Концепция syslog-ng
Сбор UDP пакетов syslog настраивается на клиенте, а не на сервере. Сервер 192.168.0.5 принимает и записывает абсолютно все syslog сообщения. Сортировка производится по следующим критериям и в нижеперечисленном порядке:
1. Сортировка по типу оборудования согласно категории «Facility»
2. Сортировка по заданным IP адресам
3. Запись всех остальных IP адресов
Для сортировки по типу оборудования используется категория «Facility». Массовое и важное оборудование (коммутаторы, Cisco VoIP и т.п.) сортируется по категориям «Facility localХ» . Таким образом логи коммутаторов, Cisco VoIP и других устройств сортируются по нужным папкам вне зависимости от IP адреса устройства. Отсортированные по категориям логи ежедневно анализируются, а отчеты «Syslog analysis» отправляются на почту . Если неверно настроить “Facility”, то логи будут собираться в другую папку и перестанут анализироваться и отправляется в виде отчета на почту.
Если ваше устройство не подходит под вышеперечисленное оборудование, то просто укажите IP адрес сервера « 192.168.0.5». Больше ничего делать не нужно, однако если на оборудовании необходимо принудительно установить значение Facility Local «Х», то установите по-умолчанию «Facility Local0».
Настройка на комм. Элтекс MES
* facility local7 используется по-умолчанию и явно указывать не нужно
Настройка на комм. Cisco 2960
* facility local7 используется по-умолчанию и явно указывать не нужно
Настройка на комм. D-link
*Для разных серий D-link используются разный формат команд. Одна из команд будет успешно выполнена.
Настройка на оборуд. Mikrotik
https://wiki.mikrotik.com/wiki/Manual:System/Log
Настройка на GPON Элтекс
Также указать IP адрес в конфиге /home/syslog-server/syslog-.conf
*Facility не поддерживается
Настройка на Cisco router
Полезная инфа в статье https://serverfault.com
Настройка на маршрутизаторах
Facility (категория)
Описание Cистемное протоколирование в Linux
Тип устройства
Facility
Папка назначения
Коммутаторы (любой модели)
local7 (23)
switches-fl7
Маршрутизаторы (кроме Микротик)
Local6 (22)
routers-fl6
Cisco VoIP
Local5 (21)
cisco-voip-fl5
Оборудование Mikrotik
Local4 (20)
mikrotiks-fl4
резерв
Local3 (19)
резерв
резерв
Local2 (18)
резерв
Резерв (используется Натексом)
Local1 (18)
резерв
По-умолчанию (используется Натексом)
Local0 (16)
Не обрабатывается
Если нужно установить какое-то Facility, то установите по-умолчанию Facility Local0
Значения по-умолчанию на некотором оборудовании:
Оборудование
По-умолчанию
Изменено на
Eltex
local7 (23)
D-link
local3 (19)
Local6 (22)
Маршрутизаторы Cisco
local3 (19)
Коммутаторы Cisco
local7 (23)
VoIP шлюзы Натекс одновременно используют Facility local0 и local1
Описание Cистемное протоколирование в Linux
Настройки syslog-ng
/etc/syslog-ng/syslog-ng.conf
/etc/syslog-ng/conf.d/syslog-unic.conf
Работа скриптов
Ежедневные отчеты на почту
Анализ флаппинга
Уведомление в реальном времени
Анализ и отправка отчетов о критичных событиях в реальном времени. Отправка проводится в канал telegram и на почту
При загрузке ОС стартует real_time_analysis.pl, который постоянно анализирует логи.
Настроено два типа отправки
Критичные сообщения (Critical)
Примеры
Важные сообщения (Warning)
Примеры
Оперативная работа
СКРИПТЫ
find-IP-addess
restart-syslog-ng
show-log
start-analysis.sh
analysis-cisco-router
analysis-gpons
analysis-mikrotiks
analysis-switches
============================
flapping_int
analysis-switches_flapping
start-analysis_flapping_int.sh
scripts start-analysis.sh
analysis-cisco-router
analysis-gpons
analysis-mikrotiks
analysis-switches
/scripts/flapping_int
analysis-switches_flapping
start-analysis_flapping_int.sh
Оповещение в реальном времени
cron.conf
/etc/network/interfaces
decrease.pl
real_time_analysis.pl
send-alarm-Critical.sh
send-alarm-Warning.sh
