16/09/2020 - 12:00 AM 5.791 lượt xem Cỡ chữ Syslog là gì? Nội dung bài viêt: 1. Syslog là gì? 2. Định dạng thông báo Syslog 3. Ví dụ về thông báo Syslog 4. Syslog Server 5. Bảo mật 6. Thiết kế Syslog 7. Sử dụng Syslog 1. Syslog là gì? - Syslog là viết tắt của System Logging Protocol (tạm dịch sang tiếng Việt là Giao thức ghi nhật ký hệ thống) và là một giao thức tiêu chuẩn được sử dụng để gửi nhật ký hệ thống hoặc thông báo sự kiện đến một máy chủ cụ thể, máy chủ này được gọi là máy chủ nhật ký hệ thống “Syslog server”. Nó chủ yếu được sử dụng để thu thập các bản ghi nhật ký thiết bị “device logs” khác nhau từ một số máy khác nhau ở một vị trí trung tâm để theo dõi và xem xét. - Giao thức System Logging Protocol được kích hoạt trên hầu hết các thiết bị mạng như bộ định tuyến “router”, bộ chuyển mạch “switch”, tường lửa “firewall” và thậm chí một số máy in “printer” và máy quét “scanner”. Ngoài ra, Syslog có sẵn trên các hệ thống dựa trên Unix và Linux và nhiều máy chủ web bao gồm cả Apache. Syslog không được cài đặt theo mặc định trên các hệ thống Windows sử dụng Windows Event Log của riêng chúng. Các sự kiện này có thể được chuyển tiếp thông qua các tiện ích của bên thứ ba hoặc các cấu hình khác bằng giao thức nhật ký hệ thống Syslog protocol. - Syslog được định nghĩa trong RFC 5424, Giao thức Syslog, so với RFC 3164 trước đó. - Syslog components (Syslog của các thiết bị thành phần mạng) Trên bất kỳ thiết bị nhất định nào, các sự kiện khác nhau được hệ thống tạo ra để đáp ứng với các điều kiện thay đổi. Những sự kiện này thường được ghi lại cục bộ nơi chúng có thể được xem xét và phân tích bởi quản trị viên. Tuy nhiên, việc theo dõi nhiều bản ghi “logs” trên một số lượng tương ứng của các bộ định tuyến, thiết bị chuyển mạch và hệ thống sẽ tốn thời gian và không thực tế. Syslog giúp giải quyết vấn đề này bằng cách chuyển tiếp các sự kiện đó đến một máy chủ tập trung. - Syslog transmission (Truyền gửi Syslog) Theo truyền thống, Syslog sử dụng giao thức UDP trên cổng Port 514 nhưng có thể được cấu hình để sử dụng bất kỳ cổng nào. Ngoài ra, một số thiết bị sẽ sử dụng TCP 1468 để gửi dữ liệu Syslog data để nhận được thông báo gửi được xác nhận. Việc truyền các gói tin Syslog packet là không đồng bộ. Nguyên nhân của việc này là thông báo Syslog message được tạo ra và được định cấu hình trong chính bộ định tuyến, bộ chuyển mạch hoặc máy chủ. Không giống như các giao thức giám sát khác, chẳng hạn như SNMP, không có cơ chế để thăm dò dữ liệu Syslog data. Trong một số triển khai, SNMP có thể được sử dụng để đặt “set” hoặc sửa đổi “modify” các thông số “Parameters” của Syslog từ xa. 2. Định dạng thông báo Syslog - Thông báo của giao thức Syslog bao gồm 3 phần: PRI (giá trị ưu tiên được tính toán), HEADER (với thông tin nhận dạng), và MSG (thông báo chính). - Dữ liệu PRI được gửi qua giao thức nhật ký hệ thống “Syslog Protocol” đến từ hai giá trị số giúp phân loại thông báo. Đầu tiên là giá trị Facility value. Giá trị này là một trong 15 giá trị được xác định trước hoặc các giá trị được xác định cục bộ khác nhau trong trường hợp từ 16 đến 23. Các giá trị này phân loại loại thông báo hoặc hệ thống nào đã tạo ra sự kiện. Number Facility description 0 Kernel messages 1 User-level messages 2 Mail System 3 System Daemons 4 Security/Authorization Messages 5 Messages generated by syslogd 6 Line Printer Subsystem 7 Network News Subsystem 8 UUCP Subsystem 9 Clock Daemon 10 Security/Authorization Messages 11 FTP Daemon 12 NTP Subsystem 13 Log Audit 14 Log Alert 15 Clock Daemon 16 - 23 Local Use 0 - 7 - Nhãn hay giá trị thứ hai của thông báo Syslog message nhằm phân loại tầm quan trọng hoặc mức độ nghiêm trọng của thông báo bằng mã số từ 0 đến 7. Code Severity Description 0 Emergency System is unusable 1 Alert Action must be taken immediately 2 Critical Critical conditions 3 Error Error conditions 4 Warning Warning conditions 5 Notice Normal but significant condition 6 Informational Informational messages 7 Debug Debug-level messages - Giá trị của cả hai nhãn không có định nghĩa cố định. Do đó, tùy thuộc vào hệ thống hoặc ứng dụng để xác định cách ghi lại một sự kiện (ví dụ: dưới dạng cảnh báo “warning”, thông báo “notice” hoặc thứ gì khác) và trên cơ sở nào. Trong cùng một ứng dụng hoặc dịch vụ, các con số thấp hơn sẽ tương ứng với các vấn đề nghiêm trọng hơn liên quan đến quy trình cụ thể. - Hai giá trị này được kết hợp để tạo ra Giá trị ưu tiên PRI “PRI - Priority Value” được gửi cùng với thông báo. Giá trị Ưu tiên PRI được tính bằng cách nhân giá trị Facility value với tám và sau đó cộng Giá trị Mức độ nghiêm trọng “Severity Value” vào kết quả. PRI càng thấp thì mức độ ưu tiên càng cao. (Facility Value * 8) + Severity Value = PRI - Bằng cách này, một thông báo Kernel message nhận được giá trị thấp hơn (ưu tiên cao hơn) so với một cảnh báo nhật ký “Log alert”, bất kể mức độ nghiêm trọng của cảnh báo nhật ký. Các số nhận dạng bổ sung trong gói bao gồm tên máy chủ “hostname”, địa chỉ IP “IP address”, ID tiến trình “Process ID”, tên ứng dụng “App name” và dấu thời gian “timestamp” của thông báo. Xung quanh thực tế hoặc nội dung của thông báo nhật ký hệ thống không được xác định bởi giao thức. Một số thông báo là văn bản đơn giản, có thể đọc được, những thông báo khác chỉ có thể đọc được bằng máy. - Thông báo Syslog Messages thường không dài hơn 1024 byte. 3. Ví dụ về thông báo Syslog <165>1 2017-05-11T21:14:15.003Z mymachine.example.com appname[su] - ID47 [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] BOMAn application log entry... - Các phần của thông báo Syslog Messages Part Value Information PRI 165 Facility = 20, Severity = 5 VERSION 1 Version 1 TIMESTAMP 2017-05-11T21:14:15.003Z Message created on 11 May 2017 at 09:14:15 pm, 3 milliseconds into the next second HOSTNAME mymachine.example.com Message originated from host "mymachine.example.com" APP-NAME su App-Name: "su" PROCID - PROCID unknown MSGID ID47 Message-ID: 47 STRUCTURED-DATA [exampleSDID@32473 iut="3" eventSource=" eventID="1011"] Structured Data Element with a non-IANA controlled SD-ID of type "exampleSDID@32473", which has three parameters MSG BOMAn application log entry... BOM indicates UTF-8 encoding, the message itself is "An application log entry..." 4. Syslog Server - Máy chủ nhật ký hệ thống “Syslog Server” còn được gọi là bộ thu nhật ký hệ thống “syslog collector” hoặc bộ nhận nhật ký hệ thống “syslog receiver”. - Các thông báo nhật ký hệ thống “Syslog messages” được gửi từ thiết bị tạo đến bộ thu. Địa chỉ IP của Syslog Server đích phải được định cấu hình trên chính thiết bị, bằng dòng lệnh Command Line hoặc thông qua tệp conf. Sau khi được cấu hình, tất cả dữ liệu Syslog sẽ được gửi đến máy chủ đó. Không có cơ chế nào trong giao thức Syslog Protocol để một máy chủ khác yêu cầu dữ liệu nhật ký hệ thống. - Trong khi hầu hết các triển khai Unix và các nhà cung cấp mạng, như Cisco, có bộ thu thập Syslog collectors, của riêng họ, thì cũng có một số công cụ khác. - Phần mềm giám sát PRTG của Paessler cung cấp cảm biến nhận Syslog Receiver Sensor được tích hợp sẵn. Cảm biến này thu thập tất cả các thông báo Syslog Messages được gửi. Để sử dụng chức năng này, quản trị viên cần thêm Bộ thu Syslog Receiver và sau đó định cấu hình địa chỉ IP của máy chủ đó làm máy chủ đích cho dữ liệu nhật ký hệ thống trên tất cả các thiết bị cần giám sát. - Sau khi tập hợp, bảng điều khiển hiển thị: Số lượng thông báo nhật ký hệ thống Syslog messages nhận được mỗi giây. Số lượng thông báo được phân loại là cảnh báo “Warning” mỗi giây. Số lượng thông báo được phân loại là lỗi “Error” trên giây. Số lượng gói tin bị rớt “dropped messages” mỗi giây. - Giao thức nhật ký hệ thống Syslog Protocol có thể tạo ra rất nhiều thông báo. Syslog chỉ đơn giản là chuyển tiếp các thông báo nhanh nhất khi nó tạo ra chúng. Do đó, khả năng quan trọng nhất đối với máy chủ nhật ký hệ thống Syslog Server là khả năng lọc và phản ứng đúng cách với dữ liệu nhật ký hệ thống đến. - Bộ cảm biến nhận “PRTG Syslog Receiver Sensor” cung cấp khả năng thiết lập các quy tắc lọc. Các quy tắc này cho phép các thông báo nhật ký hệ thống được bao gồm hoặc loại trừ dưới dạng cảnh báo “Warning” hoặc lỗi “Error”, bất kể chúng được tạo ban đầu như thế nào trên thiết bị. Bộ lọc này đảm bảo rằng quản trị viên nhận được thông báo về tất cả các lỗi mà họ muốn biết mà không bị choáng ngợp bởi các lỗi ít quan trọng hơn. 5. Bảo mật - Giao thức nhật ký hệ thống Syslog Protocol không cung cấp cơ chế bảo mật. Không có xác thực “authentication” được tích hợp sẵn để đảm bảo rằng các tin nhắn đến từ thiết bị được xác nhận là đang gửi chúng. Không có mã hóa nào để che giấu thông tin nào đang được gửi đến máy chủ. Nó đặc biệt dễ bị ảnh hưởng bởi cái gọi là các cuộc tấn công phát lại “Playback Attacks” trong đó kẻ tấn công tạo ra một luồng cảnh báo trước đó để phản hồi bất hợp pháp. 6. Thiết kế Syslog - Cấu hình thiết bị (Device configuration) Hầu hết các triển khai Syslog đều có thể định cấu hình đối với cơ sở nào và số mức độ nghiêm trọng nào sẽ tạo ra các sự kiện nhật ký hệ thống được chuyển tiếp đến máy chủ nhật ký hệ thống Syslog Server. Điều quan trọng là phải định cấu hình đúng cách để tránh làm ngập máy chủ (và mạng) với lưu lượng không cần thiết. Ví dụ: Gỡ lỗi không bao giờ được đặt để gửi tin nhắn trừ khi đang thử nghiệm. Nên đặt các thông số Syslog để yêu cầu Facility value và mức độ nghiêm trọng Severity cao nhất có thể (được đánh số thấp nhất) để giảm thiểu lưu lượng truy cập. Mặc dù lỗi bộ định tuyến có thể chỉ ra rằng giao diện bị trục trặc và do đó chắc chắn cần được báo cáo, một máy in mạng ít quan trọng hơn có thể được định cấu hình để chỉ tạo lưu lượng nhật ký hệ thống cho các sự kiện quan trọng. - Windows Hệ thống Windows không triển khai Syslog trong hệ thống Nhật ký sự kiện tiêu chuẩn - Event Log system. Các sự kiện được tạo trong hệ thống ghi nhật ký Windows có thể được thu thập và chuyển tiếp đến máy chủ nhật ký hệ thống Syslog Server bằng cách sử dụng các tiện ích của bên thứ ba. Các tiện ích này giám sát Nhật ký sự kiện “Event Log”, sử dụng thông tin để tạo sự kiện được định dạng nhật ký hệ thống Syslog và chuyển tiếp các sự kiện bằng giao thức nhật ký hệ thống Syslog Protocol tiêu chuẩn. - Các hạn chế của giao thức nhật ký hệ thống Syslog Protocol Một hạn chế chính của giao thức nhật ký hệ thống Syslog Protocol là thiết bị đang theo dõi phải được thiết lập và chạy và được kết nối với mạng để tạo và gửi sự kiện nhật ký hệ thống “Syslog Event”. Một lỗi nghiêm trọng từ Kernel Facility có thể không bao giờ gửi lỗi khi hệ thống ngoại tuyến “off-line”. Nói cách khác, Syslog không phải là một cách tốt để theo dõi trạng thái lên “Up” và xuống “Down” của các thiết bị. 7. Sử dụng Syslog - Mặc dù Syslog không phải là một cách tốt để theo dõi trạng thái của các thiết bị được nối mạng, nhưng nó có thể là một cách tốt để theo dõi tình trạng tổng thể của thiết bị mạng. Mặc dù phần mềm giám sát mạng như PRTG cung cấp một bộ tiện ích để theo dõi qua mạng, nhưng không có gì nói với quản trị viên rằng có sự cố nhanh hơn nhật ký sự kiện đầy cảnh báo. Giám sát nhật ký hệ thống được định cấu hình thích hợp sẽ phát hiện sự gia tăng đột ngột về khối lượng và mức độ nghiêm trọng của sự kiện, có thể cung cấp thông báo trước khi sự cố người dùng có thể phát hiện xảy ra. - Bảo mật / ủy quyền / kiểm soát tuân thủ Mạng công ty trung bình chứa nhiều thiết bị mà không ai nên cố gắng truy cập vào một ngày trung bình. Nếu một bộ chuyển mạch “Switch” từ xa chỉ được đăng nhập một lần trong mỗi chu kỳ kiểm tra đột nhiên có các nỗ lực đăng nhập hàng ngày (thành công hoặc theo cách khác), nó có nghĩa là đã đăng xuất. Trên các loại thiết bị này, nhật ký hệ thống có thể được thiết lập để chuyển tiếp các sự kiện xác thực tới máy chủ nhật ký hệ thống “Syslog Server” mà không cần phải cài đặt và định cấu hình tác nhân giám sát đầy đủ. Syslog cũng cung cấp một cách để đảm bảo rằng các sự kiện quan trọng được ghi lại và lưu trữ khỏi máy chủ gốc. Nỗ lực đầu tiên của kẻ tấn công sau khi xâm phạm hệ thống là che dấu vết để lại trong nhật ký. Các sự kiện được chuyển tiếp qua nhật ký hệ thống sẽ nằm ngoài tầm với. - Giám sát ứng dụng Có rất nhiều cách để theo dõi cách một ứng dụng đang chạy trên máy chủ. Tuy nhiên, những màn hình đó có thể bỏ qua cách ứng dụng đang ảnh hưởng đến các tiến trình khác trên máy chủ. Mặc dù mức sử dụng CPU hoặc bộ nhớ cao đủ dễ dàng để phát hiện với các màn hình khác, các sự kiện được ghi lại có thể giúp hiển thị nhiều sự cố có thể xảy ra hơn. Một ứng dụng liên tục cố gắng truy cập vào một tệp đã bị khóa? Có cố gắng ghi cơ sở dữ liệu tạo ra lỗi không? Những sự kiện như thế này có thể không bị phát hiện khi gây ra bởi các ứng dụng xử lý tốt lỗi, nhưng chúng không nên bị bỏ qua. Syslog sẽ đảm bảo rằng những sự kiện đã ghi nhận được sự chú ý mà chúng xứng đáng được nhận. - Syslog như một phần của giám sát mạng tổng thể Việc giám sát mạng hoàn chỉnh yêu cầu sử dụng nhiều công cụ. Syslog là một trụ cột quan trọng trong việc giám sát mạng vì nó đảm bảo rằng các sự kiện xảy ra mà không có tác động lớn sẽ không lọt qua các vết nứt. Cách tốt nhất là sử dụng một phần mềm kết hợp tất cả các công cụ để luôn có cái nhìn tổng quan về những gì đang xảy ra trong mạng. Nguồn: https://www.paessler.com/it-explained/syslog Dịch: N.V.Hùng Về trang trước Gửi email In trang Tweet
Linux container là gì? 08/01/2024 174 lượt xem Linux® container là một tập hợp gồm 1 hoặc nhiều tiến trình được tách biệt khỏi phần còn lại của hệ thống. Tất cả các tệp cần thiết để chạy chúng đều được cung cấp từ một ảnh image riêng biệt, nghĩa là các Linux containers có tính di động và nhất quán khi chúng chuyển từ giai đoạn phát triển, thử nghiệm và cuối cùng là sản xuất. Điều này làm cho chúng được sử dụng nhanh hơn nhiều so với các quy trình phát triển dựa vào việc sao chép các môi trường thử nghiệm truyền thống. Do tính phổ biến và dễ sử dụng của chúng, các container cũng là một phần quan trọng trong bảo mật CNTT.
Container orchestration là gì? 08/01/2024 179 lượt xem Điều phối vùng chứa “Container orchestration” tự động hóa việc triển khai, quản lý, mở rộng quy mô và kết nối mạng các vùng chứa “Containers”. Các doanh nghiệp cần triển khai và quản lý hàng trăm hoặc hàng nghìn Linux® container và máy chủ hosts có thể hưởng lợi từ việc điều phối vùng chứa.
Containers vs VMs 08/01/2024 170 lượt xem Containers và Máy ảo “Virtual machines (VMs)” là 2 phương pháp tiếp cận Môi trường điện toán đóng gói “Packaging Computing Environments” kết hợp nhiều thành phần CNTT “IT Components” khác nhau và tách biệt chúng khỏi phần còn lại của hệ thống. Sự khác biệt chính giữa cả hai là những thành phần nào được tách biệt, do đó ảnh hưởng đến quy mô và tính di động của từng phương pháp.
Máy ảo (VM) là gì? 08/01/2024 177 lượt xem Máy ảo (tiếng Anh là Virtual Machine, viết tắt là VM) là một môi trường ảo hoạt động như một hệ thống máy tính ảo với CPU, bộ nhớ, giao diện mạng và bộ lưu trữ riêng, được tạo trên hệ thống phần cứng vật lý (nằm ngoài hoặc tại chỗ). Phần mềm được gọi là bộ ảo hóa hay Trình ảo hóa “Hypervisor” sẽ tách các tài nguyên của máy khỏi phần cứng và cung cấp chúng một cách thích hợp để VM có thể sử dụng chúng.
KVM là gì? 08/01/2024 171 lượt xem Kernel-based Virtual Machine (KVM) (tiếng Việt: Máy ảo dựa trên nhân hệ điều hành) là một công nghệ ảo hóa nguồn mở được tích hợp trong Linux®. Cụ thể, KVM cho phép bạn biến Linux thành một trình ảo hóa “Hypervisor” cho phép máy chủ chạy nhiều môi trường ảo biệt lập được gọi là máy khách “guests” hoặc máy ảo (VM - Virtual machines).
Điện toán đám mây là gì? 09/02/2023 243 lượt xem Điện toán đám mây cho phép khách hàng sử dụng cơ sở hạ tầng và ứng dụng qua internet mà không cần cài đặt và bảo trì chúng tại chỗ
Hybrid Cloud là gì? 09/02/2023 246 lượt xem Hybrid cloud (tạm dịch sang tiếng Việt là Đám mây lai) kết hợp và thống nhất Public Cloud (đám mây công cộng), Private Cloud (đám mây riêng) và On-premises infrastructure (cơ sở hạ tầng tại chỗ) để tạo ra một cơ sở hạ tầng CNTT duy nhất, linh hoạt, tối ưu về chi phí.
Kubernetes là gì? 08/02/2023 277 lượt xem Kubernetes là một nền tảng điều phối bộ chứa mã nguồn mở tự động hóa việc triển khai, quản lý và mở rộng quy mô các ứng dụng được chứa.
Machine Learning là gì? 07/02/2023 301 lượt xem Phần giới thiệu về học máy Machine Learning này cung cấp tổng quan về lịch sử, các định nghĩa quan trọng, ứng dụng và mối quan tâm của nó trong các doanh nghiệp ngày nay.
DevOps là gì? 07/02/2023 238 lượt xem DevOps tăng tốc độ phân phối phần mềm chất lượng cao hơn bằng cách kết hợp và tự động hóa công việc của các nhóm vận hành CNTT và phát triển phần mềm
Trí tuệ nhân tạo (AI) là gì? 06/02/2023 237 lượt xem Trí tuệ nhân tạo (tiếng Anh là Artificial intelligence, viết tắt là AI) tận dụng máy tính và máy móc để bắt chước khả năng giải quyết vấn đề và ra quyết định của tâm trí con người.
Làm thế nào để tránh đạo văn 16/10/2020 12.881 lượt xem Nếu bạn là sinh viên của một trường đại học, thì bạn nhất thiết phải tránh đạo văn trong tác phẩm của mình; nếu không, bạn có thể phải đối mặt với các biện pháp trừng phạt có thể khiến bạn không hoàn ...
Đạo văn là gì? 16/10/2020 14.809 lượt xem Định nghĩa đạo văn Từ điển Merriam Webster định nghĩa hành vi đạo văn "Plagiarism" là; "Ăn cắp và chuyển giao ý tưởng hoặc lời nói của người khác như là của riêng mình". Nói một cách đơn giản, đạo văn...
Hậu quả của việc đạo văn 15/10/2020 7.237 lượt xem Không nên có bất kỳ sự trì hoãn nào, hãy xem xét tất cả những ảnh hưởng có thể mà bạn sẽ phải đối mặt nếu bạn sao chép đạo văn của người khác: Đối với lĩnh vực giáo dục Ngày nay, vi phạm bản quyền đã ...
IP address là gì? 17/09/2020 15.040 lượt xem IP address là gì? Nội dung bài viết: 1. IP address là gì? 2. Giao thức Internet Protocol (IP) 3. Các phiên bản của giao thức IP 4. Địa chỉ IPv4 5. Địa chỉ IPv6 6. Phân giải địa chỉ IP address 1....
Ping là gì? 17/09/2020 3.137 lượt xem Ping là gì? Nội dung bài viết: 1. Ping là gì? 2. Ping hoạt động như thế nào? 3. Định dạng tin nhắn Ping 4. Tiện ích Ping 5. Các khóa và biến của Ping 6. Cách sử dụng Ping 7. Bảo mật 1. Ping là g...
Virtualization (ảo hóa) là gì? 16/09/2020 6.317 lượt xem Ảo hóa là gì? Nội dung bài viết: 1. Ảo hóa là gì? 2. Bộ phận ảo hóa 3. Ảo hóa phần cứng 4. Ảo hóa lồng nhau 5. Ảo hóa khác 6. Lợi ích của ảo hóa 7. Nhược điểm của ảo hóa 8. Vấn đề bảo mật máy ảo 1...
NetFlow là gì? 16/09/2020 4.169 lượt xem NetFlow là gì? Nội dung bài viết: 1. NetFlow là gì? 2. Cách thức hoạt động của NetFlow 3. Ví dụ về NetFlow command 4. Sử dụng NetFlow 5. Cơ sở hạ tầng NetFlow Infrastructure 1. NetFlow là gì? - ...
Bandwidth (Băng thông) là gì? 14/09/2020 8.960 lượt xem Bandwidth (Băng thông) là gì? Nội dung bài viết: 1. Bandwidth trong Máy tính là gì? 2. Đơn vị đo băng thông 3. Phương pháp đo băng thông 4. Phân biệt Băng thông & Tốc độ & thông lượng 5. Tại sao phả...
SNMP là gì? 12/09/2020 14.767 lượt xem SNMP là gì? Nội dung bài viết: 1. SNMP là gì? 2. Thông tin đăng nhập cho thiết bị SNMP 3. SNMP hoạt động như thế nào? 4. OID và MIB là gì? 5. Cách sử dụng SNMP để giám sát? 6. Các giá trị mà giao th...