Il syslog server
Introduzione
In questa pagina vorrei dare qualche semplice spiegazione di cosa è e come funziona un Syslog server.
Se cerchi un Syslog server freeware (gratuito) per Windows o Linux clicca quì.
Cosa sarà mai ?
Questa è la domanda che mi sono posto quando, configurando il mio firewall, sono giunto a questa maschera.
Cercando nella rete, ho trovato parecchi siti che parlano si Syslog server, ma tutti orientati nel mondo Linux o Unix.
Infine sono capitato nel sito della Kiwi Enterprises che offre un Syslog server per Windows anche in versione freeware.
Parecchi applicativi e componenti hardware prevedono l'allestimento di un protocollo delle procedure.
Queste informazioni (messaggi) sono memorizzate in file denominati comunemente Log.
In molti casi si tratta di avvisi relativi ad errori o anomalie perciò molto importanti.
Spesso viene a crearsi questa situazione:
Le informazioni sono memorizzate in più file sparsi in cartelle differenti.
La consultazione avviene solo quando si riscontra un'anomalia.
La dimensione dei log file aumenta poichè non vengono quasi mai epurati.
Avvisi di errore, notizie, informazioni sono contenuti nello stesso file.
Con un Syslog server si può risolvere questo problema.
Infatti i vari log possono essere inviati al server che si occupa del loro trattamento.
Parte dei componenti hardware (specialmente routers, firewall) prevedono l'invio dei log a questo server.
Anche se pensato per la gestione dei messaggi relativi alle componenti di rete, è possibile
utilizzarlo per
altri scopi.
Per quest'ultimi si rende necessaria la stesura di programmi di interfacciamento.
Kiwi Enterprises mette a disposizione una serie di tools per la loro realizzazione.
Da parte mia invio al Syslog server i messaggi relativi a:
Firewall.
Eventi di Windows (registro applicazione, protezione ed eventi sistema).
Monitor della scheda madre.
Procedure batch di programmi Cobol.
Come funziona
Il syslog server è in ascolto dei messaggi in arrivo via UDP, TCP e SNMP.
I messaggi vengono catalogati per Faciliy e Level ossia per provenienza e per genere di messaggio.
Ecco l’ elenco delle Faciliy e dei Level:
La combinazione Facility+Livello viene denominata Priority.
Up
Selezione / Azione
I messaggi possono essere selezionati (filtrati) in base a diversi criteri.
Ad ogni selezione corrisponde almeno una azione.
In pratica si tratta di stabilire dei criteri di selezione e l’azione da intraprendere in funzione della provenienza e tipo di messaggio.
Il criterio di selezione può essere:
Priorità.
Indirizzo IP del mittente del messaggio.
Nome del Host.
Testo (o parte di esso) del messaggio.
Intervallo di tempo di uno o più giorni della settimana.
Le azioni possono essere ad esempio:
Nessuna (ignorare il messaggio).
Visualizzarlo nel programma di monitoraggio.
Inviarlo ad un altro Syslog server.
Emettere un suono di allarme.
Eseguire un programma.
Inviare un E-mail.
Memorizzare il messaggio in un Database (esempio MySQL).
Memorizzare il messaggio in un logfile.
Generare in messaggio nel log degli eventi NT.
Inviare un messaggio immediato a ICQ.
Eseguire uno script.
Inviare un messaggio ad un pager.
Archiviazione delle informazioni
Di regola il syslog server riceve un numero considerevole di messaggi.
Per taluni di essi si desidera conservare un file storico ordinato con criteri personali.
Da parte mia ho deciso di memorizzare parte delle informazioni in una banca dati MySQL.
Ecco come si presentano le tabelle della mia banca dati
Up
Come si presenta
Ecco come si presenta il mio Syslog server in funzione:
In questa pagina ho voluto solo fare un accenno al Syslog server
senza soffermarmi sulle molte altre possibilità offerte da questo software.
