HackMD
Syslog 和 RFC 5424 分類的實際用途
Syslog 的核心功能
Syslog 確實主要用來傳送日誌,但它不只是單純地傳送資訊而已。它的核心功能包括:
- 集中化日誌管理:讓來自多個裝置和應用程式的日誌可以統一收集到同一個中心位置。
- 即時監控:能夠即時傳送重要事件,方便及時發現和回應問題。
- 跨平台相容:提供了一個標準化的格式,讓不同系統和裝置的日誌可以統一處理。
分類的實際用途
RFC 5424 中定義的 Facility 和 Severity 分類看起來很複雜,但在實際應用上非常有用:
-
快速篩選和分類
- 舉例:可以快速找出所有嚴重性為「緊急」的訊息,不管它們來自哪個子系統。
-
自動化處理
- 舉例:設定系統自動對 Severity 為 0-2 的訊息發送即時警報。
-
資源分配
- 舉例:為 Facility 4(安全/授權訊息)分配更多儲存空間,因為這些日誌對安全稽核很重要。
-
故障排除
- 舉例:當網路出現問題時,可以專注查看 Facility 3(系統守護程序)的日誌。
-
法規遵循和稽核
- 舉例:某些產業規定可能要求保留所有 Facility 10(安全/授權訊息)的日誌至少一年。
-
日誌路由
- 舉例:將所有 Facility 0(核心訊息)的日誌路由到專門的分析系統。
-
優先順序處理
- 舉例:確保 Severity 0-2(緊急到嚴重)的訊息優先處理和儲存。
-
儲存管理
- 舉例:對 Severity 6-7(資訊和除錯)的訊息設定較短的保留期限。
實際案例
假設你正在管理一個大型網路:
-
當收到一個 PRI 值為 34 的日誌時:
- 快速計算:Facility = 34 ÷ 8 = 4, Severity = 34 mod 8 = 2
- 你立即知道這是一個來自安全/授權子系統(Facility 4)的嚴重情況(Severity 2)
- 這可能表示有嚴重的安全漏洞,需要立即處理
-
設定日誌管理系統:
- 將所有 Facility 為 0-4 的日誌保存至少 6 個月
- 對所有 Severity 為 0-3 的日誌發送即時通知
- 將 Facility 11(FTP)的所有日誌轉發給資安團隊審核
透過這種方式,看似複雜的分類系統實際上為日誌管理和系統監控提供了極大的彈性和效率。
RFC 5424 PRI 值計算
公式
PRI = Facility * 8 + Severity
說明
- PRI:優先級值(0-191)
- Facility:設施碼(0-23)
- Severity:嚴重程度(0-7)
PRI 值的用途
PRI(Priority)值在 Syslog 訊息中扮演著關鍵角色:
-
訊息分類和優先級:
- PRI 值結合了 Facility 和 Severity,提供了訊息的來源和重要性資訊。
- 這使得接收系統可以快速判斷訊息的處理優先順序。
-
高效過濾:
- 通過單一數值,系統可以迅速過濾和路由訊息。
- 例如,可以輕易識別所有高嚴重性(Severity 0-2)的訊息,不論其來源。
-
資源分配:
- 基於 PRI 值,系統可以決定如何分配處理資源。
- 高優先級訊息可能被分配更多的處理能力或儲存空間。
-
自動化處理:
- PRI 值可用於觸發自動化腳本或警報系統。
- 例如,所有 PRI 值小於 24 的訊息(表示高嚴重性)可能會自動發送警報。
-
向後兼容:
- PRI 值的設計使得新舊系統可以共同工作,確保了跨平台和跨版本的兼容性。
-
日誌聚合和分析:
- 在大型系統中,PRI 值可用於快速聚合和分析來自不同源的日誌。
-
合規性和審計:
- 某些法規可能要求特定類型的訊息(如安全相關)被優先處理和長期保存。
- PRI 值可以幫助識別這些訊息。
實際應用例子:
- 網絡監控系統可能會特別關注 PRI 值為 0-15 的訊息,這些代表來自核心系統的高嚴重性事件。
- 安全團隊可能會設置過濾器,專注於 Facility 4(安全/授權訊息)的所有嚴重性級別。
- 存儲系統可能會根據 PRI 值決定訊息的保留時間,將高優先級訊息保存更長時間。
理解和有效利用 PRI 值可以大大提高日誌管理的效率和效果,尤其是在處理大量日誌資料的環境中。
使用方法
-
給定 PRI 值,求 Facility 和 Severity:
- Facility = PRI ÷ 8(整數除法)
- Severity = PRI mod 8(取餘數)
-
給定 Facility 和 Severity,求 PRI:
- 將 Facility 乘以 8
- 將結果加上 Severity
範例
如果 PRI = 165:
- Facility = 165 ÷ 8 = 20(整數除法)
- Severity = 165 mod 8 = 5
因此:
- Facility 為 20(local use 4)
- Severity 為 5(Notice)
記住
- Facility 範圍:0-23
- Severity 範圍:0-7
- PRI 範圍:0-191
Facility Values
| Value | Facility | 中文翻譯 | Value | Facility | 中文翻譯 | |
|---|---|---|---|---|---|---|
| 0 | kernel messages | 核心訊息 | 8 | UUCP subsystem | UUCP 子系統 | |
| 1 | user-level messages | 使用者層級訊息 | 9 | clock daemon | 時鐘守護程序 | |
| 2 | mail system | 郵件系統 | 10 | security/authorization messages | 安全/授權訊息 | |
| 3 | system daemons | 系統守護程序 | 11 | FTP daemon | FTP 守護程序 | |
| 4 | security/authorization messages | 安全/授權訊息 | 12 | NTP subsystem | NTP 子系統 | |
| 5 | messages generated internally by syslogd | syslogd 內部產生的訊息 | 13 | log audit | 日誌稽核 | |
| 6 | line printer subsystem | 列印機子系統 | 14 | log alert | 日誌警報 | |
| 7 | network news subsystem | 網路新聞子系統 | 15 | clock daemon (note 2) | 時鐘守護程序(註 2) | |
| 16-23 | local use 0-7 (local0-local7) | 本地使用 0-7 |
Severity Values
| Value | Severity | 中文翻譯 |
|---|---|---|
| 0 | Emergency: system is unusable | 緊急:系統無法使用 |
| 1 | Alert: action must be taken immediately | 警報:必須立即採取行動 |
| 2 | Critical: critical conditions | 嚴重:嚴重的狀況 |
| 3 | Error: error conditions | 錯誤:錯誤狀況 |
| 4 | Warning: warning conditions | 警告:警告狀況 |
| 5 | Notice: normal but significant condition | 注意:正常但重要的狀況 |
| 6 | Informational: informational messages | 資訊:資訊性訊息 |
| 7 | Debug: debug-level messages | 除錯:除錯層級訊息 |
核心路由器高嚴重性 Syslog 訊息例子
以下是一些模擬的核心路由器高嚴重性 Syslog 訊息例子。這些訊息的格式為:
<PRI>時間戳記 主機名稱 進程[PID]: 訊息內容
其中,PRI 值計算方式為:PRI = Facility * 8 + Severity
例子 1: 緊急狀況 (Severity 0)
<0>Jun 15 14:23:15 core-router-01 kernel: EMERGENCY: Hardware failure detected on primary interface eth0. System is halting.
- PRI = 0 * 8 + 0 = 0
- Facility: 0 (kernel)
- Severity: 0 (Emergency)
例子 2: 需要立即處理的警報 (Severity 1)
<1>Jun 15 15:45:22 core-router-01 kernel: ALERT: CPU temperature critically high (95°C). Immediate action required to prevent shutdown.
- PRI = 0 * 8 + 1 = 1
- Facility: 0 (kernel)
- Severity: 1 (Alert)
例子 3: 嚴重條件 (Severity 2)
<2>Jun 15 16:10:03 core-router-01 kernel: CRITICAL: Multiple BGP sessions down. Potential network partition detected.
- PRI = 0 * 8 + 2 = 2
- Facility: 0 (kernel)
- Severity: 2 (Critical)
解釋
- 這些日誌都來自核心路由器(主機名為 core-router-01)。
- Facility 值都是 0,表示這些是內核(kernel)訊息。
- Severity 值分別是 0、1 和 2,代表最高級別的嚴重性。
- 訊息內容描述了可能導致嚴重網路中斷的情況,如硬體故障、過熱和 BGP 會話中斷。
這些類型的日誌訊息通常會觸發即時通知,因為它們代表了需要立即關注和處理的嚴重問題。網路管理員可能會設置系統,當接收到這樣的訊息時立即發送簡訊、電子郵件或觸發其他警報機制。
不同 Facility 的高嚴重性 Syslog 訊息例子
以下是一些來自不同 Facility 的高嚴重性 Syslog 訊息例子。格式為:
<PRI>時間戳記 主機名稱 進程[PID]: 訊息內容
例子 1: 使用者層級訊息 (Facility 1)
<9>Jun 16 10:15:30 fileserver-01 sshd[1234]: ALERT: Multiple failed root login attempts from IP 192.168.1.100
- PRI = 1 * 8 + 1 = 9
- Facility: 1 (user-level messages)
- Severity: 1 (Alert)
例子 2: 郵件系統 (Facility 2)
<18>Jun 16 11:30:45 mailserver-01 postfix/smtpd[5678]: CRITICAL: Mail queue full, new messages rejected
- PRI = 2 * 8 + 2 = 18
- Facility: 2 (mail system)
- Severity: 2 (Critical)
例子 3: 系統守護程序 (Facility 3)
<24>Jun 16 13:45:22 webserver-01 httpd[9012]: Emergency: Out of worker threads, server not responding to requests
- PRI = 3 * 8 + 0 = 24
- Facility: 3 (system daemons)
- Severity: 0 (Emergency)
例子 4: 安全/授權訊息 (Facility 4)
<33>Jun 16 15:20:10 firewall-01 iptables: ALERT: Possible DDoS attack detected, dropping all incoming traffic on port 80
- PRI = 4 * 8 + 1 = 33
- Facility: 4 (security/authorization messages)
- Severity: 1 (Alert)
例子 5: 網路子系統 (Facility 7)
<58>Jun 16 17:05:55 router-01 bgpd[3456]: CRITICAL: BGP peer 10.0.0.1 down, multiple routes unreachable
- PRI = 7 * 8 + 2 = 58
- Facility: 7 (network news subsystem,這裡用於網路相關訊息)
- Severity: 2 (Critical)
解釋
- 這些例子展示了不同類型的系統和服務可能產生的高嚴重性訊息。
- 每個例子都來自不同的 Facility,涵蓋了常見的 IT 基礎設施組件。
- Severity 值都是 0、1 或 2,表示這些都是需要立即注意的高嚴重性問題。
- 訊息內容描述了各種可能導致服務中斷或安全威脅的情況。
這些類型的日誌訊息通常會觸發即時通知和應對措施。IT 團隊可能會根據不同的 Facility 和 Severity 組合設置不同的警報級別和處理流程。
