Pembahasan mengenai syslog ini saya bagi menjadi tiga bagian:
A.Apa itu Syslog?
B.Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server
C.Deploying Syslog Server: versi Windows dengan Kiwi SysLog Daemon dan versi Linux dengan Syslog-ng Daemon
A. Apa itu Syslog?
Syslog adalah standar untuk pengiriman pesan log (log messages) di dalam jaringan IP. Syslog protokol didokumentasikan dalam RFC 3164, yang aslinya ditulis oleh Eric Allamn. Syslog protokol mengirimkan pesan ukuran kecil (kurang dari 1024 bytes) ke penerima syslog (kolektor). Penerima atau kolektor ini lebih dikenal dengan nama “syslogd”, “syslog daemon” atau “syslog server”. Pesan syslog bisa dikirim via UDP atau TCP. Data dikirim dalam bentuk clear text.
Syslog menggunakan User Datagram Protocol (UDP), port 514 untuk berkomunikasi. Ini adalah protokol komunikasi tidak andal (unreliable), tanpa koneksi (connectionless) antara host-host jaringan, UDP tidak memberikan acknowledgement (ACK). Di lapisan aplikasi , ketika server syslog menerima pesan dia tidak mengirimkan ACK balik ke pengirim. Konsekuensinya, mesin pengirim pesan mengirimkan syslog tanpa mengetahui apakah syslog server menerima atau tidak pesan tersebut. Dalam kenyataannya, mesin pengirim tetap mengirimkan pesan walaupun tidak ada server syslog sebagai penampung pesan.
Syslog ini biasanya digunakan untuk troubleshooting dan audit sekuriti, syslog didukung oleh beragam perangkat dengan beragam platform. Oleh karena itu syslog dapat dipakai untuk mengintegrasikan log data dari berbagai jenis sistem dalam satu tempat penyimpanan terpusat. Syslog adalah standar komponen dalam sistem Unix/Linux, yang kemudian diimplementasikan ke berbagai sistem operasi lain.
Berbagai perangkat jaringan Cisco, seperi router, PIX Firewall, VPN concentrator dsb, menghasilkan pesan sebagai informasi dan peringatan. Sebagai contoh router dapat menghasilkan syslog ketika interfacenya mati atau terjadi perubahan konfigurasi. PIX Firewall akan menghasilkan syslog ketika memblok koneksi TCP. Perangkat Cisco dapat dikonfigurasi agar bisa mengirimkan syslog ke eksternal mesin yang berfungi sebagai server pusat syslog. Namun demikian, jika koneksi diantara perangkat Cisco dan syslog servernya mati, maka tidak ada syslog yang dapat ditangkap oleh server. Dalam kasus seperti ini syslog hanya disimpan secara lokal di perangkat Cisco tersebut.
Syslog membawa informasi sebagai berikut:
* facility
* severity
* hostname
* timestamp
* messages
Pemahaman masing-masing paramater akan membantu memudahkan mendeploy sistem syslog di jaringan.
Facility: syslog dapat dikategorikan oleh sumber yang menghasilkan pesan. Penghasil pesan itu bisa berupa operating system, proses, atau aplikasi. Kategori ini dinamakan facility, yang diwakili oleh bilangan bulat. Perangkat Cisco menggunakan facility local untuk mengirimkan pesan syslog. Secara default perangkat Cisco IOS-base, CatOS catalyst, dan VPN 3000 Concentrator menggunakan facility local7, dan PIX Firewall menggunakan facility local4 untuk mengirim pesan syslog.
Tabel.1 Facility
Severity: Sumber atau facility yang menghasilkan pesan syslog selalu menspesifikan tingkat keakutan (severity) dengan menggunakan bilangan bulat tunggal.
Tabel.2 Severity
Perangkat Cisco menggunakan severity tingkat darurat (emergency) ke tingkat peringatan (warning) untuk melaporkan adanya software atau hardware isu. Sistem restart atau interface up/down dikrim dengan tingkat pemberitahuan (notice). Sistem reload dilaporkan lewat tingkat informasi. Output dari debug dilaporkan dalam tingkat debug.
Hostname: Bagian hostname mengandung informasi nama mesin atau IP Address dari mesin pengirim pesan. Untuk perangkat seperti router atau PI Firewall dimana memiliki interface lebih dari satu, syslog menggunakan IP address dari interface darimana pesan itu dikirim.
Timestamp: Timestamp adalah waktu lokal, dalam format MMM DD HH:MM:SS. RFC 3164 tidak menjelaskan mengenai zona waktu, Cisco IOS dapat dikonfigurasi agar bisa mengirimkan infromasi zona waktu sebagai bagian dari pesan syslog. Dimana timestamp yang mengandung informasi zona waktu, formatnya adalah MM DD HH:MM:SS TimeZone
Catatan: agar informasi timestamp akurat, secara praktik untuk mengkonfigurasi semua perangkat menggunakan Network Time Protocol (NTP).
Messages: Adalah isi dari pesan syslog, yang berisi informasi terkait proses yang terjadi. Pesan syslog yang dihasilkan oleh perangkat Cisco IOS dimulai dengan simbol persen (%) dan menggunakan format:
%Facility-Severity-Mnemonic:Messages-Text
Dengan mengikuti deskripsi yang telah dibuat diatas:
Facility: merujuk kepada sumber pesan, bisa berupa hardware, protokol, atau modul dari sistem software.
Severity: merujuk kepada tingkat keakutan
Mnemonic: kode khusus yang dihasilkan mesin untuk mengidentifikasikan pesan
Messages-Text: adalah text yang menyatakan isi pesan dan detail, bisa berupa nomor port dan alamat jaringan.
Contoh pesan syslog yang dihasilkan oleh perangkat Cisco IOS:
*Apr 10 03:56:06.908 gmt: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loop systack0, changed state to up
Pesan ini dimulai dengan spesial karakter (*) dan timestamp mengandung informasi zona waktu. Pesan ini dihasilkan oleh facility LINEPROTO dengan severity level 5 (notice:pemberitahuan). Mnemonic UPDOWNmenggambarkan kejadian.
Format pesan syslog yang dihasilakn CatOS-base sedikit berbeda dibanding IOS-base, berikut adalah format yang dihasilkan perangkat CatOS-base switch.
mm/dd/yyy:hh/mm/ss:facility-severity-MNEMONIC:Message-text
Format pesan dari PIX Firewall dimulai dengan tanda persen (%), dan sedikit berbedadengan pesan IOS-base:
%PIX-Level-Message_number: Message_text
bersambung…
Bagian berikutnya membahas: Konfigurasi Perangkat Cisco agar bisa menggunakan Syslog Server
, gimana caranya mendowload file-file yang tersimpan di Google Docs ini. Pencarian menemukan beberapa alternatif tools, salah satunya adalah Greasemonkey. Yang bisa diinstal sebagai add-ons nya Firefox. Untung juga browsernya Firefox nih (dalam hati).
islamet@gmail.com
islametm