungen